Condividi tramite

Gestire la crittografia BitLocker in Locale di Azure, versione 23H2

  • Articolo

Si applica a: Locale di Azure, versione 23H2

Questo articolo descrive come visualizzare e abilitare la crittografia BitLocker e recuperare le chiavi di ripristino di BitLocker nell'istanza locale di Azure.

Prerequisiti

Prima di iniziare, assicurarsi di avere accesso a un'istanza locale di Azure, versione 23H2 distribuita, registrata e connessa ad Azure.

Visualizzare le impostazioni di BitLocker tramite portale di Azure

Per visualizzare le impostazioni di BitLocker nel portale di Azure, assicurarsi di aver applicato l'iniziativa MCSB. Per altre informazioni, vedere Applicare l'iniziativa Microsoft Cloud Security Benchmark.

BitLocker offre due tipi di protezione: la crittografia per i volumi del sistema operativo e la crittografia per i volumi di dati. È possibile visualizzare solo le impostazioni di BitLocker nel portale di Azure. Per gestire le impostazioni, vedere Gestire le impostazioni di BitLocker con PowerShell.

Screenshot che mostra la pagina Protezione dati per la crittografia del volume in portale di Azure.

Gestire le impostazioni di BitLocker con PowerShell

È possibile visualizzare, abilitare e disabilitare le impostazioni di crittografia del volume nell'istanza locale di Azure.

Proprietà dei cmdlet di PowerShell

Le proprietà del cmdlet seguenti sono per la crittografia del volume con il modulo BitLocker: AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>

    Dove Local ePerNode definire l'ambito in cui viene eseguito il cmdlet.

    • Locale : può essere eseguito in una normale sessione remota di PowerShell e fornisce i dettagli del volume BitLocker per il nodo locale.
    • PerNode : richiede CredSSP (quando si usa PowerShell remoto) o una sessione desktop remoto (RDP). Fornisce i dettagli del volume di BitLocker per ogni nodo.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

Visualizzare le impostazioni di crittografia per la crittografia dei volumi con BitLocker

Per visualizzare le impostazioni di crittografia, seguire questa procedura:

  1. Connettersi al computer locale di Azure.

  2. Eseguire il cmdlet di PowerShell seguente usando le credenziali di amministratore locale:

    Get-ASBitLocker

Abilitare, disabilitare la crittografia del volume con BitLocker

Seguire questa procedura per abilitare la crittografia del volume con BitLocker:

  1. Connettersi al computer locale di Azure.

  2. Eseguire il cmdlet di PowerShell seguente usando le credenziali di amministratore locale:

    Importante

    • L'abilitazione della crittografia del volume con BitLocker nel tipo di volume BootVolume richiede TPM 2.0.

    • Durante l'abilitazione della crittografia del volume con BitLocker sul tipo di ClusterSharedVolume volume (CSV), il volume verrà messo in modalità reindirizzata e tutte le macchine virtuali del carico di lavoro verranno sospese per un breve periodo di tempo. Questa operazione è dirompente; pianificare di conseguenza. Per altre informazioni, vedere Come configurare i dischi cluster crittografati bitLocker in Windows Server 2012.

    Enable-ASBitLocker

Seguire questa procedura per disabilitare la crittografia del volume con BitLocker:

  1. Connettersi al computer locale di Azure.

  2. Eseguire il cmdlet di PowerShell seguente usando le credenziali di amministratore locale:

    Disable-ASBitLocker

Ottenere le chiavi di ripristino di BitLocker

Nota

Le chiavi BitLocker possono essere recuperate in qualsiasi momento da Active Directory locale. Se il cluster è inattivo e non si dispone delle chiavi, potrebbe non essere possibile accedere ai dati crittografati nel cluster. Per salvare le chiavi di ripristino di BitLocker, è consigliabile esportarle e archiviarle in una posizione esterna sicura, ad esempio Azure Key Vault.

Seguire questa procedura per esportare le chiavi di ripristino per il cluster:

  1. Connettersi all'istanza locale di Azure come amministratore locale. Eseguire il comando seguente in una sessione della console locale o in una sessione RDP (Remote Desktop Protocol) locale o in una sessione remota di PowerShell con l'autenticazione CredSSP:

  2. Per ottenere le informazioni sulla chiave di ripristino, eseguire il comando seguente in PowerShell:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    Di seguito è riportato un output di esempio:

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

Passaggi successivi