Delen via

BitLocker-versleuteling beheren in Azure Local

  • Artikel

Van toepassing op: Azure Local 2311.2 en hoger

In dit artikel wordt beschreven hoe u BitLocker-versleuteling kunt weergeven en inschakelen en hoe u BitLocker-herstelsleutels ophaalt in uw lokale Azure-exemplaar.

Vereisten

Voordat u begint, moet u ervoor zorgen dat u toegang hebt tot een lokaal Azure-exemplaar dat is geïmplementeerd, geregistreerd en verbonden met Azure.

BitLocker-instellingen weergeven via Azure Portal

Als u de BitLocker-instellingen in Azure Portal wilt weergeven, moet u ervoor zorgen dat u het MCSB-initiatief hebt toegepast. Zie Microsoft Cloud Security Benchmark-initiatief toepassen voor meer informatie.

BitLocker biedt twee soorten beveiliging: versleuteling voor besturingssysteemvolumes en versleuteling voor gegevensvolumes. U kunt alleen BitLocker-instellingen weergeven in Azure Portal. Zie BitLocker-instellingen beheren met PowerShell om de instellingen te beheren.

Schermopname van de pagina Gegevensbeveiliging voor volumeversleuteling in Azure Portal.

BitLocker-instellingen beheren met PowerShell

U kunt instellingen voor volumeversleuteling weergeven, inschakelen en uitschakelen op uw lokale Azure-exemplaar.

Eigenschappen van PowerShell-cmdlet

De volgende cmdlet-eigenschappen zijn voor volumeversleuteling met BitLocker-module: AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>

    Waar Local enPerNode definieer het bereik waarop de cmdlet wordt uitgevoerd.

    • Lokaal : kan worden uitgevoerd in een reguliere externe PowerShell-sessie en biedt bitLocker-volumedetails voor het lokale knooppunt.
    • PerNode : Vereist CredSSP (bij gebruik van externe PowerShell) of een extern bureaubladsessie (RDP). Biedt bitLocker-volumegegevens per knooppunt.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

Versleutelingsinstellingen voor volumeversleuteling weergeven met BitLocker

Volg deze stappen om versleutelingsinstellingen weer te geven:

  1. Maak verbinding met uw lokale Azure-computer.

  2. Voer de volgende PowerShell-cmdlet uit met behulp van lokale beheerdersreferenties:

    Get-ASBitLocker

Volumeversleuteling met BitLocker inschakelen, uitschakelen

Volg deze stappen om volumeversleuteling in te schakelen met BitLocker:

  1. Maak verbinding met uw lokale Azure-computer.

  2. Voer de volgende PowerShell-cmdlet uit met behulp van lokale beheerdersreferenties:

    Belangrijk

    • Voor het inschakelen van volumeversleuteling met BitLocker op volumetype BootVolume is TPM 2.0 vereist.

    • Tijdens het inschakelen van volumeversleuteling met BitLocker op volumetype ClusterSharedVolume (CSV), wordt het volume in de omleidingsmodus geplaatst en worden alle workload-VM's gedurende korte tijd onderbroken. Deze bewerking is verstorend; plan dienovereenkomstig. Zie BitLocker versleutelde geclusterde schijven configureren in Windows Server 2012 voor meer informatie.

    Enable-ASBitLocker

Volg deze stappen om volumeversleuteling uit te schakelen met BitLocker:

  1. Maak verbinding met uw lokale Azure-computer.

  2. Voer de volgende PowerShell-cmdlet uit met behulp van lokale beheerdersreferenties:

    Disable-ASBitLocker

BitLocker-herstelsleutels ophalen

Notitie

BitLocker-sleutels kunnen op elk gewenst moment worden opgehaald uit uw lokale Active Directory. Als het cluster niet beschikbaar is en u de sleutels niet hebt, hebt u mogelijk geen toegang tot de versleutelde gegevens in het cluster. Als u uw BitLocker-herstelsleutels wilt opslaan, raden we u aan deze te exporteren en op te slaan op een veilige externe locatie, zoals Azure Key Vault.

Volg deze stappen om de herstelsleutels voor uw cluster te exporteren:

  1. Maak verbinding met uw lokale Azure-exemplaar als lokale beheerder. Voer de volgende opdracht uit in een lokale consolesessie of lokale RDP-sessie (Remote Desktop Protocol) of een externe PowerShell-sessie met CredSSP-verificatie:

  2. Voer de volgende opdracht uit in PowerShell om de informatie over de herstelsleutel op te halen:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    Hier volgt een voorbeelduitvoer:

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

Volgende stappen