Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Implementaciones hiperconvergidas de Azure Local
En este artículo se describe cómo ver y habilitar el cifrado de BitLocker y recuperar claves de recuperación de BitLocker en la instancia local de Azure.
Requisitos previos
Antes de empezar, asegúrese de que tiene acceso a una instancia local de Azure que está implementada, registrada y conectada a Azure.
Visualización de la configuración de BitLocker mediante Azure Portal
Para ver la configuración de BitLocker en Azure Portal, asegúrese de aplicar la iniciativa MCSB. Para obtener más información, consulte Aplicación de la iniciativa Microsoft Cloud Security Benchmark.
BitLocker ofrece dos tipos de protección: cifrado para volúmenes del sistema operativo y cifrado para volúmenes de datos. Solo puede ver la configuración de BitLocker en Azure Portal. Para administrar la configuración, consulte Administrar la configuración de BitLocker con PowerShell.
Administración de la configuración de BitLocker con PowerShell
Puede ver, habilitar y deshabilitar la configuración de cifrado de volumen en la instancia local de Azure.
Propiedades del cmdlet de PowerShell
Los cmdlets siguientes forman parte del módulo AzureStackBitLockerAgent :
Get-ASBitLocker
Recupera el estado de cifrado actual de BitLocker para los volúmenes de la instancia local de Azure.
Get-ASBitLocker -VolumeType <BootVolume | ClusterSharedVolume> -<Local | PerNode>
| Parámetro | Obligatorio | Descripción |
|---|---|---|
-VolumeType |
Sí | Tipo de volumen que se va a consultar. Valores válidos: BootVolume, ClusterSharedVolume. |
-Local |
No | Recupera los detalles de BitLocker de los volúmenes del nodo local. Se puede ejecutar en una sesión de PowerShell remota normal. Este es el ámbito predeterminado. |
-PerNode |
No | Recupera los detalles de BitLocker para cada nodo del clúster. Requiere la autenticación CredSSP (PowerShell remoto) o una sesión de Escritorio remoto (RDP). |
Enable-ASBitLocker
Habilita el cifrado de BitLocker en el tipo de volumen especificado.
Enable-ASBitLocker -VolumeType <BootVolume | ClusterSharedVolume> -<Local | Cluster> [-MountPoint <path>]
| Parámetro | Obligatorio | Descripción |
|---|---|---|
-VolumeType |
Sí | Tipo de volumen que se va a cifrar. Valores válidos: BootVolume, ClusterSharedVolume. |
-Local |
No | Cifra los volúmenes que pertenecen al nodo local. Este es el ámbito predeterminado. |
-Cluster |
No | Cifra los volúmenes en todos los nodos del clúster. Requiere la autenticación CredSSP. |
-MountPoint |
No | Tiene como destino un CSV específico mediante la ruta de acceso del punto de montaje (por ejemplo, C:\ClusterStorage\Volume1). Solo está disponible con el ámbito -Local. Si se omite, todos los CSV que pertenecen al nodo local se cifran. |
Disable-ASBitLocker
Deshabilita el cifrado de BitLocker en el tipo de volumen especificado.
Disable-ASBitLocker -VolumeType <BootVolume | ClusterSharedVolume> -<Local | Cluster> [-MountPoint <path>]
| Parámetro | Obligatorio | Descripción |
|---|---|---|
-VolumeType |
Sí | Tipo de volumen que se va a descifrar. Valores válidos: BootVolume, ClusterSharedVolume. |
-Local |
No | Descifra volúmenes que pertenecen al nodo local. Este es el ámbito predeterminado. |
-Cluster |
No | Descifra volúmenes en todos los nodos del clúster. Requiere la autenticación CredSSP. |
-MountPoint |
No | Apunta a un archivo CSV específico mediante la ruta de punto de montaje (por ejemplo, C:\ClusterStorage\Volume1). Solo está disponible en el ámbito de -Local. Si se omite, se descifran todos los CSV que pertenecen al nodo local. |
Visualización de la configuración de cifrado para el cifrado de volumen con BitLocker
Siga estos pasos para ver la configuración de cifrado:
Conéctese a la máquina local de Azure.
Ejecute el siguiente cmdlet de PowerShell mediante credenciales de administrador local:
Get-ASBitLocker -VolumeType BootVolume -LocalPara ver el estado de cifrado de volúmenes compartidos de clúster:
Get-ASBitLocker -VolumeType ClusterSharedVolume -LocalPara ver el estado de cifrado en todos los nodos del clúster (requiere CredSSP o RDP):
Get-ASBitLocker -VolumeType ClusterSharedVolume -PerNode
Habilitación del cifrado de volumen con BitLocker
Importante
- La habilitación del cifrado de volumen en el volumen de tipo
BootVolumerequiere TPM 2.0. - Todos los CSV que pertenecen al nodo de destino deben estar en estado En línea antes de comenzar.
¿Qué ocurre durante el cifrado CSV?
Al habilitar BitLocker en un ClusterSharedVolume, el volumen pasa por el siguiente ciclo de vida:
| Phase | Estado del volumen | ¿Volumen accesible? | Impacto en la máquina virtual |
|---|---|---|---|
| 1. Modo de mantenimiento | CSV se suspende con Suspend-ClusterResource. |
No : la E/S del volumen está en pausa. | Las máquinas virtuales con carga de trabajo cuyos discos virtuales están en este CSV están en pausa. |
| 2. Cifrado iniciado | Se inicia el cifrado de BitLocker. Se crean protectores de clave. | No : el volumen permanece en modo de mantenimiento. | Las máquinas virtuales permanecen en pausa. |
| 3. Reanudar | CSV vuelve a conectarse a través de Resume-ClusterResource. |
Sí : el volumen es accesible de nuevo. | Las máquinas virtuales se reanudan. |
| 4. Redirección de E/S | Mientras el cifrado se completa en segundo plano, el CSV entra en modo de E/S redirigido. Todas las E/S de nodos no propietarios se enrutan a través del nodo coordinador (propietario). | Sí — el volumen es completamente accesible. | Las máquinas virtuales están en ejecución. El rendimiento de E/S puede reducirse en nodos que no sean propietarios hasta que se complete el cifrado. |
| 5. E/S directa | Una vez finalizado el cifrado, el CSV vuelve al modo de E/S directa normal. | Sí | Sin impacto. |
Planee la ventana de mantenimiento. La duración de la fase de mantenimiento (fases 1–2) depende del tamaño del volumen y de la carga del sistema. Durante este tiempo, las máquinas virtuales de carga de trabajo se pausan y el volumen de almacenamiento no es accesible. Realice esta operación durante una ventana de mantenimiento planeado.
Nota:
Protectores de claves: Durante el cifrado, se crean automáticamente dos protectores de clave:
- Una contraseña de recuperación : copia de seguridad en Active Directory (tipo de implementación unida a un dominio) y Azure Key Vault (tipo de implementación no unido a un dominio) para la recuperación ante desastres.
- Una clave externa , almacenada en
C:\Windows\Clusteren el nodo propietario, que se usa para el desbloqueo automático de CSV durante la conmutación por error.
Para guardar las claves de recuperación en una ubicación externa, como Azure Key Vault, consulte Obtención de claves de recuperación de BitLocker.
Warning
Si se produce un error en el cifrado, el sistema intenta deshabilitar BitLocker y descifrar completamente el volumen antes de reanudarlo. Si también se produce un error en la limpieza, el CSV puede permanecer en modo de mantenimiento y requerir investigación manual. Consulte los registros de cifrado en C:\MASLogs\ASEncryptionLogs para obtener más información.
Siga estos pasos para habilitar el cifrado de volumen con BitLocker:
Conéctese a la máquina local de Azure.
Ejecute el siguiente cmdlet de PowerShell mediante credenciales de administrador local.
Para cifrar los volúmenes de arranque en el nodo local:
Enable-ASBitLocker -VolumeType BootVolume -LocalPara cifrar todos los volúmenes compartidos de clúster que pertenecen al nodo local:
Enable-ASBitLocker -VolumeType ClusterSharedVolume -LocalPara cifrar un CSV específico por punto de montaje:
Enable-ASBitLocker -VolumeType ClusterSharedVolume -Local -MountPoint "C:\ClusterStorage\Volume1"Para cifrar todos los CSV en el clúster (requiere CredSSP):
Enable-ASBitLocker -VolumeType ClusterSharedVolume -Cluster
Deshabilitar el cifrado de volumen mediante BitLocker
Deshabilitar BitLocker sigue el mismo ciclo de vida de modo de mantenimiento que habilitarlo: el proceso suspende el CSV, inicia el descifrado y, a continuación, reanuda el CSV. El descifrado continúa en segundo plano mientras el volumen es accesible en modo de E/S redirigido.
Siga estos pasos para deshabilitar el cifrado de volumen mediante BitLocker:
Conéctese a la máquina local de Azure.
Ejecute el siguiente cmdlet de PowerShell mediante credenciales de administrador local.
Para descifrar volúmenes de arranque en el nodo local:
Disable-ASBitLocker -VolumeType BootVolume -LocalPara descifrar todos los volúmenes compartidos de clúster que pertenecen al nodo local:
Disable-ASBitLocker -VolumeType ClusterSharedVolume -LocalPara descifrar un CSV específico por punto de montaje:
Disable-ASBitLocker -VolumeType ClusterSharedVolume -Local -MountPoint "C:\ClusterStorage\Volume1"Para descifrar todos los CSV en el clúster (requiere CredSSP):
Disable-ASBitLocker -VolumeType ClusterSharedVolume -Cluster
Obtención de claves de recuperación de BitLocker
Nota:
Puede recuperar claves de BitLocker en cualquier momento desde la instancia local de Active Directory. Si el clúster está inactivo y no tiene las claves, es posible que no pueda acceder a los datos cifrados del clúster. Para guardar las claves de recuperación de BitLocker, se recomienda exportarlas y almacenarlas en una ubicación externa segura, como Azure Key Vault.
Para exportar las claves de recuperación del clúster, siga estos pasos:
Conéctese a la instancia local de Azure como administrador local. Ejecute el siguiente comando en una sesión de consola local, una sesión de Protocolo de Escritorio remoto (RDP) local o una sesión de PowerShell remota con autenticación CredSSP:
Para obtener la información de la clave de recuperación, ejecute el siguiente comando en PowerShell:
Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKeyEste es una salida de ejemplo:
PS C:\Users\ashciuser> Get-AsRecoveryKeyInfo | ft ComputerName, PasswordID, RecoveryKey ComputerName PasswordId RecoveryKey ------- ---------- ----------- NODE01 {Password1} Key1 NODE02 {Password2} Key2 NODE03 {Password3} Key3 NODE04 {Password4} Key4
Pasos siguientes
Para obtener más información sobre la integración de BitLocker con volúmenes compartidos de clúster, consulte: