BitLocker peut-il être utilisé dans le système d'exploitation invité sur Hyper V Windows VM?
Nous étudions la possibilité d'utiliser BitLocker à l'intérieur du système d'exploitation invité de VM (I.E. Pas le système d'exploitation parent sur l'hôte VM). Nous avons à la fois Win2008R2 VM et Win2012 (pas R2) VM.
Et nous avons trouvé ce lien: https://books.google.com.hk/books?id=y0tfbgaaqbaj&pg=PA112&lpg=PA112&LPG=PA112&DQ=Utilisateur+Microsoft+Blocker+in+a+Hyper+v+Guest&source=bl&ots= GXPNSALGQN & SIG = YVQGKKQNKK1Q2AOCVNLDZR7LTMTG & HL = ZH-TW & SA = X & VED = 0ahukewjzvl_n8zzpahwfl5Qkhfjpcyc4fbdoaqhfmau # v = onepage & q = Guest & f = Faux "Le cryptage BitLocker peut être appliqué sur Hyper-V hôtes pour assurer la protection des données. Le cryptage Hyper-V invité n'est pas pris en charge." (Les livres ont dit dans ses premières pages qu'il repose sur Win2012R2)
Est-ce que cela signifie que BitLocker ne doit pas être utilisé à l'intérieur d'un système d'exploitation Hyper-V?
Mais nous avons également trouvé la FAQ BitLocker: https://technet.microsoft.com/en-us/library/hh831507.aspx "BitLocker prend en charge les disques durs virtuels (VHDS)? BitLocker n'est pas pris en charge sur VHDS amorçable, mais BitLocker est pris en charge sur le volume de données VHDS, tel que ceux utilisés par des clusters, si vous exécutez Windows 8, Windows 8.1, Windows Server 2012 ou Windows Server 2012 R2. "
Cela parle de VHD, que nous devinons signifie utiliser BitLocker à l'intérieur du système d'exploitation Guest?
Aucun conseil?
Est-ce que cela signifie que BitLocker ne doit pas être utilisé à l'intérieur d'un système d'exploitation Hyper-V?
Oui, c'est ce que cela signifie.
Il ne doit pas être utilisé car il n'est pas pris en charge dans les versions Windows avant Windows Server 2016. Il n'est pas pris en charge car Microsoft ne veut pas que les clients fassent quelque chose qui ne fournirait aucune protection réelle. Un client ne peut pas être configuré pour démarrer sans surveillance que si la clé de démarrage est stockée sur la partition de récupération ou le support amovible. Un nom plus précis pour la clé de démarrage est "Touche de démarrage et de récupération", car il permet à quiconque ayant accès à la partition de récupération si les touches sont stockées là-bas pour déchiffrer le lecteur. Et vous ne voulez probablement pas entrer dans une clé de récupération chaque fois que votre invité commence.
En outre, "attacher une disquette virtuelle" réalise la même quantité de rien. Si les touches sont stockées sur un périphérique sur une partition non cryptée attachée à l'hôte, les données ne sont pas protégées.
Windows Server 2016 introduit Virtual TPM, qui permet un cryptage sécurisé des partitions invités avec une startup sans surveillance. Vous pouvez en savoir plus ici:
https://blogs.technet.microsoft.com/hybridcloudbp/2016/11/07/Shield-vms-in-windows-server-2016/
"Cryptage de disque virtuel BitLocker utilisant VTPM. Pas besoin de fournir un code de déverrouillage après le redémarrage - Utilisez le cryptage de disque d'invité partout sans aucune génération d'administration. Les touches de cryptage sont correctement scellées dans le périphérique TPM virtuel, qui se déplace lorsque le VMà un autre hôte. "
Lorsque j'ai traité avec cryptage VMS dans le passé, j'ai généralement trouvé qu'il est facile d'utiliser la fonction BitLocker intégrée fournie par Windows. Je n'ai jamais rencontré de problèmes à ce problème, et il est même possible d'éviter de devoir entrer la clé de cryptage au démarrage si vous configurez une disquette virtuelle et enregistrez la clé à cela. Pour copier la touche exécuter ce qui suit (en supposant A: est le lecteur de disquette):
manage-bde.wsf -on C: -rp -sk A:
Une fois que cela est fait, vous pouvez simplement laisser la disquette attachée au VM. Notez que vous voudrez vous assurer de faire une sauvegarde de la clé au cas où quelque chose arrive à la disquette virtuelle.