Управление шифрованием BitLocker в локальной версии Azure версии 23H2
Область применения: Локальная версия Azure, версия 23H2
В этой статье описывается, как просматривать и включать шифрование BitLocker и извлекать ключи восстановления BitLocker в локальном экземпляре Azure.
Необходимые компоненты
Прежде чем начать, убедитесь, что у вас есть доступ к локальному экземпляру Azure версии 23H2, развернутой, зарегистрированной и подключенной к Azure.
Просмотр параметров BitLocker с помощью портал Azure
Чтобы просмотреть параметры BitLocker в портал Azure, убедитесь, что вы применили инициативу MCSB. Дополнительные сведения см. в статье "Применение инициативы Microsoft Cloud Security Benchmark".
BitLocker предлагает два типа защиты: шифрование томов ОС и шифрование томов данных. Параметры BitLocker можно просматривать только в портал Azure. Сведения об управлении параметрами см. в разделе "Управление параметрами BitLocker" с помощью PowerShell.
Управление параметрами BitLocker с помощью PowerShell
Вы можете просматривать, включать и отключать параметры шифрования томов в локальном экземпляре Azure.
Свойства командлета PowerShell
Следующие свойства командлета предназначены для шифрования томов с помощью модуля BitLocker: AzureStackBitLockerAgent.
-
Get-ASBitLocker -<Local | PerNode>
Где
Local
иPerNode
определите область выполнения командлета.- Локальный — может выполняться в обычном удаленном сеансе PowerShell и предоставляет сведения о томе BitLocker для локального узла.
- PerNode — требуется CredSSP (при использовании удаленного powerShell) или сеанс удаленного рабочего стола (RDP). Предоставляет сведения о томе BitLocker на узел.
-
Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
-
Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
Просмотр параметров шифрования для шифрования томов с помощью BitLocker
Выполните следующие действия, чтобы просмотреть параметры шифрования:
Подключитесь к локальному компьютеру Azure.
Выполните следующий командлет PowerShell, используя учетные данные локального администратора:
Get-ASBitLocker
Включение, отключение шифрования томов с помощью BitLocker
Выполните следующие действия, чтобы включить шифрование томов с помощью BitLocker:
Подключитесь к локальному компьютеру Azure.
Выполните следующий командлет PowerShell, используя учетные данные локального администратора:
Внимание
Для включения шифрования томов с помощью BitLocker в типе тома BootVolume требуется TPM 2.0.
При включении шифрования томов с помощью BitLocker в типе
ClusterSharedVolume
тома (CSV) том будет помещен в перенаправленный режим, и все виртуальные машины рабочей нагрузки будут приостановлены в течение короткого времени. Эта операция нарушается; планируйте соответствующим образом. Дополнительные сведения см. в статье "Настройка зашифрованных кластеризованных дисков BitLocker в Windows Server 2012".
Enable-ASBitLocker
Выполните следующие действия, чтобы отключить шифрование томов с помощью BitLocker:
Подключитесь к локальному компьютеру Azure.
Выполните следующий командлет PowerShell, используя учетные данные локального администратора:
Disable-ASBitLocker
Получение ключей восстановления BitLocker
Примечание.
Ключи BitLocker можно получить в любое время из локального Active Directory. Если кластер отключен и у вас нет ключей, возможно, не удается получить доступ к зашифрованным данным в кластере. Чтобы сохранить ключи восстановления BitLocker, рекомендуется экспортировать и сохранить их в безопасном внешнем расположении, например Azure Key Vault.
Выполните следующие действия, чтобы экспортировать ключи восстановления для кластера:
Подключитесь к локальному экземпляру Azure от имени локального администратора. Выполните следующую команду в сеансе локальной консоли или локальном сеансе протокола удаленного рабочего стола (RDP) или удаленном сеансе PowerShell с проверкой подлинности CredSSP:
Чтобы получить сведения о ключе восстановления, выполните следующую команду в PowerShell:
Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
Ниже приведен пример выходных данных.
PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey ComputerName PasswordId RecoveryKey ------- ---------- ----------- ASB88RR1OU19 {Password1} Key1 ASB88RR1OU20 {Password2} Key2 ASB88RR1OU21 {Password3} Key3 ASB88RR1OU22 {Password4} Key4
Следующие шаги
- Используйте BitLocker с общими томами кластера.