none
Bitlocker und das Backup RRS feed

  • Frage

  • Hallo,

    .

    ich möchte einen Server mit BitLocker verschlüsseln. Kurz zum Aufbau:

    Ein Server 2019 ist als Hyper-V Host auf Blech installiert. Darin laufen die VMs mit jeweils Server 2019.

    Host-System liegt auf C:, die VHDXe liegen auf D: (physikalisch getrennte RAIDs).

    Die VHDXe sind eingestellt auf feste Größe. Mein D: ist also quasi "randvoll" (roter Balken im Explorer) mit großteils inhaltslosen VHDXen.

    .

    Nun möchte ich einzelne VMs (nicht das Gesamtsystem) verschlüsseln. Also rein in die VM -> BitLocker aktiviert -> Fertig.

    Ich habe das nicht über vTPM gemacht sondern mit Passwort-Eingabe bei Start der VM (für mich in dieser Situation OK).

    .

    Mein Problem ist nun aber das Backup. Eine meiner VHDXe hat 500GB feste Größe. In der VM sind davon aber nur 100GB belegt.

    Mein Backup-Programm hat bisher daraus ein komprimiertes Backup gezaubert von vllt. 70GB. Es hat also die 100GB Nutzdaten auf 70GB komprimiert und 400GB leeren Platz auf 0GB.

    Jetzt kam die Verschlüsselung... meine 400GB leerer Platz sind nun also nicht mehr eine Aneinanderreihung von NULLen sondern eine Aneinanderreihung von nicht-komprimierbaren verschlüsselten NULLen. Die VHDX besteht nun quasi aus 500GB "Zufallszahlen".

    .

    Meine Backup-Datei hat jetzt also anstatt 70GB ganze 500GB Größe. Und das ist nur eine VM.

    .

    Gibt es hierzu Hinweise/Lösungen?

    Mein Ziel am Ende: die Nutzdaten sollen bei Server-Diebstahl unzugänglich sein?

    .

    Danke und Grüße

    Thomas

    Montag, 8. Juni 2020 11:20

Antworten

  • Moin,

    auf einer verschlüsselten VHD kann der Host nicht unterscheiden, was in Verwendung ist und was nicht (ich nehme an, Du hast "freien Platz verschlüsseln" aktiviert ;-) ). Du müsstest also die Sicherung aus der VM heraus durchführen, so als ob sie physisch wäre.

    Wo man in Hyper-V BitLocker aktiviert - im Host, im Gast, beide - ist eine alte Diskussion, und es gibt keine für alle gültige Antwort. Für Deine Situation wäre wahrscheinlich das Verschlüsseln der Datenpartition auf dem Host am besten geeignet - nur müsstest Du dafür auch die Startpartition verschlüsseln. Bei Server-(=Host-)Diebstahl wäre also alles gesperrt, und im eigenen Netzwerk könntest Du durch Network Unlock erreichen, dass Du den Host booten kannst, ohne an die Konsole zu müssen.

    Denk daran, dass der CPU-Overhead durch BitLocker im Gast höher ist, da einige CPU-Instruktionen, für die BitLocker optimiert ist, in einer VM nicht zur Verfügung stehen.

    Um Backup-Platz zu sparen und trotzdem nur die VHDXen zu verschlüsseln, kannst Du versuchen zu entschlüsseln und anschließend wieder zu verschlüsseln, aber nur den belegten Platz - vielleicht hilft das ja.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert Thomas Raasch Dienstag, 9. Juni 2020 11:18
    Montag, 8. Juni 2020 12:29

Alle Antworten

  • Moin,

    auf einer verschlüsselten VHD kann der Host nicht unterscheiden, was in Verwendung ist und was nicht (ich nehme an, Du hast "freien Platz verschlüsseln" aktiviert ;-) ). Du müsstest also die Sicherung aus der VM heraus durchführen, so als ob sie physisch wäre.

    Wo man in Hyper-V BitLocker aktiviert - im Host, im Gast, beide - ist eine alte Diskussion, und es gibt keine für alle gültige Antwort. Für Deine Situation wäre wahrscheinlich das Verschlüsseln der Datenpartition auf dem Host am besten geeignet - nur müsstest Du dafür auch die Startpartition verschlüsseln. Bei Server-(=Host-)Diebstahl wäre also alles gesperrt, und im eigenen Netzwerk könntest Du durch Network Unlock erreichen, dass Du den Host booten kannst, ohne an die Konsole zu müssen.

    Denk daran, dass der CPU-Overhead durch BitLocker im Gast höher ist, da einige CPU-Instruktionen, für die BitLocker optimiert ist, in einer VM nicht zur Verfügung stehen.

    Um Backup-Platz zu sparen und trotzdem nur die VHDXen zu verschlüsseln, kannst Du versuchen zu entschlüsseln und anschließend wieder zu verschlüsseln, aber nur den belegten Platz - vielleicht hilft das ja.


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert Thomas Raasch Dienstag, 9. Juni 2020 11:18
    Montag, 8. Juni 2020 12:29
  • Hallo,

    .

    vielen Dank - das trifft es genau!

    Ich möchte eigentlich den Host nur deshalb nicht verschlüsseln, weil wenn der Server unerwartet neu startet, fährt dieser ja nicht hoch.... er wartet auf das BitLocker Passwort.

    .

    Die Idee mit dem "Network Unlock" ist interessant. Noch nie was von gehört :)

    Ich werde mich damit auseinander setzen und dann den HoRst verschlüsseln. Die VHDXe intern wieder entschlüsseln und dann sollte das Backup laufen.

    .

    Vielen Dank dafür!

    Thomas

    Montag, 8. Juni 2020 13:47
  • Hallo,

    .

    ich muss diesen Beitrag nochmal rauskramen.

    Die Zeit hat es endlich zugelassen, dass ich mich mal mit Network Unlock auseinandersetzen konnte.

    .

    Alles was ich zu Network Unlock gefunden hab benötigt einen separaten WDS-Server!?

    Und irgendwas mit DHCP... und, und, und

    .

    Das Problem ist doch aber, dass ich genau meinen Server verschlüsseln möchte. Wir reden von einem kleinen Netzwerk mit 10 PCs und eben nur einem Server. Ich müsste nun also einen weiteren Server aufstellen, damit dieser ausschließlich WDS ausführen kann. Das klingt nach Elefant auf Mücke :)

    .

    In meinem (kleinen) Szenario wird Network Unlock wohl nicht möglich sein??

    .

    Grüße

    Dienstag, 23. Juni 2020 08:21
  • Moin,

    ja, das wäre technisch dann wohl eher ein Overkill. Bleibt also "betreutes Booten"...


    Evgenij Smirnov

    http://evgenij.smirnov.de

    Dienstag, 23. Juni 2020 10:15