Partilhar via

Gerenciar criptografia BitLocker no Azure Local, versão 23H2

  • Artigo

Aplica-se a: Azure Local, versão 23H2

Este artigo descreve como exibir e habilitar a criptografia BitLocker e recuperar chaves de recuperação do BitLocker em sua instância local do Azure.

Pré-requisitos

Antes de começar, certifique-se de que tem acesso a uma instância do Azure Local, versão 23H2 que esteja implementada, registada e ligada ao Azure.

Ver definições do BitLocker através do portal do Azure

Para exibir as configurações do BitLocker no portal do Azure, verifique se você aplicou a iniciativa MCSB. Para obter mais informações, consulte Aplicar a iniciativa Microsoft Cloud Security Benchmark.

O BitLocker oferece dois tipos de proteção: criptografia para volumes do sistema operacional e criptografia para volumes de dados. Você só pode exibir as configurações do BitLocker no portal do Azure. Para gerenciar as configurações, consulte Gerenciar configurações do BitLocker com o PowerShell.

Captura de ecrã que mostra a página Proteção de dados para encriptação de volume no portal do Azure.

Gerenciar configurações do BitLocker com o PowerShell

Você pode exibir, habilitar e desabilitar as configurações de criptografia de volume em sua instância Local do Azure.

Propriedades do cmdlet do PowerShell

As seguintes propriedades de cmdlet são para criptografia de volume com o módulo BitLocker: AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>

    Onde Local ePerNode defina o escopo no qual o cmdlet é executado.

    • Local - Pode ser executado em uma sessão remota regular do PowerShell e fornece detalhes do volume BitLocker para o nó local.
    • PerNode - Requer CredSSP (ao usar o PowerShell remoto) ou uma sessão de área de trabalho remota (RDP). Fornece detalhes do volume BitLocker por nó.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

Exibir configurações de criptografia para criptografia de volume com o BitLocker

Siga estes passos para ver as definições de encriptação:

  1. Conecte-se à sua máquina Local do Azure.

  2. Execute o seguinte cmdlet do PowerShell usando credenciais de administrador local:

    Get-ASBitLocker

Ativar, desativar a encriptação de volume com o BitLocker

Siga estas etapas para habilitar a criptografia de volume com o BitLocker:

  1. Conecte-se à sua máquina Local do Azure.

  2. Execute o seguinte cmdlet do PowerShell usando credenciais de administrador local:

    Importante

    • Habilitar a criptografia de volume com o BitLocker no tipo de volume BootVolume requer o TPM 2.0.

    • Ao habilitar a criptografia de volume com o BitLocker no tipo ClusterSharedVolume de volume (CSV), o volume será colocado no modo redirecionado e todas as VMs de carga de trabalho serão pausadas por um curto período de tempo. Esta operação é disruptiva; planeie em conformidade. Para obter mais informações, consulte Como configurar discos clusterizados criptografados BitLocker no Windows Server 2012.

    Enable-ASBitLocker

Siga estes passos para desativar a encriptação de volume com o BitLocker:

  1. Conecte-se à sua máquina Local do Azure.

  2. Execute o seguinte cmdlet do PowerShell usando credenciais de administrador local:

    Disable-ASBitLocker

Obter chaves de recuperação do BitLocker

Nota

As chaves BitLocker podem ser recuperadas a qualquer momento do Ative Directory local. Se o cluster estiver inativo e você não tiver as chaves, talvez não consiga acessar os dados criptografados no cluster. Para salvar suas chaves de recuperação do BitLocker, recomendamos exportá-las e armazená-las em um local externo seguro, como o Cofre da Chave do Azure.

Siga estas etapas para exportar as chaves de recuperação para o cluster:

  1. Conecte-se à sua instância local do Azure como administrador local. Execute o seguinte comando em uma sessão de console local ou sessão RDP (Remote Desktop Protocol) local ou em uma sessão do PowerShell remoto com autenticação CredSSP:

  2. Para obter as informações da chave de recuperação, execute o seguinte comando no PowerShell:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    Aqui está um exemplo de saída:

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

Próximos passos