Gerenciar a criptografia do BitLocker no Azure Local, versão 23H2
Aplica-se a: Azure Local, versão 23H2
Este artigo descreve como exibir e habilitar a criptografia do BitLocker e recuperar chaves de recuperação do BitLocker em sua instância local do Azure.
Pré-requisitos
Antes de começar, verifique se você tem acesso a uma instância do Azure Local, versão 23H2, implantada, registrada e conectada ao Azure.
Exibir as configurações do BitLocker por meio do portal do Azure
Para exibir as configurações do BitLocker no portal do Azure, verifique se você aplicou a iniciativa MCSB. Para obter mais informações, consulte Aplicar a iniciativa Microsoft Cloud Security Benchmark.
O BitLocker oferece dois tipos de proteção: criptografia para volumes do sistema operacional e criptografia para volumes de dados. Você só pode exibir as configurações do BitLocker no portal do Azure. Para gerenciar as configurações, consulte Gerenciar configurações do BitLocker com o PowerShell.
Gerenciar configurações do BitLocker com o PowerShell
Você pode exibir, habilitar e desabilitar as configurações de criptografia de volume em sua instância local do Azure.
Propriedades do cmdlet do PowerShell
As seguintes propriedades de cmdlet são para criptografia de volume com o módulo BitLocker: AzureStackBitLockerAgent.
-
Get-ASBitLocker -<Local | PerNode>Onde
LocalePerNodedefina o escopo no qual o cmdlet é executado.- Local – pode ser executado em uma sessão remota regular do PowerShell e fornece detalhes de volume do BitLocker para o nó local.
- PerNode – requer CredSSP (ao usar o PowerShell remoto) ou uma sessão de área de trabalho remota (RDP). Fornece detalhes de volume do BitLocker por nó.
-
Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume> -
Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
Exibir configurações de criptografia para criptografia de volume com o BitLocker
Siga estas etapas para visualizar as configurações de criptografia:
Conecte-se ao computador local do Azure.
Execute o seguinte cmdlet do PowerShell usando credenciais de administrador local:
Get-ASBitLocker
Habilite, desabilite a criptografia de volume com o BitLocker
Siga estas etapas para habilitar a criptografia de volume com o BitLocker:
Conecte-se ao computador local do Azure.
Execute o seguinte cmdlet do PowerShell usando credenciais de administrador local:
Importante
Habilitar a criptografia de volume com o BitLocker no tipo de volume BootVolume requer o TPM 2.0.
Ao habilitar a criptografia de volume com o BitLocker no tipo
ClusterSharedVolumede volume (CSV), o volume será colocado no modo redirecionado e todas as VMs de carga de trabalho serão pausadas por um curto período. Esta operação é perturbadora; Planeje de acordo. Para obter mais informações, consulte Como configurar discos clusterizados criptografados do BitLocker no Windows Server 2012.
Enable-ASBitLocker
Siga estas etapas para desabilitar a criptografia de volume com o BitLocker:
Conecte-se ao computador local do Azure.
Execute o seguinte cmdlet do PowerShell usando credenciais de administrador local:
Disable-ASBitLocker
Obter chaves de recuperação do BitLocker
Observação
As chaves do BitLocker podem ser recuperadas a qualquer momento do Active Directory local. Se o cluster estiver inativo e você não tiver as chaves, talvez não consiga acessar os dados criptografados no cluster. Para salvar suas chaves de recuperação do BitLocker, recomendamos que você as exporte e armazene em um local externo seguro, como o Azure Key Vault.
Siga estas etapas para exportar as chaves de recuperação para o cluster:
Conecte-se à sua instância local do Azure como administrador local. Execute o seguinte comando em uma sessão de console local ou sessão local de Protocolo de Área de Trabalho Remota (RDP) ou em uma sessão remota do PowerShell com autenticação CredSSP:
Para obter as informações da chave de recuperação, execute o seguinte comando no PowerShell:
Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKeyAqui está um exemplo de saída:
PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey ComputerName PasswordId RecoveryKey ------- ---------- ----------- ASB88RR1OU19 {Password1} Key1 ASB88RR1OU20 {Password2} Key2 ASB88RR1OU21 {Password3} Key3 ASB88RR1OU22 {Password4} Key4