preysa
Goto Top

Frage zu Bitlocker auf Hyper-V

Hallo,

ich beschäftige mich gerade mit Bitlocker für unseren Hyper-V Host. TPM Modul ist verbaut und Bitlocker Feature installiert.

Leider musste ich dann aber feststellen, dass Windows die Datendisks für die VMs (RAID10 Array) aufgrund von Hot Swappable als Wechseldatenträger erkennt. Daher gibt er mir nur die Bitlocker To Go Funktion. Das bedeutet Verschlüsselung nur mit Kennwort(Smart Card nicht vorhanden) und kein automatisches Unlock nach einem Reboot.

Da ich es eigentlich vermeiden will mich nach jedem Reboot auf den Host zu schalten und die Platten zu entsperren da sonst die VMs nicht starten daher hier die Frage, welche Optionen in diesem Fall bleiben bzw. wie ihr das handhabt?

Zweite allgemeine Frage: Wie verhält sich Bitlocker wenn Platten aus dem Array durch z.B. Defekt ausgetauscht werden müssen?

Wäre für Tipps sehr dankbar face-smile

Schöne Grüße

Content-ID: 72285482472

Url: https://administrator.de/contentid/72285482472

Printed on: December 14, 2024 at 18:12 o'clock

Vision2015
Vision2015 Aug 11, 2024 at 18:11:30 (UTC)
Goto Top
Moin...
Bitlocker auf den Hyper-V ist keine gute idee!
überlege mal selber warum face-smile


Frank
Celiko
Celiko Aug 11, 2024 at 19:05:56 (UTC)
Goto Top
Moin,

mach kein Bitlocker auf Virtualisierungen wie Hyper-V...
Macht nur ärger und ist unnötig.
Der Server steht ja i.d.R. sowieso hinter verschlossenen Türen mit beschränktem Zugriff?
Sei es der Raum selbst oder der Rack
Daher sollte da kein Fremder Zugriff haben was den Sinn für Bitlocker nichtig machtt

VG
Dani
Dani Aug 11, 2024 at 20:13:37 (UTC)
Goto Top
@Vision2015
Bitlocker auf den Hyper-V ist keine gute idee!
da hast du mich neugierig gemacht... erzähl mal. face-smile


Gruß,
Dani
Xaero1982
Xaero1982 Aug 11, 2024 at 20:27:01 (UTC)
Goto Top
https://www.computerweekly.com/de/ratgeber/Hyper-V-Wichtige-Sicherheitse ....

Also ich benutze es zwar auch nicht, aber grds. soll es unproblematisch sein face-smile

Aber ändert aktuell nichts am Problem vom TE.
Pjordorf
Pjordorf Aug 11, 2024 at 21:31:05 (UTC)
Goto Top
Hallo,

Zitat von @preysa:
Leider musste ich dann aber feststellen, dass Windows die Datendisks für die VMs (RAID10 Array) aufgrund von Hot Swappable als Wechseldatenträger erkennt.
Da deine Hot Swappable als USB auf dein Mainboard angebunden sind, ist es normal.
Was für HW wird denn verwendet?
Was ist im BIOS (Version?) eingestellt?
Welchen RAID Kontroller verwendest du?
Was sagt deine Geräteverwaltung?
Noch nie nen MB in den Händen gehabt wo der Hersteller die HDDs über USB Intern gemacht hat?
Vielleicht sind es ja USB HDDs die du da verbastelt hastface-smile

Gruss,
Peter
Th0mKa
Th0mKa Aug 12, 2024 at 05:30:07 (UTC)
Goto Top
Quote from @Vision2015:
Bitlocker auf den Hyper-V ist keine gute idee!
Was läßt dich denn dieses glauben?

/Thomas
Th0mKa
Th0mKa Aug 12, 2024 at 05:33:31 (UTC)
Goto Top
Quote from @preysa:
Leider musste ich dann aber feststellen, dass Windows die Datendisks für die VMs (RAID10 Array) aufgrund von Hot Swappable als Wechseldatenträger erkennt. Daher gibt er mir nur die Bitlocker To Go Funktion. Das bedeutet Verschlüsselung nur mit Kennwort(Smart Card nicht vorhanden) und kein automatisches Unlock nach einem Reboot.
Moin,
Was hast du denn für einen RAID Controller?

Zweite allgemeine Frage: Wie verhält sich Bitlocker wenn Platten aus dem Array durch z.B. Defekt ausgetauscht werden müssen?
Für den RAID Controller ist die Verschlüsselung dahingehend nicht relevant.

/Thomas
Vision2015
Vision2015 Aug 12, 2024 at 05:36:49 (UTC)
Goto Top
Moin....
Zitat von @Th0mKa:

Quote from @Vision2015:
Bitlocker auf den Hyper-V ist keine gute idee!
Was läßt dich denn dieses glauben?
erfahrung... nur erfahrung und heulende admins, weil mal eben die VMs vom einem zum anderen host verschoben werden müssen, was dann natürlich fehlte brauche ich wohl nicht zu erwähnen!
es kommt sicher auch auf das Sicherheitsbedürfnis an....


/Thomas

Frank
Th0mKa
Th0mKa Aug 12, 2024 at 05:44:38 (UTC)
Goto Top
Quote from @Vision2015:
erfahrung... nur erfahrung und heulende admins, weil mal eben die VMs vom einem zum anderen host verschoben werden müssen, was dann natürlich fehlte brauche ich wohl nicht zu erwähnen!
Wenn du VMs von einem verschlüsselten Volume auf ein anderes verschiebst passiert gar nichts, das ist völlig transparent. Du sprichst vermutlich von Bitlocker verschlüsselten VMs? Das will der TO aber gar nicht machen.

es kommt sicher auch auf das Sicherheitsbedürfnis an....
Natürlich

/Thomas
Vision2015
Vision2015 Aug 12, 2024 at 05:49:24 (UTC)
Goto Top
Zitat von @Th0mKa:

Quote from @Vision2015:
erfahrung... nur erfahrung und heulende admins, weil mal eben die VMs vom einem zum anderen host verschoben werden müssen, was dann natürlich fehlte brauche ich wohl nicht zu erwähnen!
Wenn du VMs von einem verschlüsselten Volume auf ein anderes verschiebst passiert gar nichts, das ist völlig transparent. Du sprichst vermutlich von Bitlocker verschlüsselten VMs? Das will der TO aber gar nicht machen.
wo wäre dann der sinn, nicht beides zu machen?

es kommt sicher auch auf das Sicherheitsbedürfnis an....
Natürlich

/Thomas
Th0mKa
Th0mKa Aug 12, 2024 at 05:54:12 (UTC)
Goto Top
Quote from @Vision2015:
wo wäre dann der sinn, nicht beides zu machen?
Die Frage des TO bezog sich auf den Host und Sicherheit ist ein Prozess.
Wenn der TO also erstmal mit "Encryption at rest" auf seinem Hyper-V Host anfangen möchte halte ich das für eine valide Vorgehensweise.

/Thomas
MysticFoxDE
MysticFoxDE Aug 12, 2024 at 06:56:35 (UTC)
Goto Top
Moin @preysa,

ich beschäftige mich gerade mit Bitlocker für unseren Hyper-V Host. TPM Modul ist verbaut und Bitlocker Feature installiert.

also, wenn du nicht gerade masochistische Neigungen hast, dann würde ich mir das nochmals genau überlegen.

Zum einen geht dir stellenweise gewaltig die Performance flöten und zum anderen läufst du Gefahr, dass nach einem BIOS Update die Daten nicht mehr zugänglich sind. Siehe diverseste Berichte bei Notebooks/Workstation.

Einer unserer Kunden hat selber schon durch BIOS Updates diverseste Notebooks zerschossen, weil auf diesen per Default BitLocker aktiviert war. 😭

Ausserdem mach BitLocker mit einem automatisches Unlock nach einem Reboot überhaupt keinen Sinn und zwar nicht nur bei einem Hyper-V!

Gruss Alex
MysticFoxDE
MysticFoxDE Aug 12, 2024 at 07:00:44 (UTC)
Goto Top
Moin @Th0mKa,

Wenn du VMs von einem verschlüsselten Volume auf ein anderes verschiebst passiert gar nichts, das ist völlig transparent.

ja, es ist transparent, im Vergleich zum Verschieben über unverschlüsselten Volumes, ist das Verschieben zwischen verschlüsselten Volumes jedoch um einiges langsamer und fordert aufgrund der Verschlüsselung auch viel mehr Ressourcen, vor allem von der CPU.

Gruss Alex
Th0mKa
Th0mKa Aug 12, 2024 at 08:22:19 (UTC)
Goto Top
Quote from @MysticFoxDE:
ja, es ist transparent, im Vergleich zum Verschieben über unverschlüsselten Volumes, ist das Verschieben zwischen verschlüsselten Volumes jedoch um einiges langsamer und fordert aufgrund der Verschlüsselung auch viel mehr Ressourcen, vor allem von der CPU.

Nur wenn du CPUs aus der IT Steinzeit verwendest, aktuelle Modelle haben AES Encryption Beschleuniger die viel schneller rechnen als die üblichen Plattensysteme schreiben können. Aber wie immer sollte man Konfigurationsänderungen natürlich nicht ungetestet vornehmen.

/Thomas
preysa
preysa Aug 12, 2024 updated at 09:12:18 (UTC)
Goto Top
@Pjordorf

Es handelt sich um einen Fujitsu RX2530M7
Verbaut ist ein CP21008i SAS Controller
Das BIOS ist die aktuellste Version. Was da im BIOS eingestellt ist, kann ich jetzt gerade nicht überprüfen.
In der Geräteverwaltung ist es als normales Laufwerk gelistet.
Im Geräte-Manager habe ich festegestellt, dass der Treiber nicht sauber durchgereicht wurde für den Controller(ADAPTEC). Die Laufwerke werden aber komischerweise richtig als ADAPTEC erkannt. Ich habe den Treiber des Controllers mal aktualisiert ein Neustart steht aber noch aus. Im Geräte-Manager wird das RAID sowohl als logisches Laufwerk als auch als tragbares Gerät erkannt.

Gruß
1
DerWoWusste
DerWoWusste Aug 12, 2024 at 09:27:59 (UTC)
Goto Top
Ob Bitlocker nötig ist, magst Du selber entscheiden.
Bei Wechseldatenträgern kannst Du ein ellenlages Kennwort setzen und dieses Laufwerk danach per Skript beim Systemstart automatisch mounten lassen.

Womit: Aufgabenplaner.
Wie: als Systemkonto
Befehl:
manage-bde -unlock d: -rp 12232-22113-...Beispiel Recoverykey...-125642
Randbedingungen: Dieser Befehl sollte zur Sicherheit in eine Batchdatei (oder .ps1) und auf ein gesichertes Netzlaufwerk (lesbar nur von Admins und vom Systemkonto deines Hyper-V) eines physikalisch sicheren Fileservers.
Auch musst Du zwangsläufig den Dienst "VMMS" auf manueller Start ändern und nach dem Unlock-Befehlnoch zwei Zeilen hinzufügen, so dass Du bei
manage-bde -unlock d: -rp 12232-22113-...Beispiel Recoverykey...-125642
timeout 3
net start vmms
ankommen wirst.

Natürlich wäre es schöner, das eingebaute auto-unlock zu nutzen, aber da hast Du ja derzeit mit zu kämpfen. Dies ist jedoch kein übler Workaround. Er verhindert sogar, dass ein Autounlock nach Diebstahl (mit Trennung vom Netzwerk) möglich wäre.
Xaero1982
Xaero1982 Aug 12, 2024 at 11:55:00 (UTC)
Goto Top
Da wird er aber nicht landen, wenn die Kiste nicht bootet ohne Key. Da kannste Skripten wie du willst.
DerWoWusste
DerWoWusste Aug 12, 2024 at 12:13:31 (UTC)
Goto Top
Hast Du denn auch gelesen, dass es bei ihm um die Datendisk geht? Passt schon.
Xaero1982
Xaero1982 Aug 12, 2024 at 12:22:16 (UTC)
Goto Top
Zitat von @DerWoWusste:

Hast Du denn auch gelesen, dass es bei ihm um die Datendisk geht? Passt schon.

Nee, hab ich natürlich nicht gelesen. Wie kommste denn auf die absurde Idee :D

*ich hab nichts gesagt**duck und wech*
ThePinky777
ThePinky777 Aug 12, 2024 updated at 14:14:34 (UTC)
Goto Top
Bevor ich bitlocker auf nen host aktivier, da überleg ich mir vorher die sicherheitsanforderung.
sprich bevor ich das machen würde, dann lieber ne selbstschuss anlage mit gesichtserkennung an die serverraum tür,
oder ne claymor mine...

wenn da mal ordentlich was crasht wirst du spass haben... aber sowas von... face-smile
Ich mein klar gehen geht alles...

Ne ohne spass dann mach ne panzer tür an den serverraum, gas verdampfer anlage...
hab so ne verdampfer anlage live erlebt... da klaut dir keiner mehr was ausm serverraum...
brauchst ne entlüfungsmaschine und selbst damit kommste erst nach paar stunden wieder ran.

dann HDDs entsorgen? dann kauf die nen magnet degauser und anschliessend per shredder (Degausen geht bei SSDs nicht mehr so gut aber das geht), und die kleinen teile nochmal schreddern (2. Maschine), und nen desintegrator (Spass gibts nur für Papier).
preysa
Solution preysa Aug 12, 2024 at 15:56:52 (UTC)
Goto Top
Also Problem gelöst, es war der falsche Treiber. Jetzt wird die Platte nicht mehr als tragbares Gerät erkannt.

Zum Thema Bitlocker muss ich zugeben, habe ich mich von typischen online Ratschlägen beeinflussen lassen.
Da der Server 2022 aber kein Bitlocker verlangt werde ich mir hier aber vorerst nicht in eine Sackgasse reiten(security by obscurity) vorallem, da der Diebstahl bei uns quasi gegen Null tendiert. Im Cloud Betrieb stelle ich mir das evtl. schwieriger vor.

Auf jeden Fall Danke an alle für die Anregungen und Ratschläge.
MysticFoxDE
MysticFoxDE Aug 13, 2024 at 06:49:56 (UTC)
Goto Top
Moin @preysa,

Zum Thema Bitlocker muss ich zugeben, habe ich mich von typischen online Ratschlägen beeinflussen lassen.

darf ich raten ... diese Vorschläge kamen bestimmt von einer DSBler Seite. 🙃

Gruss Alex
preysa
preysa Aug 13, 2024 updated at 09:05:43 (UTC)
Goto Top
Zitat von @MysticFoxDE:
darf ich raten ... diese Vorschläge kamen bestimmt von einer DSBler Seite. 🙃

Gruss Alex

Tatsächlich quer durch die Bank durch. Siehe auch den Link von Xaero1982. Daneben auch Social Media etc. Leider sind solche Ratschläge immer sehr allgemein gehalten und ohne viel Kontext verfasst. Das war auch keine Schnellschuß Aktion von mir. Darum auch das Thema hier bevor ich was anfasse face-smile
Xaero1982
Xaero1982 Aug 13, 2024 at 09:09:55 (UTC)
Goto Top
Deswegen hatte ich ja mal in einem Beitrag die Idee in den Raum geworfen mal einen Beitrag zu erstellen in dem solche Dinge zusammen gefasst werden. Also Erfahrungen aus der Community, die ja aus sehr vielen Berufsadmins besteht.
Also sozusagen unsere Best Practices.
MysticFoxDE
MysticFoxDE Aug 13, 2024 at 16:48:58 (UTC)
Goto Top
Moin @preysa,

Siehe auch den Link von Xaero1982.

ja, den habe ich mir tatsächlich durchgesehen ... leider. 😭

"Generell ist es empfehlenswert die physischen Datenträger des Hyper-V-Hosts und auch die virtuellen Betriebssysteme mit Bitlocker zu schützen."

Gleich alles mögliche einzuschalten und zwar ohne auch den entsprechenden Nutzen und auch die Konsequenzen im Vorfeld zu berücksichtigen, halte ich persönlich für nicht wirklich eine sehr unprofessionelle Idee. 😔

Sprich, bis auf den ersten Vorschlag Gen. 2 VM's zu verwenden, kann man den Rest, zumindest bei einer Private-Cloud Umgebung meiner Erfahrung nach auch gleich wieder überspringen, da Nutzen nicht wirklich vorhanden, der Ärger jedoch definitiv mit vorprogrammiert ist.

Gruss Alex
Xaero1982
Xaero1982 Aug 14, 2024 at 05:36:42 (UTC)
Goto Top
Sehe ich etwas anders. Ich habe es zwar auch nirgends aktiv auf Servern, aber ich habe mich da auch eher von denjenigen leiten lassen, die sagten: Machs nicht.

Ob es nun generell unsinnig ist und/oder Probleme macht wage ich da nicht zu beurteilen, aber ich habe hier zumindest noch von keinen Problemen diesbezüglich gelesen.
MysticFoxDE
MysticFoxDE Aug 14, 2024 at 08:21:24 (UTC)
Goto Top
Moin @Xaero1982,

aber ich habe hier zumindest noch von keinen Problemen diesbezüglich gelesen.

na ja, das hängt wahrscheinlich damit zusammen, dass sich mit diesem Thema, also Bitlocker auf Hyper-V und oder in einer VM, bisher so gut wie noch kein Admin wirklich auseinandergesetzt hat. 🙃

Und bei der Erfahrung die ich selbst schon mit Bitlocker auf Clients gemacht habe, werde ich es mir bei einem Server, ganz sicher nicht so schnell freiwillig antun, da ich weder auf Masochismus und auch nicht wirklich auf den Schneckenmodus stehe, sondern eher auf "low latency", sprich, eher Performance und so. 🤪

Gruss Alex
MysticFoxDE
MysticFoxDE Aug 14, 2024 at 17:04:37 (UTC)
Goto Top
Moin Zusammen,

ähm, ja, das passt glaube ich ganz gut zu diesem Thema ...

https://www.golem.de/news/nach-update-panne-microsoft-deaktiviert-patch- ...

"Einige Windows-Systeme können seit den Juli-Updates ohne Eingabe eines Bitlocker-Keys nicht mehr starten. Microsofts "Lösung" dafür scheint gar keine zu sein." 🙃

Gruss Alex
preysa
preysa Aug 14, 2024 at 17:41:21 (UTC)
Goto Top
Ja, hab ich auch gelesen und mich gleich danach gefreut direkt der ersten Katastrophe entkommen zu sein 😅
MysticFoxDE
MysticFoxDE Aug 14, 2024 at 19:48:54 (UTC)
Goto Top
Moin @preysa,

Ja, hab ich auch gelesen und mich gleich danach gefreut direkt der ersten Katastrophe entkommen zu sein 😅

noch ja, aber bald vielleicht nicht mehr ...

https://www.theverge.com/2024/8/14/24220138/microsoft-bitlocker-device-e ...

😔😭

Gruss Alex