Gestire la crittografia BitLocker in Azure Stack HCI versione 23H2

Si applica a: Azure Stack HCI, versione 23H2

Questo articolo descrive come visualizzare e abilitare la crittografia BitLocker e recuperare le chiavi di ripristino di BitLocker nel sistema Azure Stack HCI.

Prerequisiti

Prima di iniziare, assicurarsi di avere accesso a un sistema azure Stack HCI versione 23H2 distribuito, registrato e connesso ad Azure.

Visualizzare le impostazioni di BitLocker tramite portale di Azure

Per visualizzare le impostazioni di BitLocker nella portale di Azure, assicurarsi di aver applicato l'iniziativa MCSB. Per altre informazioni, vedere Applicare l'iniziativa Microsoft Cloud Security Benchmark.

BitLocker offre due tipi di protezione: crittografia per volumi del sistema operativo e crittografia per i volumi di dati. È possibile visualizzare solo le impostazioni di BitLocker nella portale di Azure. Per gestire le impostazioni, vedere Gestire le impostazioni di BitLocker con PowerShell.

Screenshot che mostra la pagina Protezione dati per la crittografia dei volumi in portale di Azure.

Gestire le impostazioni di BitLocker con PowerShell

È possibile visualizzare, abilitare e disabilitare le impostazioni di crittografia dei volumi nel cluster Azure Stack HCI.

Proprietà del cmdlet di PowerShell

Le proprietà del cmdlet seguenti sono per la crittografia dei volumi con il modulo BitLocker: AzureStackBitLockerAgent.

  •   Get-ASBitLocker -<Local | PerNode>
    

    Dove Local ePerNode definire l'ambito in cui viene eseguito il cmdlet.

    • Locale : può essere eseguito in una normale sessione di PowerShell remota e fornisce i dettagli del volume bitLocker per il nodo locale.
    • PerNode : richiede CredSSP (quando si usa PowerShell remoto) o una sessione desktop remoto (RDP). Fornisce i dettagli del volume di BitLocker per nodo.
  •   Enable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
    
  •   Disable-ASBitLocker -<Local | Cluster> -VolumeType <BootVolume | ClusterSharedVolume>
    

Visualizzare le impostazioni di crittografia per la crittografia dei volumi con BitLocker

Seguire questa procedura per visualizzare le impostazioni di crittografia:

  1. Connettersi al nodo HCI di Azure Stack.

  2. Eseguire il cmdlet di PowerShell seguente usando le credenziali di amministratore locale:

    Get-ASBitLocker
    

Abilitare, disabilitare la crittografia del volume con BitLocker

Seguire questa procedura per abilitare la crittografia dei volumi con BitLocker:

  1. Connettersi al nodo HCI di Azure Stack.

  2. Eseguire il cmdlet di PowerShell seguente usando le credenziali di amministratore locale:

    Importante

    • L'abilitazione della crittografia dei volumi con BitLocker nel tipo di volume BootVolume richiede TPM 2.0.

    • Durante l'abilitazione della crittografia del volume con BitLocker sul tipo di ClusterSharedVolume volume (CSV), il volume verrà inserito in modalità reindirizzata e tutte le macchine virtuali del carico di lavoro verranno sospese per un breve periodo di tempo. Questa operazione è dirompente; pianificare di conseguenza. Per altre informazioni, vedere Come configurare i dischi cluster crittografati di BitLocker in Windows Server 2012.

    Enable-ASBitLocker
    

Seguire questa procedura per disabilitare la crittografia dei volumi con BitLocker:

  1. Connettersi al nodo HCI di Azure Stack.

  2. Eseguire il cmdlet di PowerShell seguente usando le credenziali di amministratore locale:

    Disable-ASBitLocker
    

Ottenere chiavi di ripristino di BitLocker

Nota

Le chiavi di BitLocker possono essere recuperate in qualsiasi momento da Active Directory locale. Se il cluster è inattivo e non sono presenti le chiavi, potrebbe non essere possibile accedere ai dati crittografati nel cluster. Per salvare le chiavi di ripristino di BitLocker, è consigliabile esportarle e archiviarle in una posizione esterna sicura, ad esempio Azure Key Vault.

Seguire questa procedura per esportare le chiavi di ripristino per il cluster:

  1. Connettersi al cluster Azure Stack HCI come amministratore locale. Eseguire il comando seguente in una sessione console locale o in una sessione RDP (Remote Desktop Protocol) locale o in una sessione di PowerShell remota con l'autenticazione CredSSP:

  2. Per ottenere le informazioni sulla chiave di ripristino, eseguire il comando seguente in PowerShell:

    Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
    

    Di seguito è riportato un output di esempio:

     PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey
    
     ComputerName    PasswordId    RecoveryKey
     -------         ----------    -----------
     ASB88RR1OU19    {Password1}   Key1
     ASB88RR1OU20    {Password2}   Key2
     ASB88RR1OU21    {Password3}   Key3
     ASB88RR1OU22    {Password4}   Key4
    

Passaggi successivi