管理 Azure Stack HCI 版本 23H2 上的 BitLocker 加密
適用於:Azure Stack HCI 版本 23H2
本文說明如何檢視及啟用 BitLocker 加密,以及擷取 Azure Stack HCI 系統上的 BitLocker 修復密鑰。
必要條件
開始之前,請確定您可以存取已部署、註冊及連線至 Azure 的 Azure Stack HCI 版本 23H2 系統。
透過 Azure 入口網站 檢視 BitLocker 設定
若要檢視 Azure 入口網站 中的 BitLocker 設定,請確定您已套用 MCSB 方案。 如需詳細資訊,請參閱 套用 Microsoft Cloud Security Benchmark 方案。
BitLocker 提供兩種類型的保護:OS 磁碟區的加密,以及數據磁碟區的加密。 您只能在 Azure 入口網站 中檢視 BitLocker 設定。 若要管理設定,請參閱 使用PowerShell管理 BitLocker 設定。
使用 PowerShell 管理 BitLocker 設定
您可以在 Azure Stack HCI 叢集上檢視、啟用和停用磁碟區加密設定。
PowerShell Cmdlet 屬性
下列 Cmdlet 屬性適用於使用 BitLocker 模組進行磁碟區加密: AzureStackBitLockerAgent。
-
Get-ASBitLocker -<Local | PerNode>
其中
Local
並PerNode
定義執行 Cmdlet 的範圍。- 本機 - 可在一般遠端 PowerShell 工作階段中執行,並提供本機節點的 BitLocker 磁碟區詳細數據。
- PerNode - 使用遠端 PowerShell) 或遠端桌面工作階段 (RDP) 時,需要 CredSSP (。 提供每個節點的 BitLocker 磁碟區詳細數據。
-
Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
-
Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
使用 BitLocker 檢視磁碟區加密的加密設定
請遵循下列步驟來檢視加密設定:
線上到您的 Azure Stack HCI 節點。
使用本機系統管理員認證執行下列 PowerShell Cmdlet:
Get-ASBitLocker
使用 BitLocker 啟用、停用磁碟區加密
請遵循下列步驟,使用 BitLocker 啟用磁碟區加密:
線上到您的 Azure Stack HCI 節點。
使用本機系統管理員認證執行下列 PowerShell Cmdlet:
重要
在磁碟區類型BootVolume上使用 BitLocker 啟用磁碟區加密需要 TPM 2.0。
雖然在磁碟區類型
ClusterSharedVolume
上啟用 BitLocker 的磁碟區加密 (CSV) ,但磁碟區將會處於重新導向模式,且任何工作負載 VM 都會短暫暫停。 這項作業是干擾性作業;據此規劃。 如需詳細資訊,請參閱如何在 Windows Server 2012 中設定 BitLocker 加密的叢集磁碟。
Enable-ASBitLocker
請遵循下列步驟,以使用 BitLocker 停用磁碟區加密:
線上到您的 Azure Stack HCI 節點。
使用本機系統管理員認證執行下列 PowerShell Cmdlet:
Disable-ASBitLocker
取得 BitLocker 修復金鑰
注意
BitLocker 金鑰可以隨時從本機 Active Directory 擷取。 如果叢集已關閉且您沒有密鑰,則可能無法存取叢集上的加密數據。 若要儲存 BitLocker 修復金鑰,建議您將其匯出並儲存在安全的外部位置,例如 Azure 金鑰保存庫。
請遵循下列步驟來匯出叢集的修復金鑰:
以本機系統管理員身分連線到您的 Azure Stack HCI 叢集。 在本機控制台會話或本機遠端桌面通訊協定中執行下列命令, (RDP) 會話或具有 CredSSP 驗證的遠端 PowerShell 工作階段:
若要取得修復金鑰資訊,請在 PowerShell 中執行下列命令:
Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
以下是範例輸出:
PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey ComputerName PasswordId RecoveryKey ------- ---------- ----------- ASB88RR1OU19 {Password1} Key1 ASB88RR1OU20 {Password2} Key2 ASB88RR1OU21 {Password3} Key3 ASB88RR1OU22 {Password4} Key4
下一步
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應