我们发现了这个链接:
https://books.google.com.hk/books?id=Y0TfBgAAQBAJ&pg=PA112&lpg=PA112&dq=Using+Microsoft+BitLocker+In+a+hyper+v+guest&source=bl&ots=gxPNsAlgQn&sig=yvQGkqNkK1q2aOCVnlDZr7ltmTg&hl=zh-TW&sa=X&ved=0ahUKEwjZvL_N8ZzPAhWFl5QKHfJPCyc4FBDoAQhFMAU#v=onepage&q=guest&f=false
“BitLocker加密可应用于Hyper-V主机以确保数据保护.不支持Hyper-V来宾加密.”
(这些书在前几页说它基于Win2012R2)
这是否意味着不应在Hyper-V来宾操作系统中使用BitLocker?
但我们也找到了BitLocker常见问题解答:
https://technet.microsoft.com/en-us/library/hh831507.aspx
“BitLocker是否支持虚拟硬盘(VHD)?
可引导的VHD不支持BitLocker,但如果您运行的是Windows 8,Windows 8.1,Windows Server 2012或Windows Server 2012 R2,则数据卷VHD支持BitLocker,例如群集使用的BitDocker.
它在谈论VHD,我们猜测这意味着在客户操作系统中使用BitLocker?
任何建议?
Does that mean BitLocker should not be used inside a Hyper-V guest OS?
是的,这就是它的含义.
不应该使用它,因为在Windows Server 2016之前的Windows版本中不支持它.它不受支持,因为Microsoft不希望客户做一些不提供任何实际保护的内容.除非启动密钥存储在恢复分区或可移动介质上,否则无法将guest虚拟机配置为无人参与启动.启动密钥的更准确的名称是“启动和恢复密钥”,因为如果密钥存储在那里以解密驱动器,则任何人都可以访问恢复分区.并且您可能不希望每次客人启动时都输入恢复密钥.
此外,“附加虚拟软盘”完成相同数量的任何事情.如果密钥存储在连接到主机的未加密分区上的设备上,则数据不受保护.
Windows Server 2016引入了虚拟TPM,它可以通过无人参与的启动对来宾分区进行安全加密.你可以在这里读更多关于它的内容:
https://blogs.technet.microsoft.com/hybridcloudbp/2016/11/07/shielded-vms-in-windows-server-2016/
“使用vTPM进行BitLocker虚拟磁盘加密.无需在重启后提供解锁代码 – 在任何地方都使用来宾磁盘加密而无需任何管理开销.加密密钥安全地密封在虚拟TPM设备内,当VM移动到另一台主机时移动.”
