Compartir a través de

Administración del cifrado de BitLocker en Azure Local, versión 23H2

  • Artículo

Se aplica a: Azure Local, versión 23H2

En este artículo se describe cómo ver y habilitar el cifrado de BitLocker y recuperar claves de recuperación de BitLocker en la instancia local de Azure.

Requisitos previos

Antes de empezar, asegúrese de que tiene acceso a una instancia de Azure Local, versión 23H2 implementada, registrada y conectada a Azure.

Visualización de la configuración de BitLocker mediante Azure Portal

Para ver la configuración de BitLocker en Azure Portal, asegúrese de que ha aplicado la iniciativa MCSB. Para obtener más información, consulte Aplicación de la iniciativa Microsoft Cloud Security Benchmark.

BitLocker ofrece dos tipos de protección: cifrado para volúmenes del sistema operativo y cifrado para volúmenes de datos. Solo puede ver la configuración de BitLocker en Azure Portal. Para administrar la configuración, consulte Administrar la configuración de BitLocker con PowerShell.

Captura de pantalla que muestra la página Protección de datos para el cifrado de volúmenes en Azure Portal.

Administración de la configuración de BitLocker con PowerShell

Puede ver, habilitar y deshabilitar la configuración de cifrado de volumen en la instancia local de Azure.

Propiedades del cmdlet de PowerShell

Las siguientes propiedades de cmdlet son para el cifrado de volúmenes con el módulo BitLocker: AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>

    Dónde Local yPerNode definen el ámbito en el que se ejecuta el cmdlet.

    • Local : se puede ejecutar en una sesión de PowerShell remota normal y proporciona detalles del volumen de BitLocker para el nodo local.
    • PerNode : requiere CredSSP (cuando se usa PowerShell remoto) o una sesión de escritorio remoto (RDP). Proporciona detalles de volumen de BitLocker por nodo.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

Visualización de la configuración de cifrado para el cifrado de volumen con BitLocker

Siga estos pasos para ver la configuración de cifrado:

  1. Conéctese a la máquina local de Azure.

  2. Ejecute el siguiente cmdlet de PowerShell mediante credenciales de administrador local:

    Get-ASBitLocker

Habilitar, deshabilitar el cifrado de volumen con BitLocker

Siga estos pasos para habilitar el cifrado de volumen con BitLocker:

  1. Conéctese a la máquina local de Azure.

  2. Ejecute el siguiente cmdlet de PowerShell mediante credenciales de administrador local:

    Importante

    • Habilitar el cifrado de volumen con BitLocker en el tipo de volumen BootVolume requiere TPM 2.0.

    • Al habilitar el cifrado de volumen con BitLocker en el tipo ClusterSharedVolume de volumen (CSV), el volumen se pondrá en modo redirigido y las máquinas virtuales de carga de trabajo se pausarán durante un breve tiempo. Esta operación es perjudicial; planee en consecuencia. Para obtener más información, consulte Configuración de discos en clúster cifrados de BitLocker en Windows Server 2012.

    Enable-ASBitLocker

Siga estos pasos para deshabilitar el cifrado de volumen con BitLocker:

  1. Conéctese a la máquina local de Azure.

  2. Ejecute el siguiente cmdlet de PowerShell mediante credenciales de administrador local:

    Disable-ASBitLocker

Obtención de claves de recuperación de BitLocker

Nota:

Las claves de BitLocker se pueden recuperar en cualquier momento desde la instancia local de Active Directory. Si el clúster está inactivo y no tiene las claves, es posible que no pueda acceder a los datos cifrados del clúster. Para guardar las claves de recuperación de BitLocker, se recomienda exportarlas y almacenarlas en una ubicación externa segura, como Azure Key Vault.

Siga estos pasos para exportar las claves de recuperación del clúster:

  1. Conéctese a la instancia local de Azure como administrador local. Ejecute el siguiente comando en una sesión de consola local o en una sesión de Protocolo de escritorio remoto (RDP) local o en una sesión de PowerShell remota con autenticación CredSSP:

  2. Para obtener la información de la clave de recuperación, ejecute el siguiente comando en PowerShell:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    Este es una salida de ejemplo:

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

Pasos siguientes