Bitlockerverschlüsselung mit TPM auf einem virtuellen Server

[dvbuddy 14]

Moin,

ich hab ein Testsystem mit einem Physikalischen Server der mit TPM Chip, Windows 2016 und der Hyper-V Rolle installiert ist.

Darauf habe ich den Chip im Bios aktiviert und Bitlocker installiert. Das Systemlaufwerk C konnte ich so, ohne Probleme verschlüsseln.

Nun meine Fragen:

 

1. Nun möchte ich einen virtuellen 2012R2 Testserver (Gen1) ebenso mit Bitlocker verschlüsseln und zwar unter zu Hilfenahme des TPM chips. Ist das möglich?

Wenn ich in der VM die TPM Konsole aufrufe, wird kein TPM Modul erkannt (unter VM Einstellungen Sicherheit, habe ich alles aktiviert)

Ich möchte sie nicht mit dem Weg über die GPO verschlüssel. Das funktioniert zwar, aber ich möchte kein PIN oder Passwort, bei jedem Neustart eingeben müssen.

 

2. Kann ich auf einem 2012R2 Cluster auch ohne "Shielded VMs und Guarded Hosts" von Windows 2016, mit Verschlüsselung und Lifemigration arbeiten?

 

3. Hat jemand Erfahrungen mit verschlüsselten CSV unter 2012R2 Clustern?

 

 

Gruß Dvbuddy

 

 

 

[NilsK 3.045]

Moin,

 

per vTPM sollte das gehen. Hab ich aber noch nie ausprobiert mangels Anforderung.

 

https://www.itpromentor.com/bitlocker-hyperv-guest/

 

Live Migration geht meines Wissens in so einem Setup aber nicht, dafür bräuchte man den HGS und Shielded VMs.

 

Gruß, Nils

 

[tesso 384]

Bin mir nicht sicher, aber ging vTPM nicht erst unter Server 2016?

[NilsK 3.045]

Moin,

 

ja, aber das ist laut TO ja auch vorhanden.

 

Gruß, Nils

 

[tesso 384]

Stimmt, habe ich überlesen.

 

vTPM gibt es aber erst bei einer Gen2 VM, nicht bei Gen1. Steht so in deinem verlinkten Artikel und ich habe es selbst überprüft.

[NilsK 3.045]

Moin,

 

ach, Gen-1 habe ich nun wieder überlesen. Korrekt, dann geht das nicht.

 

Gruß, Nils

 

[tesso 384]

Jaja, wir werden halt beide alt. Lass uns lieber im Opa Thread schreiben.

[dvbuddy 14]

Danke für die Tips. Wir bekommen halt Anfragen wegen der DSGVO und Verschlüsselung mit Bitlocker. Muss ich halt auch noch testen was ohne 2016 geht und was noch einigermaßen Sinn machen würde... Ich muß meine Testumgebung wegen CSV Verschlüsselung, auch noch mit nem 2012r2 Cluster ausbauen... 

[NilsK 3.045]

Moin,

 

bevor man da in Aktionimsmus verfällt, wäre zu prüfen, was denn da genau die Anforderung ist. "DSGVO" wird aktuell als Grund für alles angegeben, aber es gibt keine Vorschriften in der DSGVO, die eine Verschlüsselung virtueller Festplatten erfordern würden. Kann sein, dass sowas ein Mittel für einen bestimmten Zweck wäre, aber da ist dann der genaue Zweck wichtig, nicht das Mittel.

 

Gruß, Nils

 

[zahni 587]

Mal davon abgesehen müsste man doch auch die anderen physischen Laufwerke mit Bitlocker verschlüsseln können.

Bei anderen Laufwerken als dem System-Laufwerk, werden die Schlüssel in der Registry gespeichert. Einen Verlust an Sicherheit kann ich nicht erkennen, da die Registry ja auf dem Systemlaufwerk gespeichert ist.

Aber wie immer: Was sind die Anforderungen? Mit Bitlocker und allen anderen Verschlüsselungslösungen, die z.B. Storage-Hersteller anbieten, verbessert man nur den physischen Zugriffsschutz. Den kann man z.B. auch durch bauliche Maßnahmen gewährleisten.

 

 

[djmaker 95]

Dazu passt auch ggf. das Thema der Verschlüsselung von Backup-Medien welche extern gelagert werden.

[speer 19]

Also ich kenne Bitlocker nur von Windows 7 bzw. 2008R2. dort gab es eine GPO die veranlasste, nach einem Neustart nicht nach dem Passwort zu fragen.

Ohne HGS würde ich komplett auf VMs mit Bitlocker Verschlüsslung verzichten und eher meinen Serverraum absichern.

[NorbertFe 2.277]

vor 3 Stunden schrieb speer:

gab es eine GPO die veranlasste, nach einem Neustart nicht nach dem Passwort zu fragen.

Wo genau?

[speer 19]

Sorry, habe ich verwechselt, ist keine GPO sondern über manage-bde gewesen. Die GPO die ich meinte war das überschreiben des Arbeitsspeichers verhindern. :(

 

 

[NorbertFe 2.277]

;) dacht ich mir fast. Danke für die Rückmeldung.