Bagikan melalui

Mengelola enkripsi BitLocker di Azure Stack HCI, versi 23H2

  • Artikel

Berlaku untuk: Azure Stack HCI, versi 23H2

Artikel ini menjelaskan cara melihat dan mengaktifkan enkripsi BitLocker, dan mengambil kunci pemulihan BitLocker pada sistem Azure Stack HCI Anda.

Prasyarat

Sebelum memulai, pastikan Anda memiliki akses ke Azure Stack HCI, sistem versi 23H2 yang disebarkan, didaftarkan, dan terhubung ke Azure.

Lihat pengaturan BitLocker melalui portal Azure

Untuk melihat pengaturan BitLocker di portal Azure, pastikan Anda telah menerapkan inisiatif MCSB. Untuk informasi selengkapnya, lihat Menerapkan inisiatif Microsoft Cloud Security Benchmark.

BitLocker menawarkan dua jenis perlindungan: enkripsi untuk volume OS dan enkripsi untuk volume data. Anda hanya dapat melihat pengaturan BitLocker di portal Azure. Untuk mengelola pengaturan, lihat Mengelola pengaturan BitLocker dengan PowerShell.

Cuplikan layar yang memperlihatkan halaman Perlindungan data untuk enkripsi volume di portal Azure.

Mengelola pengaturan BitLocker dengan PowerShell

Anda dapat melihat, mengaktifkan, dan menonaktifkan pengaturan enkripsi volume di kluster Azure Stack HCI Anda.

Properti cmdlet PowerShell

Properti cmdlet berikut adalah untuk enkripsi volume dengan modul BitLocker: AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>

    Di mana Local danPerNode tentukan cakupan tempat cmdlet dijalankan.

    • Lokal - Dapat dijalankan dalam sesi PowerShell jarak jauh reguler dan menyediakan detail volume BitLocker untuk simpul lokal.
    • PerNode - Memerlukan CredSSP (saat menggunakan PowerShell jarak jauh) atau sesi desktop jarak jauh (RDP). Menyediakan detail volume BitLocker per simpul.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>

Melihat pengaturan enkripsi untuk enkripsi volume dengan BitLocker

Ikuti langkah-langkah berikut untuk melihat pengaturan enkripsi:

  1. Sambungkan ke simpul Azure Stack HCI Anda.

  2. Jalankan cmdlet PowerShell berikut menggunakan kredensial administrator lokal:

    Get-ASBitLocker

Mengaktifkan, menonaktifkan enkripsi volume dengan BitLocker

Ikuti langkah-langkah berikut untuk mengaktifkan enkripsi volume dengan BitLocker:

  1. Sambungkan ke simpul Azure Stack HCI Anda.

  2. Jalankan cmdlet PowerShell berikut menggunakan kredensial administrator lokal:

    Penting

    • Mengaktifkan enkripsi volume dengan BitLocker pada jenis volume BootVolume memerlukan TPM 2.0.

    • Saat mengaktifkan enkripsi volume dengan BitLocker pada jenis ClusterSharedVolume volume (CSV), volume akan dimasukkan ke dalam mode dialihkan dan VM beban kerja apa pun akan dijeda untuk waktu yang singkat. Operasi ini mengganggu; rencana yang sesuai. Untuk informasi selengkapnya, lihat Cara mengonfigurasi disk terkluster terenkripsi BitLocker di Windows Server 2012.

    Enable-ASBitLocker

Ikuti langkah-langkah ini untuk menonaktifkan enkripsi volume dengan BitLocker:

  1. Sambungkan ke simpul Azure Stack HCI Anda.

  2. Jalankan cmdlet PowerShell berikut menggunakan kredensial administrator lokal:

    Disable-ASBitLocker

Mendapatkan kunci pemulihan BitLocker

Catatan

Kunci BitLocker dapat diambil kapan saja dari Direktori Aktif lokal Anda. Jika kluster tidak berfungsi dan Anda tidak memiliki kuncinya, Anda mungkin tidak dapat mengakses data terenkripsi pada kluster. Untuk menyimpan kunci pemulihan BitLocker Anda, kami sarankan Anda mengekspor dan menyimpannya di lokasi eksternal yang aman seperti Azure Key Vault.

Ikuti langkah-langkah berikut untuk mengekspor kunci pemulihan untuk kluster Anda:

  1. Sambungkan ke kluster Azure Stack HCI Anda sebagai administrator lokal. Jalankan perintah berikut dalam sesi konsol lokal atau sesi Protokol Desktop Jauh (RDP) lokal atau sesi PowerShell Jarak Jauh dengan autentikasi CredSSP:

  2. Untuk mendapatkan informasi kunci pemulihan, jalankan perintah berikut ini di PowerShell:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

    Berikut ini sampel outputnya:

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey

 ComputerName    PasswordId    RecoveryKey
 -------         ----------    -----------
 ASB88RR1OU19    {Password1}   Key1
 ASB88RR1OU20    {Password2}   Key2
 ASB88RR1OU21    {Password3}   Key3
 ASB88RR1OU22    {Password4}   Key4

Langkah berikutnya