Verwalten der BitLocker-Verschlüsselung in Azure Stack HCI, Version 23H2

  • Artikel

Gilt für: Azure Stack HCI, Version 23H2

In diesem Artikel wird beschrieben, wie Sie die BitLocker-Verschlüsselung anzeigen und aktivieren sowie BitLocker-Wiederherstellungsschlüssel auf Ihrem Azure Stack HCI-System abrufen.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie Zugriff auf ein Azure Stack HCI-System der Version 23H2 haben, das bereitgestellt, registriert und mit Azure verbunden ist.

Anzeigen von BitLocker-Einstellungen über Azure-Portal

Um die BitLocker-Einstellungen im Azure-Portal anzuzeigen, stellen Sie sicher, dass Sie die MCSB-Initiative angewendet haben. Weitere Informationen finden Sie unter Anwenden der Microsoft Cloud Security Benchmark-Initiative.

BitLocker bietet zwei Arten von Schutz: Verschlüsselung für Betriebssystemvolumes und Verschlüsselung für Datenvolumes. BitLocker-Einstellungen können nur im Azure-Portal angezeigt werden. Informationen zum Verwalten der Einstellungen finden Sie unter Verwalten von BitLocker-Einstellungen mit PowerShell.

Screenshot: Seite

Verwalten von BitLocker-Einstellungen mit PowerShell

Sie können Volumeverschlüsselungseinstellungen in Ihrem Azure Stack HCI-Cluster anzeigen, aktivieren und deaktivieren.

PowerShell-Cmdleteigenschaften

Die folgenden Cmdleteigenschaften gelten für die Volumeverschlüsselung mit dem BitLocker-Modul: AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>

    Wo Local undPerNode definieren Sie den Bereich, in dem das Cmdlet ausgeführt wird.

    • Lokal : Kann in einer regulären PowerShell-Remotesitzung ausgeführt werden und stellt BitLocker-Volumedetails für den lokalen Knoten bereit.
    • PerNode : Erfordert CredSSP (bei Verwendung von Remote-PowerShell) oder einer Remotedesktopsitzung (RDP). Stellt BitLocker-Volumedetails pro Knoten bereit.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

Anzeigen der Verschlüsselungseinstellungen für die Volumeverschlüsselung mit BitLocker

Führen Sie die folgenden Schritte aus, um die Verschlüsselungseinstellungen anzuzeigen:

  1. Stellen Sie eine Verbindung mit Ihrem Azure Stack HCI-Knoten her.

  2. Führen Sie das folgende PowerShell-Cmdlet mit lokalen Administratoranmeldeinformationen aus:

    Get-ASBitLocker

Aktivieren und Deaktivieren der Volumeverschlüsselung mit BitLocker

Führen Sie die folgenden Schritte aus, um die Volumeverschlüsselung mit BitLocker zu aktivieren:

  1. Stellen Sie eine Verbindung mit Ihrem Azure Stack HCI-Knoten her.

  2. Führen Sie das folgende PowerShell-Cmdlet mit lokalen Administratoranmeldeinformationen aus:

    Wichtig

    • Zum Aktivieren der Volumeverschlüsselung mit BitLocker auf dem Volumetyp BootVolume ist TPM 2.0 erforderlich.

    • Beim Aktivieren der Volumeverschlüsselung mit BitLocker im Volumetyp ClusterSharedVolume (CSV) wird das Volume in den Umleitungsmodus versetzt, und alle Workload-VMs werden für kurze Zeit angehalten. Dieser Vorgang ist störend; Planen Sie entsprechend. Weitere Informationen finden Sie unter Konfigurieren von bitLocker-verschlüsselten Clusterdatenträgern in Windows Server 2012.

    Enable-ASBitLocker

Führen Sie die folgenden Schritte aus, um die Volumeverschlüsselung mit BitLocker zu deaktivieren:

  1. Stellen Sie eine Verbindung mit Ihrem Azure Stack HCI-Knoten her.

  2. Führen Sie das folgende PowerShell-Cmdlet mit lokalen Administratoranmeldeinformationen aus:

    Disable-ASBitLocker

Abrufen von BitLocker-Wiederherstellungsschlüsseln

Hinweis

BitLocker-Schlüssel können jederzeit aus Ihrem lokalen Active Directory abgerufen werden. Wenn der Cluster ausgefallen ist und Sie nicht über die Schlüssel verfügen, können Sie möglicherweise nicht auf die verschlüsselten Daten im Cluster zugreifen. Zum Speichern Ihrer BitLocker-Wiederherstellungsschlüssel empfiehlt es sich, sie an einem sicheren externen Speicherort wie Azure Key Vault zu exportieren und zu speichern.

Führen Sie die folgenden Schritte aus, um die Wiederherstellungsschlüssel für Ihren Cluster zu exportieren:

  1. Stellen Sie als lokaler Administrator eine Verbindung mit Ihrem Azure Stack HCI-Cluster her. Führen Sie den folgenden Befehl in einer lokalen Konsolensitzung oder lokalen RDP-Sitzung (Remote Desktop Protocol) oder einer Remote PowerShell-Sitzung mit CredSSP-Authentifizierung aus:

  2. Führen Sie den folgenden Befehl in PowerShell aus, um die Informationen zum Wiederherstellungsschlüssel abzurufen:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    Hier ist eine Beispielausgabe:

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

Nächste Schritte