Administración del cifrado de BitLocker en Azure Stack HCI, versión 23H2

  • Artículo

Se aplica a: Azure Stack HCI, versión 23H2

En este artículo se describe cómo ver y habilitar el cifrado de BitLocker y recuperar claves de recuperación de BitLocker en el sistema de Azure Stack HCI.

Requisitos previos

Antes de empezar, asegúrese de que tiene acceso a un sistema de Azure Stack HCI, versión 23H2 implementado, registrado y conectado a Azure.

Ver la configuración de BitLocker a través de Azure Portal

Para ver la configuración de BitLocker en la Azure Portal, asegúrese de que ha aplicado la iniciativa MCSB. Para obtener más información, consulte Aplicación de la iniciativa Microsoft Cloud Security Benchmark.

BitLocker ofrece dos tipos de protección: cifrado para volúmenes del sistema operativo y cifrado para volúmenes de datos. Solo puede ver la configuración de BitLocker en el Azure Portal. Para administrar la configuración, consulte Administrar la configuración de BitLocker con PowerShell.

Captura de pantalla que muestra la página Protección de datos para el cifrado de volumen en Azure Portal.

Administrar la configuración de BitLocker con PowerShell

Puede ver, habilitar y deshabilitar la configuración de cifrado de volumen en el clúster de Azure Stack HCI.

Propiedades del cmdlet de PowerShell

Las siguientes propiedades de cmdlet son para el cifrado de volúmenes con el módulo BitLocker: AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>

    Dónde Local yPerNode definen el ámbito en el que se ejecuta el cmdlet.

    • Local : se puede ejecutar en una sesión de PowerShell remota normal y proporciona detalles del volumen de BitLocker para el nodo local.
    • PerNode : requiere CredSSP (cuando se usa PowerShell remoto) o una sesión de Escritorio remoto (RDP). Proporciona detalles del volumen de BitLocker por nodo.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

Visualización de la configuración de cifrado para el cifrado de volumen con BitLocker

Siga estos pasos para ver la configuración de cifrado:

  1. Conéctese al nodo de Azure Stack HCI.

  2. Ejecute el siguiente cmdlet de PowerShell con credenciales de administrador local:

    Get-ASBitLocker

Habilitar, deshabilitar el cifrado de volumen con BitLocker

Siga estos pasos para habilitar el cifrado de volúmenes con BitLocker:

  1. Conéctese al nodo de Azure Stack HCI.

  2. Ejecute el siguiente cmdlet de PowerShell con credenciales de administrador local:

    Importante

    • La habilitación del cifrado de volumen con BitLocker en el tipo de volumen BootVolume requiere TPM 2.0.

    • Al habilitar el cifrado de volumen con BitLocker en el tipo ClusterSharedVolume de volumen (CSV), el volumen se colocará en modo redirigido y las máquinas virtuales de carga de trabajo se pausarán durante un breve tiempo. Esta operación es perjudicial; planee en consecuencia. Para obtener más información, consulte Configuración de discos en clúster cifrados de BitLocker en Windows Server 2012.

    Enable-ASBitLocker

Siga estos pasos para deshabilitar el cifrado de volumen con BitLocker:

  1. Conéctese al nodo de Azure Stack HCI.

  2. Ejecute el siguiente cmdlet de PowerShell con credenciales de administrador local:

    Disable-ASBitLocker

Obtención de claves de recuperación de BitLocker

Nota

Las claves de BitLocker se pueden recuperar en cualquier momento desde la instancia local de Active Directory. Si el clúster está inactivo y no tiene las claves, es posible que no pueda acceder a los datos cifrados del clúster. Para guardar las claves de recuperación de BitLocker, se recomienda exportarlas y almacenarlas en una ubicación externa segura, como Azure Key Vault.

Siga estos pasos para exportar las claves de recuperación del clúster:

  1. Conéctese al clúster de Azure Stack HCI como administrador local. Ejecute el siguiente comando en una sesión de consola local o en una sesión de Protocolo de escritorio remoto (RDP) local o en una sesión de PowerShell remota con autenticación CredSSP:

  2. Para obtener la información de la clave de recuperación, ejecute el siguiente comando en PowerShell:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    Este es una salida de ejemplo:

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

Pasos siguientes