在 Azure Stack HCI 版本 23H2 上管理 BitLocker 加密

适用于：Azure Stack HCI 版本 23H2

本文介绍如何在 Azure Stack HCI 系统上查看和启用 BitLocker 加密以及检索 BitLocker 恢复密钥。

先决条件

在开始之前，请确保有权访问已部署、注册和连接到 Azure 的 Azure Stack HCI 版本 23H2 系统。

通过 Azure 门户 查看 BitLocker 设置

若要查看Azure 门户中的 BitLocker 设置，请确保已应用 MCSB 计划。 有关详细信息，请参阅 应用 Microsoft 云安全基准计划。

BitLocker 提供两种类型的保护：OS 卷加密和数据卷加密。 只能在Azure 门户中查看 BitLocker 设置。 若要管理设置，请参阅 使用 PowerShell 管理 BitLocker 设置。

使用 PowerShell 管理 BitLocker 设置

可以在 Azure Stack HCI 群集上查看、启用和禁用卷加密设置。

PowerShell cmdlet 属性

以下 cmdlet 属性用于使用 BitLocker 模块进行卷加密： AzureStackBitLockerAgent。

•   Get-ASBitLocker -<Local | PerNode>
  

  其中 Local 和PerNode 定义运行 cmdlet 的范围。

  • 本地 - 可以在常规远程 PowerShell 会话中运行，并提供本地节点的 BitLocker 卷详细信息。
  • PerNode - 使用远程 PowerShell) 或远程桌面会话 (RDP) 时需要 CredSSP (。 提供每个节点的 BitLocker 卷详细信息。

•   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
  

•   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
  

使用 BitLocker 查看卷加密的加密设置

按照以下步骤查看加密设置：

1. 连接到 Azure Stack HCI 节点。

2. 使用本地管理员凭据运行以下 PowerShell cmdlet：

   Get-ASBitLocker
   

使用 BitLocker 启用和禁用卷加密

按照以下步骤使用 BitLocker 启用卷加密：

1. 连接到 Azure Stack HCI 节点。

2. 使用本地管理员凭据运行以下 PowerShell cmdlet：

   重要

   • 在卷类型 BootVolume 上使用 BitLocker 启用卷加密需要 TPM 2.0。

   • 在卷类型 ClusterSharedVolume (CSV) 上启用 BitLocker 的卷加密时，卷将处于重定向模式，任何工作负载 VM 都将暂停一段时间。 此操作具有中断性;相应地计划。 有关详细信息，请参阅如何在 Windows Server 2012 中配置 BitLocker 加密群集磁盘。

   Enable-ASBitLocker
   

按照以下步骤使用 BitLocker 禁用卷加密：

1. 连接到 Azure Stack HCI 节点。

2. 使用本地管理员凭据运行以下 PowerShell cmdlet：

   Disable-ASBitLocker
   

获取 BitLocker 恢复密钥

注意

可以随时从本地 Active Directory 检索 BitLocker 密钥。 如果群集已关闭，并且你没有密钥，则可能无法访问群集上的加密数据。 若要保存 BitLocker 恢复密钥，建议将其导出并存储在安全的外部位置，例如 Azure 密钥保管库。

按照以下步骤导出群集的恢复密钥：

1. 以本地管理员身份连接到 Azure Stack HCI 群集。 在本地控制台会话或本地远程桌面协议中运行以下命令， (RDP) 会话或使用 CredSSP 身份验证的远程 PowerShell 会话：

2. 若要获取恢复密钥信息，请在 PowerShell 中运行以下命令：

   Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
   

   下面是示例输出：

    PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
   
    ComputerName    PasswordId    RecoveryKey
    -------         ----------    -----------
    ASB88RR1OU19    {Password1}   Key1
    ASB88RR1OU20    {Password2}   Key2
    ASB88RR1OU21    {Password3}   Key3
    ASB88RR1OU22    {Password4}   Key4
   

后续步骤

• 将 BitLocker 与群集共享卷配合使用。