Поделиться через


Управление шифрованием BitLocker в локальной версии Azure версии 23H2

Область применения: Локальная версия Azure, версия 23H2

В этой статье описывается, как просматривать и включать шифрование BitLocker и извлекать ключи восстановления BitLocker в локальном экземпляре Azure.

Необходимые компоненты

Прежде чем начать, убедитесь, что у вас есть доступ к локальному экземпляру Azure версии 23H2, развернутой, зарегистрированной и подключенной к Azure.

Просмотр параметров BitLocker с помощью портал Azure

Чтобы просмотреть параметры BitLocker в портал Azure, убедитесь, что вы применили инициативу MCSB. Дополнительные сведения см. в статье "Применение инициативы Microsoft Cloud Security Benchmark".

BitLocker предлагает два типа защиты: шифрование томов ОС и шифрование томов данных. Параметры BitLocker можно просматривать только в портал Azure. Сведения об управлении параметрами см. в разделе "Управление параметрами BitLocker" с помощью PowerShell.

Снимок экрана: страница защиты данных для шифрования томов на портал Azure.

Управление параметрами BitLocker с помощью PowerShell

Вы можете просматривать, включать и отключать параметры шифрования томов в локальном экземпляре Azure.

Свойства командлета PowerShell

Следующие свойства командлета предназначены для шифрования томов с помощью модуля BitLocker: AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>
    

    Где Local иPerNode определите область выполнения командлета.

    • Локальный — может выполняться в обычном удаленном сеансе PowerShell и предоставляет сведения о томе BitLocker для локального узла.
    • PerNode — требуется CredSSP (при использовании удаленного powerShell) или сеанс удаленного рабочего стола (RDP). Предоставляет сведения о томе BitLocker на узел.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
    
  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
    

Просмотр параметров шифрования для шифрования томов с помощью BitLocker

Выполните следующие действия, чтобы просмотреть параметры шифрования:

  1. Подключитесь к локальному компьютеру Azure.

  2. Выполните следующий командлет PowerShell, используя учетные данные локального администратора:

    Get-ASBitLocker
    

Включение, отключение шифрования томов с помощью BitLocker

Выполните следующие действия, чтобы включить шифрование томов с помощью BitLocker:

  1. Подключитесь к локальному компьютеру Azure.

  2. Выполните следующий командлет PowerShell, используя учетные данные локального администратора:

    Внимание

    • Для включения шифрования томов с помощью BitLocker в типе тома BootVolume требуется TPM 2.0.

    • При включении шифрования томов с помощью BitLocker в типе ClusterSharedVolume тома (CSV) том будет помещен в перенаправленный режим, и все виртуальные машины рабочей нагрузки будут приостановлены в течение короткого времени. Эта операция нарушается; планируйте соответствующим образом. Дополнительные сведения см. в статье "Настройка зашифрованных кластеризованных дисков BitLocker в Windows Server 2012".

    Enable-ASBitLocker
    

Выполните следующие действия, чтобы отключить шифрование томов с помощью BitLocker:

  1. Подключитесь к локальному компьютеру Azure.

  2. Выполните следующий командлет PowerShell, используя учетные данные локального администратора:

    Disable-ASBitLocker
    

Получение ключей восстановления BitLocker

Примечание.

Ключи BitLocker можно получить в любое время из локального Active Directory. Если кластер отключен и у вас нет ключей, возможно, не удается получить доступ к зашифрованным данным в кластере. Чтобы сохранить ключи восстановления BitLocker, рекомендуется экспортировать и сохранить их в безопасном внешнем расположении, например Azure Key Vault.

Выполните следующие действия, чтобы экспортировать ключи восстановления для кластера:

  1. Подключитесь к локальному экземпляру Azure от имени локального администратора. Выполните следующую команду в сеансе локальной консоли или локальном сеансе протокола удаленного рабочего стола (RDP) или удаленном сеансе PowerShell с проверкой подлинности CredSSP:

  2. Чтобы получить сведения о ключе восстановления, выполните следующую команду в PowerShell:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
    

    Ниже приведен пример выходных данных.

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
    
     ComputerName    PasswordId    RecoveryKey
     -------         ----------    -----------
     ASB88RR1OU19    {Password1}   Key1
     ASB88RR1OU20    {Password2}   Key2
     ASB88RR1OU21    {Password3}   Key3
     ASB88RR1OU22    {Password4}   Key4
    

Следующие шаги