我们正在研究在 VM 的客户操作系统(即不是 VM 主机上的父操作系统)中使用 BitLocker 的可能性。我们既有 Win2008R2 VM,也有 Win2012(不是 R2)VM。
我们找到了这个链接: https://books.google.com.hk/books?id=Y0TfBgAAQBAJ&pg=PA112&lpg=PA112&dq=Using+Microsoft+BitLocker+In+a+hyper+v+guest&source=bl&ots=gxPNsAlgQn&sig=yvQGkqNkK1q2aOCVnlDZr7ltmTg&hl=zh-TW&sa=X&ved=0ahUKEwjZvL_N8ZzPAhWFl5QKHfJPCyc4FBDoAQhFMAU#v=onepage&q=guest&f=false “BitLocker 加密可应用于 Hyper-V 主机以确保数据保护。不支持 Hyper-V 客户机加密。”(书中前几页说它基于 Win2012R2)
这是否意味着不应在 Hyper-V 客户操作系统中使用 BitLocker?
但我们也发现了BitLocker常见问题: https://technet.microsoft.com/en-us/library/hh831507.aspx “BitLocker 是否支持虚拟硬盘 (VHD)?如果您运行的是 Windows 8、Windows 8.1、Windows Server 2012 或 Windows Server 2012 R2,则可启动 VHD 不支持 BitLocker,但数据卷 VHD(如群集使用的 VHD)支持 BitLocker。”
它谈论的是 VHD,我们猜测这意味着在客户操作系统中使用 BitLocker?
有什么建议吗?
答案1
这是否意味着不应在 Hyper-V 客户操作系统中使用 BitLocker?
是的,就是这个意思。
不应使用它,因为 Windows Server 2016 之前的 Windows 版本不支持它。不支持它是因为 Microsoft 不希望客户做一些不会提供任何实际保护的事情。除非启动密钥存储在恢复分区或可移动媒体上,否则无法将客户机配置为无人值守启动。启动密钥更准确的名称是“启动和恢复密钥”,因为如果密钥存储在恢复分区中,它允许任何有权访问恢复分区的人解密驱动器。而且您可能不想每次启动客户机时都输入恢复密钥。
此外,“附加虚拟软盘”也起不到任何作用。如果密钥存储在连接到主机的未加密分区上的设备上,则数据不受保护。
Windows Server 2016 引入了虚拟 TPM,它支持通过无人值守启动对客户分区进行安全加密。您可以在此处阅读更多相关信息:
https://blogs.technet.microsoft.com/hybridcloudbp/2016/11/07/shielded-vms-in-windows-server-2016/
“使用 vTPM 进行 BitLocker 虚拟磁盘加密。重启后无需提供解锁代码 - 无需任何管理开销即可随处使用客户磁盘加密。加密密钥安全地密封在虚拟 TPM 设备内,当 VM 移动到另一个主机时,该设备也会移动。”
答案2
过去,当我处理虚拟机加密时,我发现使用 Windows 提供的内置 Bitlocker 功能通常很容易。我这样做从未遇到任何问题,如果您配置虚拟软盘并将密钥保存到其中,甚至可以避免在启动时输入加密密钥。要复制密钥,请运行以下命令(假设 A: 是软盘驱动器):
manage-bde.wsf -on C: -rp -sk A:
完成后,您只需将软盘连接到虚拟机即可。请注意,您需要确保备份密钥,以防虚拟软盘发生任何事情。