通过

管理 Azure 本地版本 23H2 上的 BitLocker 加密

  • 项目

适用于:Azure 本地版本 23H2

本文介绍如何查看和启用 BitLocker 加密,以及如何在 Azure 本地实例上检索 BitLocker 恢复密钥。

先决条件

在开始之前,请确保有权访问已部署、注册并连接到 Azure 的 Azure 本地版本 23H2 实例。

通过Azure 门户查看 BitLocker 设置

若要查看Azure 门户中的 BitLocker 设置,请确保已应用 MCSB 计划。 有关详细信息,请参阅 应用Microsoft云安全基准计划

BitLocker 提供两种类型的保护:OS 卷加密和数据卷加密。 只能在Azure 门户中查看 BitLocker 设置。 若要管理设置,请参阅 使用 PowerShell 管理 BitLocker 设置。

显示Azure 门户卷加密的数据保护页的屏幕截图。

使用 PowerShell 管理 BitLocker 设置

可以在 Azure 本地实例上查看、启用和禁用卷加密设置。

PowerShell cmdlet 属性

以下 cmdlet 属性适用于使用 BitLocker 模块进行卷加密: AzureStackBitLockerAgent

  •   Get-ASBitLocker -<Local | PerNode>

    其中 LocalPerNode 定义运行 cmdlet 的范围。

    • 本地 - 可以在常规远程 PowerShell 会话中运行,并为本地节点提供 BitLocker 卷详细信息。
    • PerNode - 需要 CredSSP(使用远程 PowerShell 时)或远程桌面会话(RDP)。 为每个节点提供 BitLocker 卷详细信息。
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

使用 BitLocker 查看卷加密的加密设置

按照以下步骤查看加密设置:

  1. 连接到 Azure 本地计算机。

  2. 使用本地管理员凭据运行以下 PowerShell cmdlet:

    Get-ASBitLocker

启用、使用 BitLocker 禁用卷加密

按照以下步骤使用 BitLocker 启用卷加密:

  1. 连接到 Azure 本地计算机。

  2. 使用本地管理员凭据运行以下 PowerShell cmdlet:

    重要

    • 在卷类型 BootVolume 上使用 BitLocker 启用卷加密需要 TPM 2.0。

    • 在卷类型 ClusterSharedVolume (CSV)上启用 BitLocker 的卷加密时,卷将处于重定向模式,并且任何工作负荷 VM 都将暂停很短的时间。 此操作具有破坏性;相应地规划。 有关详细信息,请参阅 如何在 Windows Server 2012 中配置 BitLocker 加密群集磁盘。

    Enable-ASBitLocker

按照以下步骤使用 BitLocker 禁用卷加密:

  1. 连接到 Azure 本地计算机。

  2. 使用本地管理员凭据运行以下 PowerShell cmdlet:

    Disable-ASBitLocker

获取 BitLocker 恢复密钥

注意

可以随时从本地 Active Directory 检索 BitLocker 密钥。 如果群集已关闭且没有密钥,则可能无法访问群集上的加密数据。 若要保存 BitLocker 恢复密钥,建议将其导出并存储在安全的外部位置(例如 Azure 密钥库)。

按照以下步骤导出群集的恢复密钥:

  1. 以本地管理员身份连接到 Azure 本地实例。 在本地控制台会话或本地远程桌面协议 (RDP) 会话或使用 CredSSP 身份验证的远程 PowerShell 会话中运行以下命令:

  2. 若要获取恢复密钥信息,请在 PowerShell 中运行以下命令:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    下面是示例输出:

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

后续步骤