Zarządzanie szyfrowaniem funkcji BitLocker na platformie Azure w wersji 23H2
Dotyczy: Azure Local, wersja 23H2
W tym artykule opisano sposób wyświetlania i włączania szyfrowania funkcją BitLocker oraz pobierania kluczy odzyskiwania funkcji BitLocker w wystąpieniu lokalnym platformy Azure.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz dostęp do lokalnego wystąpienia platformy Azure w wersji 23H2, które zostało wdrożone, zarejestrowane i połączone z platformą Azure.
Wyświetlanie ustawień funkcji BitLocker za pośrednictwem witryny Azure Portal
Aby wyświetlić ustawienia funkcji BitLocker w witrynie Azure Portal, upewnij się, że zastosowano inicjatywę MCSB. Aby uzyskać więcej informacji, zobacz Apply Microsoft Cloud Security Benchmark initiative (Stosowanie inicjatywy testu porównawczego zabezpieczeń w chmurze firmy Microsoft).
Funkcja BitLocker oferuje dwa typy ochrony: szyfrowanie woluminów systemu operacyjnego i szyfrowanie woluminów danych. Ustawienia funkcji BitLocker można wyświetlać tylko w witrynie Azure Portal. Aby zarządzać ustawieniami, zobacz Zarządzanie ustawieniami funkcji BitLocker przy użyciu programu PowerShell.
Zarządzanie ustawieniami funkcji BitLocker przy użyciu programu PowerShell
Ustawienia szyfrowania woluminów można wyświetlać, włączać i wyłączać w wystąpieniu lokalnym platformy Azure.
Właściwości polecenia cmdlet programu PowerShell
Następujące właściwości polecenia cmdlet są przeznaczone do szyfrowania woluminów za pomocą modułu Funkcji BitLocker: AzureStackBitLockerAgent.
-
Get-ASBitLocker -<Local | PerNode>
Gdzie
Local
iPerNode
zdefiniuj zakres, w którym jest uruchamiane polecenie cmdlet.- Lokalne — można uruchomić w regularnej zdalnej sesji programu PowerShell i zawiera szczegóły woluminu funkcji BitLocker dla węzła lokalnego.
- PerNode — wymaga protokołu CredSSP (w przypadku korzystania ze zdalnego programu PowerShell) lub sesji pulpitu zdalnego (RDP). Udostępnia szczegóły woluminu funkcji BitLocker na węzeł.
-
Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
-
Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
Wyświetlanie ustawień szyfrowania woluminów za pomocą funkcji BitLocker
Wykonaj następujące kroki, aby wyświetlić ustawienia szyfrowania:
Połącz się z maszyną lokalną platformy Azure.
Uruchom następujące polecenie cmdlet programu PowerShell przy użyciu poświadczeń administratora lokalnego:
Get-ASBitLocker
Włączanie, wyłączanie szyfrowania woluminów za pomocą funkcji BitLocker
Wykonaj następujące kroki, aby włączyć szyfrowanie woluminów za pomocą funkcji BitLocker:
Połącz się z maszyną lokalną platformy Azure.
Uruchom następujące polecenie cmdlet programu PowerShell przy użyciu poświadczeń administratora lokalnego:
Ważne
Włączenie szyfrowania woluminów za pomocą funkcji BitLocker w typie woluminu BootVolume wymaga modułu TPM 2.0.
Podczas włączania szyfrowania woluminów za pomocą funkcji BitLocker w typie
ClusterSharedVolume
woluminu (CSV) wolumin zostanie umieszczony w trybie przekierowania, a wszystkie maszyny wirtualne obciążenia zostaną wstrzymane przez krótki czas. Ta operacja jest destrukcyjna; odpowiednio zaplanować. Aby uzyskać więcej informacji, zobacz How to configure BitLocker encrypted clustered disks in Windows Server 2012 (Jak skonfigurować zaszyfrowane dyski klastrowane za pomocą funkcji BitLocker w systemie Windows Server 2012).
Enable-ASBitLocker
Wykonaj następujące kroki, aby wyłączyć szyfrowanie woluminów za pomocą funkcji BitLocker:
Połącz się z maszyną lokalną platformy Azure.
Uruchom następujące polecenie cmdlet programu PowerShell przy użyciu poświadczeń administratora lokalnego:
Disable-ASBitLocker
Uzyskiwanie kluczy odzyskiwania funkcji BitLocker
Uwaga
Klucze funkcji BitLocker można pobrać w dowolnym momencie z lokalnej usługi Active Directory. Jeśli klaster nie działa i nie masz kluczy, być może nie możesz uzyskać dostępu do zaszyfrowanych danych w klastrze. Aby zapisać klucze odzyskiwania funkcji BitLocker, zalecamy wyeksportowanie i zapisanie ich w bezpiecznej lokalizacji zewnętrznej, takiej jak usługa Azure Key Vault.
Wykonaj następujące kroki, aby wyeksportować klucze odzyskiwania dla klastra:
Połącz się z wystąpieniem lokalnym platformy Azure jako administrator lokalny. Uruchom następujące polecenie w sesji konsoli lokalnej lub lokalnej sesji protokołu RDP (Remote Desktop Protocol) lub sesji zdalnego programu PowerShell z uwierzytelnianiem CredSSP:
Aby uzyskać informacje o kluczu odzyskiwania, uruchom następujące polecenie w programie PowerShell:
Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
Oto przykładowe dane wyjściowe:
PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey ComputerName PasswordId RecoveryKey ------- ---------- ----------- ASB88RR1OU19 {Password1} Key1 ASB88RR1OU20 {Password2} Key2 ASB88RR1OU21 {Password3} Key3 ASB88RR1OU22 {Password4} Key4