Поделиться через


Управление шифрованием BitLocker в Azure Stack HCI версии 23H2

Применимо к: Azure Stack HCI версии 23H2

В этой статье описывается просмотр и включение шифрования BitLocker, а также получение ключей восстановления BitLocker в системе Azure Stack HCI.

Предварительные требования

Перед началом работы убедитесь, что у вас есть доступ к системе Azure Stack HCI версии 23H2, которая развернута, зарегистрирована и подключена к Azure.

Просмотр параметров BitLocker с помощью портал Azure

Чтобы просмотреть параметры BitLocker в портал Azure, убедитесь, что вы применили инициативу MCSB. Дополнительные сведения см. в статье Применение инициативы Microsoft Cloud Security Benchmark.

BitLocker предлагает два типа защиты: шифрование для томов ОС и шифрование томов данных. Параметры BitLocker можно просматривать только в портал Azure. Сведения об управлении параметрами см. в статье Управление параметрами BitLocker с помощью PowerShell.

Снимок экрана: страница защиты данных для шифрования томов на портал Azure.

Управление параметрами BitLocker с помощью PowerShell

Вы можете просматривать, включать и отключать параметры шифрования томов в кластере Azure Stack HCI.

Свойства командлета PowerShell

Следующие свойства командлета предназначены для шифрования томов с помощью модуля BitLocker: AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>
    

    Где Local иPerNode определите область, в котором выполняется командлет.

    • Локальный — может выполняться в обычном удаленном сеансе PowerShell и предоставляет сведения о томе BitLocker для локального узла.
    • PerNode — требуется CredSSP (при использовании удаленного PowerShell) или сеанс удаленного рабочего стола (RDP). Предоставляет сведения о томе BitLocker для каждого узла.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
    
  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
    

Просмотр параметров шифрования томов с помощью BitLocker

Чтобы просмотреть параметры шифрования, выполните следующие действия.

  1. Подключитесь к узлу Azure Stack HCI.

  2. Выполните следующий командлет PowerShell, используя учетные данные локального администратора:

    Get-ASBitLocker
    

Включение и отключение шифрования томов с помощью BitLocker

Чтобы включить шифрование томов с помощью BitLocker, выполните следующие действия.

  1. Подключитесь к узлу Azure Stack HCI.

  2. Выполните следующий командлет PowerShell, используя учетные данные локального администратора:

    Важно!

    • Для включения шифрования томов с помощью BitLocker для типа тома BootVolume требуется доверенный платформенный модуль 2.0.

    • При включении шифрования томов с помощью BitLocker для типа ClusterSharedVolume тома (CSV) том будет переключится в режим перенаправления, а все виртуальные машины рабочей нагрузки будут приостановлены на короткое время. Эта операция нарушает работу; планировать соответствующим образом. Дополнительные сведения см. в статье Настройка зашифрованных кластеризованных дисков BitLocker в Windows Server 2012.

    Enable-ASBitLocker
    

Чтобы отключить шифрование томов с помощью BitLocker, выполните следующие действия.

  1. Подключитесь к узлу Azure Stack HCI.

  2. Выполните следующий командлет PowerShell, используя учетные данные локального администратора:

    Disable-ASBitLocker
    

Получение ключей восстановления BitLocker

Примечание

Ключи BitLocker можно получить в любое время из локальной службы Active Directory. Если кластер не работает и у вас нет ключей, возможно, вы не сможете получить доступ к зашифрованным данным в кластере. Чтобы сохранить ключи восстановления BitLocker, рекомендуется экспортировать и сохранить их в безопасном внешнем расположении, например в Azure Key Vault.

Чтобы экспортировать ключи восстановления для кластера, выполните следующие действия.

  1. Подключитесь к кластеру Azure Stack HCI с правами локального администратора. Выполните следующую команду в сеансе локальной консоли, локальном сеансе протокола удаленного рабочего стола (RDP) или удаленном сеансе PowerShell с проверкой подлинности CredSSP:

  2. Чтобы получить сведения о ключе восстановления, выполните следующую команду в PowerShell:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
    

    Ниже приведен пример выходных данных:

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
    
     ComputerName    PasswordId    RecoveryKey
     -------         ----------    -----------
     ASB88RR1OU19    {Password1}   Key1
     ASB88RR1OU20    {Password2}   Key2
     ASB88RR1OU21    {Password3}   Key3
     ASB88RR1OU22    {Password4}   Key4
    

Дальнейшие действия