Udostępnij za pośrednictwem


Zarządzanie szyfrowaniem funkcji BitLocker w usłudze Azure Stack HCI w wersji 23H2

Dotyczy: Azure Stack HCI, wersja 23H2

W tym artykule opisano sposób wyświetlania i włączania szyfrowania funkcją BitLocker oraz pobierania kluczy odzyskiwania funkcji BitLocker w systemie Azure Stack HCI.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz dostęp do systemu Azure Stack HCI w wersji 23H2, który jest wdrażany, zarejestrowany i połączony z platformą Azure.

Wyświetlanie ustawień funkcji BitLocker za pośrednictwem Azure Portal

Aby wyświetlić ustawienia funkcji BitLocker w Azure Portal, upewnij się, że zastosowano inicjatywę MCSB. Aby uzyskać więcej informacji, zobacz Apply Microsoft Cloud Security Benchmark initiative (Stosowanie inicjatywy testów porównawczych zabezpieczeń w chmurze firmy Microsoft).

Funkcja BitLocker oferuje dwa typy ochrony: szyfrowanie woluminów systemu operacyjnego i szyfrowanie woluminów danych. Ustawienia funkcji BitLocker można wyświetlić tylko w Azure Portal. Aby zarządzać ustawieniami, zobacz Zarządzanie ustawieniami funkcji BitLocker przy użyciu programu PowerShell.

Zrzut ekranu przedstawiający stronę Ochrona danych na potrzeby szyfrowania woluminów w Azure Portal.

Zarządzanie ustawieniami funkcji BitLocker przy użyciu programu PowerShell

Możesz wyświetlać, włączać i wyłączać ustawienia szyfrowania woluminów w klastrze usługi Azure Stack HCI.

Właściwości polecenia cmdlet programu PowerShell

Następujące właściwości polecenia cmdlet są przeznaczone do szyfrowania woluminów za pomocą modułu Funkcji BitLocker: AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>
    

    Gdzie Local iPerNode zdefiniuj zakres, w którym jest uruchamiane polecenie cmdlet.

    • Lokalne — można uruchomić w regularnej zdalnej sesji programu PowerShell i zawiera szczegóły woluminu funkcji BitLocker dla węzła lokalnego.
    • PerNode — wymaga protokołu CredSSP (w przypadku korzystania ze zdalnego programu PowerShell) lub sesji pulpitu zdalnego (RDP). Udostępnia szczegóły woluminu funkcji BitLocker na węzeł.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
    
  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
    

Wyświetlanie ustawień szyfrowania woluminów przy użyciu funkcji BitLocker

Wykonaj następujące kroki, aby wyświetlić ustawienia szyfrowania:

  1. Połącz się z węzłem usługi Azure Stack HCI.

  2. Uruchom następujące polecenie cmdlet programu PowerShell przy użyciu poświadczeń administratora lokalnego:

    Get-ASBitLocker
    

Włączanie, wyłączanie szyfrowania woluminów za pomocą funkcji BitLocker

Wykonaj następujące kroki, aby włączyć szyfrowanie woluminów za pomocą funkcji BitLocker:

  1. Połącz się z węzłem usługi Azure Stack HCI.

  2. Uruchom następujące polecenie cmdlet programu PowerShell przy użyciu poświadczeń administratora lokalnego:

    Ważne

    Enable-ASBitLocker
    

Wykonaj następujące kroki, aby wyłączyć szyfrowanie woluminów za pomocą funkcji BitLocker:

  1. Połącz się z węzłem usługi Azure Stack HCI.

  2. Uruchom następujące polecenie cmdlet programu PowerShell przy użyciu poświadczeń administratora lokalnego:

    Disable-ASBitLocker
    

Pobieranie kluczy odzyskiwania funkcji BitLocker

Uwaga

Klucze funkcji BitLocker można pobrać w dowolnym momencie z lokalnej usługi Active Directory. Jeśli klaster nie działa i nie masz kluczy, być może nie możesz uzyskać dostępu do zaszyfrowanych danych w klastrze. Aby zapisać klucze odzyskiwania funkcji BitLocker, zalecamy wyeksportowanie i zapisanie ich w bezpiecznej lokalizacji zewnętrznej, takiej jak Azure Key Vault.

Wykonaj następujące kroki, aby wyeksportować klucze odzyskiwania dla klastra:

  1. Połącz się z klastrem usługi Azure Stack HCI jako administrator lokalny. Uruchom następujące polecenie w sesji konsoli lokalnej lub lokalnej sesji protokołu RDP (Remote Desktop Protocol) lub sesji zdalnego programu PowerShell z uwierzytelnianiem CredSSP:

  2. Aby uzyskać informacje o kluczu odzyskiwania, uruchom następujące polecenie w programie PowerShell:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
    

    Oto przykładowe dane wyjściowe:

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
    
     ComputerName    PasswordId    RecoveryKey
     -------         ----------    -----------
     ASB88RR1OU19    {Password1}   Key1
     ASB88RR1OU20    {Password2}   Key2
     ASB88RR1OU21    {Password3}   Key3
     ASB88RR1OU22    {Password4}   Key4
    

Następne kroki