Zarządzanie szyfrowaniem funkcji BitLocker w usłudze Azure Stack HCI w wersji 23H2

Dotyczy: Azure Stack HCI, wersja 23H2

W tym artykule opisano sposób wyświetlania i włączania szyfrowania funkcją BitLocker oraz pobierania kluczy odzyskiwania funkcji BitLocker w systemie Azure Stack HCI.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz dostęp do systemu Azure Stack HCI w wersji 23H2, który jest wdrażany, zarejestrowany i połączony z platformą Azure.

Wyświetlanie ustawień funkcji BitLocker za pośrednictwem Azure Portal

Aby wyświetlić ustawienia funkcji BitLocker w Azure Portal, upewnij się, że zastosowano inicjatywę MCSB. Aby uzyskać więcej informacji, zobacz Apply Microsoft Cloud Security Benchmark initiative (Stosowanie inicjatywy testów porównawczych zabezpieczeń w chmurze firmy Microsoft).

Funkcja BitLocker oferuje dwa typy ochrony: szyfrowanie woluminów systemu operacyjnego i szyfrowanie woluminów danych. Ustawienia funkcji BitLocker można wyświetlić tylko w Azure Portal. Aby zarządzać ustawieniami, zobacz Zarządzanie ustawieniami funkcji BitLocker przy użyciu programu PowerShell.

Zarządzanie ustawieniami funkcji BitLocker przy użyciu programu PowerShell

Możesz wyświetlać, włączać i wyłączać ustawienia szyfrowania woluminów w klastrze usługi Azure Stack HCI.

Właściwości polecenia cmdlet programu PowerShell

Następujące właściwości polecenia cmdlet są przeznaczone do szyfrowania woluminów za pomocą modułu Funkcji BitLocker: AzureStackBitLockerAgent.

•   Get-ASBitLocker -<Local | PerNode>
  

  Gdzie Local iPerNode zdefiniuj zakres, w którym jest uruchamiane polecenie cmdlet.

  • Lokalne — można uruchomić w regularnej zdalnej sesji programu PowerShell i zawiera szczegóły woluminu funkcji BitLocker dla węzła lokalnego.
  • PerNode — wymaga protokołu CredSSP (w przypadku korzystania ze zdalnego programu PowerShell) lub sesji pulpitu zdalnego (RDP). Udostępnia szczegóły woluminu funkcji BitLocker na węzeł.

•   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
  

•   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
  

Wyświetlanie ustawień szyfrowania woluminów przy użyciu funkcji BitLocker

Wykonaj następujące kroki, aby wyświetlić ustawienia szyfrowania:

1. Połącz się z węzłem usługi Azure Stack HCI.

2. Uruchom następujące polecenie cmdlet programu PowerShell przy użyciu poświadczeń administratora lokalnego:

   Get-ASBitLocker
   

Włączanie, wyłączanie szyfrowania woluminów za pomocą funkcji BitLocker

Wykonaj następujące kroki, aby włączyć szyfrowanie woluminów za pomocą funkcji BitLocker:

1. Połącz się z węzłem usługi Azure Stack HCI.

2. Uruchom następujące polecenie cmdlet programu PowerShell przy użyciu poświadczeń administratora lokalnego:

   Ważne

   • Włączenie szyfrowania woluminów za pomocą funkcji BitLocker w typie woluminu BootVolume wymaga modułu TPM 2.0.

   • Podczas włączania szyfrowania woluminów za pomocą funkcji BitLocker w typie ClusterSharedVolume woluminu (CSV) wolumin zostanie umieszczony w trybie przekierowania, a wszystkie obciążenia maszyny wirtualne zostaną wstrzymane przez krótki czas. Ta operacja jest destrukcyjna; odpowiednio zaplanować. Aby uzyskać więcej informacji, zobacz How to configure BitLocker encrypted clustered disks in Windows Server 2012 (Jak skonfigurować zaszyfrowane dyski klastrowane funkcją BitLocker w Windows Server 2012).

   Enable-ASBitLocker
   

Wykonaj następujące kroki, aby wyłączyć szyfrowanie woluminów za pomocą funkcji BitLocker:

1. Połącz się z węzłem usługi Azure Stack HCI.

2. Uruchom następujące polecenie cmdlet programu PowerShell przy użyciu poświadczeń administratora lokalnego:

   Disable-ASBitLocker
   

Pobieranie kluczy odzyskiwania funkcji BitLocker

Uwaga

Klucze funkcji BitLocker można pobrać w dowolnym momencie z lokalnej usługi Active Directory. Jeśli klaster nie działa i nie masz kluczy, być może nie możesz uzyskać dostępu do zaszyfrowanych danych w klastrze. Aby zapisać klucze odzyskiwania funkcji BitLocker, zalecamy wyeksportowanie i zapisanie ich w bezpiecznej lokalizacji zewnętrznej, takiej jak Azure Key Vault.

Wykonaj następujące kroki, aby wyeksportować klucze odzyskiwania dla klastra:

1. Połącz się z klastrem usługi Azure Stack HCI jako administrator lokalny. Uruchom następujące polecenie w sesji konsoli lokalnej lub lokalnej sesji protokołu RDP (Remote Desktop Protocol) lub sesji zdalnego programu PowerShell z uwierzytelnianiem CredSSP:

2. Aby uzyskać informacje o kluczu odzyskiwania, uruchom następujące polecenie w programie PowerShell:

   Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
   

   Oto przykładowe dane wyjściowe:

    PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
   
    ComputerName    PasswordId    RecoveryKey
    -------         ----------    -----------
    ASB88RR1OU19    {Password1}   Key1
    ASB88RR1OU20    {Password2}   Key2
    ASB88RR1OU21    {Password3}   Key3
    ASB88RR1OU22    {Password4}   Key4
   

Następne kroki

• Użyj funkcji BitLocker z udostępnionymi woluminami klastra.