Xifrat d’una màquina virtual Hyper-V amb BitLocker

20 Setembre 2016
Josep Ma Solanes 0

Una de les característiques noves que aporta el hipervisor Microsoft Hyper-V en la seva versió 2016 és la possibilitat de xifrar les màquines virtuals. D’aquesta manera queden fora de l’abast de mirades curioses que no hi haurien de ser.

Potser us preguntareu, per què cal xifrar una màquina virtual? Quin sentit té xifrar un servidor? Jo em vaig fer aquestes preguntes,  fins que vaig veure el motiu. La meva reacció va ser, com és que no s’ha fet fins ara això!

Posem-nos en situació. Tenim una xarxa amb una granja de virtualització on es van desplegant màquines virtuals. Entre elles, els controladors d’Active Directory, bases de dades, servidors de fitxers…. Vaja el normal.

Fem una mica de retrospectiva i imaginem el mateix entorn sense una granja de virtualizació. Un rack de servidors físics, amb el servidor d’Active Directory, el de base de dades, el de fitxers…. Tot dins el Centre de Dades.

En tot el sistema prima la seguretat, naturalment:

  • Per la part lògica, s’han desactivat i securitzat els comptes d’administradors locals. L’arrancada dels servidors és només pels discs durs, no es permet l’arrancada des de USBs, CD’s o xarxa, etc….
  • Per la part física, per accedir al Centre de Dades on hi ha els servidors físics o la granja de virtualització, cal accedir-hi mitjançant una porta d’accés controlada.

És a dir, no qualsevol hi pot accedir. Fins aquí tot correcte oi?

 

Anem a fer de dolentots. Vull copiar l’Active Directory per fer malifetes, per exemple força bruta contra comptes d’usuaris. Qui diu l’Active Directory, diu el servidor de bases de dades, per copiar la informació de la base de dades i extreure-la de l’empresa, el servidor de fitxers, etc… En passen moltes pel cap de la gent i, com a responsables de TI, heu de valorar-les i posar-hi els entrebancs que hi corresponguin.

Tornant al nostre Centre de Dades per fer aquestes operacions, comencem pel que seria un entorn físic.

  • Primer hauria de poder accedir físicament al Centre de Dades.
  • Apagar el servidor que vull copiar o fer malifetes.
  • Trobar una vulnerabilitat a la BIOS, etc… Que em permetés arrancar el servidor físic (amb el que tarden en inicialitzar el maquinari).
  • Arrancar des d’un USB o CD. Que hauré preparat prèviament amb els controladors correctes d’almenys la controladora d’emmagatzematge. No seria pas el primer que arranca amb un dispositiu USB i no troba els discs…
  • Endollar un disc dur extern al servidor i realitzar la còpia de la maquineta.
  • Apagar i tornar a arrancar amb normalitat. Si, i ningú s’ha assabentat que el servidor d’Active Directory, Base de dades, etc… Porta sense funcionar 4 hores oi?

Vaja, que és un entorn “segur” en l’aspecte físic.

 

I en l’entorn virtual? Aquí canvia el joc, ja sigui VMware o Hyper-V.

Ja no fa falta accedir físicament al Centre de Dades, només cal tenir accés a la consola del hipervisor. (Suposem que som un operador del sistema). Si vull copiar una màquina virtual:

  • Amb la màquina engegada, només em cal fer una instantània d’ella.
  • Una exportació de la instantània a una ubicació d’emmagatzematge diferent.
  • Copiar la màquina virtual resultant.
  • Arrancar la màquina amb un CD, per canviar la contrasenya d’administrador, o bé connectar el disc dur a una altra màquina i voilà, ja tinc accés a la informació.

Bé, acabem de fer una operació diguem una mica delicada, per l’empresa, és clar. Si això passa en el nostre entorn habitual, més o menys tots ens coneixem. El normal també és haver signat els documents de confidencialitat i propietat intel·lectual, que ens lliguen a procurar per l’empresa, no perquè no puguem endur-nos la informació, però si perquè l’empresa ens pugui reclamar danys i perjudicis per les nostres males accions.

Però quan la màquina està ubicada a un Centre de Dades públic? Què pot passar? … Ho deixo a l’aire, traieu vosaltres mateixos les conclusions.

 

Xifrar màquines virtuals amb BitLocker sobre l’Hyper-V de Microsoft Windows 10 o Windows Server 2016.

De mica en mica en altres entrades, ja aniré complicant l’entorn. En aquesta entrada ens centrem amb el xifrat d’una màquina virtual.

Per això, és requereix que la màquina física que suporta el hipervisor disposi del xip TPM, que permet emmagatzemar la clau de xifrat en el maquinari.

El laboratori el faré amb un equip portàtil que disposa del xip TPM. L’equip té instal·lada una versió de Microsoft Windows 10 (sí, les versions de Windows 10 també permeten xifrar les màquines virtuals, l’hipervisor és el mateix que en Windows Server 2016).  Comencem!

 

Obrim l’administrador de màquines virtuals. Recordeu, Inici, a l’apartat de buscar escriure Hyper.

bitlocker-xifrar-vm-windows-001

Des de l’administrador de màquines virtuals, crear una nova màquina virtual.

bitlocker-xifrar-vm-windows-002

Indicar un nom a la màquina virtual, allà on la volem allotjar i clicar el botó Següent.

bitlocker-xifrar-vm-windows-003

Seleccionar la generació de la màquina virtual. La característica de xifrat només està disponible en la segona generació, per tant, seleccionar 2a generació i clicar el botó Següent.

bitlocker-xifrar-vm-windows-004

Quantitat de memòria RAM i si la màquina virtual ha d’utilitzar memòria dinàmica o no. Clicar el botó Següent per continuar.

bitlocker-xifrar-vm-windows-005

Configuració de la connexió de xarxa. Deixar com es vulgui i clicar el botó Següent.

bitlocker-xifrar-vm-windows-006

Indicar les característiques del disc dur virtual i clicar el botó Següent.

bitlocker-xifrar-vm-windows-007

Instal·lar el sistema operatiu ara o més endavant. Seleccionar més endavant per acabar d’afinar la configuració de la màquina virtual i clicar el botó Següent.

bitlocker-xifrar-vm-windows-008

Resum de la configuració de la màquina virtual. Clicar el botó Finalitzar per aplicar-la.

bitlocker-xifrar-vm-windows-009

Amb la nova màquina virtual creada, botó dret del ratolí damunt d’ella i clicar a Configuració.

bitlocker-xifrar-vm-windows-010

Clicar a l’apartat de seguretat, on es configura el UEFI, és aquí on es configura la possibilitat d’utilitzar el xip TPM de la màquina física amb la màquina virtual. Clicar el piscu d’habilitar el mòdul TPM. Al fer-ho també se’ns ofereix la possibilitat de xifrar el trànsit de migració de la màquina virtual. Aquest punt el deixem per més endavant.

bitlocker-xifrar-vm-windows-011

Acabar de configurar la màquina virtual segons les necessitats del sistema operatiu: afegir una ISO per la seva instal·lació, configurar l’arrancada a la unitat ISO, afegir més processador, etc….

L’objectiu és disposar d’una màquina virtual amb el sistema operatiu Microsoft Windows Server 2016 acabat d’instal·lar.

 

 

Comprovar que es pot accedir a la informació d’una màquina virtual per “mètodes aliens”

Apaguem la màquina virtual i, per exemple, connectem el seu disc dur al propi Windows client o a un Linux.

En el Windows, des de l’administrador de disc, menú Acció, clicar a Connectar disc VHD. Seleccionar el disc VHD de la màquina virtual que disposem.

bitlocker-xifrar-vm-windows-023

El disc es carrega i se li assignen les unitats sense cap tipus de problema. Es pot crear una carpeta nova, copiar el contingut, etc…

bitlocker-xifrar-vm-windows-024

Desmuntant el disc dur virtual (recordeu, botó dret damunt del disc i clicar a desmuntar VHD) i tornant a engegar la màquina virtual.

bitlocker-xifrar-vm-windows-026

Trobem les modificacions que hem fet al disc sense cap tipus d’inconvenient. Lleig, hem accedit al disc saltant-nos tots els nivells de seguretat.

bitlocker-xifrar-vm-windows-028

En el Kali, muntem la unitat de disc i sí, també tenim accés a la informació!

bitlocker-xifrar-vm-windows-029

 

 

Xifrar la màquina virtual Microsoft Windows Server 2016 amb BitLocker sobre Hyper-V

Primer que tot, cal habilitar la característica en el servidor. Des de l’Administrador del Servidor, clicar a Afegir rols i característiques.

bitlocker-xifrar-vm-windows-013

Seleccionar instal·lació basada en rol o característica i clicar el botó Següent.

bitlocker-xifrar-vm-windows-014

Seleccionar l’equip on fer el desplegament i clicar el botó Següent.

bitlocker-xifrar-vm-windows-015

El xifrat no és un rol, és una característica, per tant, saltem l’apartat de rols clicant el botó Següent.

bitlocker-xifrar-vm-windows-016

Seleccionar el piscu de Xifrat de disc de BitLocker, acceptar la instal·lació de la resta de característiques necessàries. Clicar el botó Següent per continuar.

bitlocker-xifrar-vm-windows-017

Resum de la instal·lació. Caldrà reiniciar la màquina, es pot marcar el piscu de reiniciar automàticament. Clicar el botó Instal·lar.

bitlocker-xifrar-vm-windows-018

Arrancada la màquina virtual, accedim al tauler de control. Botó dret damunt el botó Inici i clicar a Tauler de control.

bitlocker-xifrar-vm-windows-012

En ell apareix una nova opció: Xifrat de la Unitat amb BitLocker. Clicar-la!

bitlocker-xifrar-vm-windows-020

De moment està desactivada. El primer que hem de fer és comprovar la configuració del xip TPM. Clicar a l’opció situada a la banda esquerra inferior d’Administració TPM.

bitlocker-xifrar-vm-windows-021

Si tot és correcte, s’ha d’indicar que el TPM està preparat per ser utilitzat. Tancar l’administrador del TPM.

bitlocker-xifrar-vm-windows-022

Tornant a l’apartat de Xifrat d’Unitats BitLocker, simplement, clicar a Habilitar el xifrat a la unitat C.

bitlocker-xifrar-vm-windows-030

Upss. No puc acabar com voldria aquesta entrada perquè no em funciona, però tranquils, no és cosa del Windows Server 2016.

M’haureu de perdonar, però en aquests moments no puc activar el BitLocker en una màquina virtual per un problema amb la versió Microsoft Windows 10 del sistema operatiu amfitrió que estic utilitzant. No obstant, un cop habilitat el xifrat i guardada la clau de desxifratge en una unitat per si les mosques, no cal fer-hi res més. El sistema a l’arrencar automàticament es posa en contacte amb el xip TPM que li proporciona la clau de desxifrat i arrenca el sistema operatiu com qualsevol altre.

 

Ara bé, si s’intenta muntar aquest disc dur virtual, encara que sigui al mateix ordinador amfitrió de la màquina virtual, o en un altre equip; la informació ja no és accessible. Amb un Windows compatible amb el xifrat, demanarà la clau de desxifrat de BitLocker. Amb un altre sistema operatiu, simplement veurà un disc dur amb una partició il·legible. Sí, aquesta partició és pot destruir i perdre la informació, però el què no es podrà fer és llegir-la ni copiar-la.

 

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

Similar Posts by The Author:

 

Deixar un comentari

Recorda que no es contestaran preguntes personals, només d´interés comú que ens enriqueixin a tots.
La teva adreça de correu electrònic no serà publicada. Els camps obligatoris estan indicats.

Aquest lloc utilitza Akismet per reduir el correu brossa. Aprendre com la informació del vostre comentari és processada