Share via

⁧⁩تشفير قرص Azure لأجهزة Windows⁧ الظاهرية

  • مقالة

ينطبق على: ✔️ أجهزة ظاهرية تعمل بنظام التشغيل Windows ✔️ مجموعات تغيير السعة المرنة

يساعدك تشفير قرص Azure على حماية بياناتك وحفظها للوفاء بالتزامات الأمان والتوافق المؤسسي. ويستخدم ميزة BitLocker من Windows لتوفير تشفير حجم لنظام التشغيل وأقراص البيانات من الأجهزة الظاهرية لـ Azure، ويتم دمجها باستخدام Azure Key Vault لمساعدتك على التحكم وإدارة مفاتيح تشفير القرص والأسرار.

يعد تشفير القرص في Azure مرنًا للمنطقة، تمامًا مثل الأجهزة الظاهرية. لمزيد من التفاصيل، راجع خدمات Azure التي تدعم مناطق التوفر.

إذا كنت تستخدم Microsoft Defender لـ Cloud، فسيتم تنبيهك إذا كان لديك أجهزة ظاهرية غير مشفرة. تظهر التنبيهات كخطورة عالية والتوصية هي تشفير هذه الأجهزة الظاهرية.

تنبيه تشفير القرص في Microsoft Defender لـ Cloud

تحذير

  • إذا كنت قد استخدمت تشفير قرص Azure مسبقا مع معرف Microsoft Entra لتشفير جهاز ظاهري، يجب الاستمرار في استخدام هذا الخيار لتشفير الجهاز الظاهري الخاص بك. راجع تشفير قرص Azure باستخدام معرف Microsoft Entra (الإصدار السابق) للحصول على التفاصيل.
  • قد تؤدي بعض التوصيات إلى زيادة استخدام البيانات أو الشبكة أو حساب الموارد، مما يؤدي إلى تكاليف ترخيص أو اشتراك إضافية. يجب أن يكون لديك اشتراك Azure نشط صالح لإنشاء موارد في Azure في المناطق المدعومة.
  • لا تستخدم BitLocker لفك تشفير جهاز ظاهري أو قرص تم تشفيره يدوياً من خلال تشفير قرص Azure.

يمكنك التعرف على أساسيات تشفير قرص Azure لنظام التشغيل Windows في بضع دقائق فقط باستخدام إنشاء جهاز ظاهري Windows وتشفيره باستخدام التشغيل السريع لـ Azure CLI أو إنشاء جهاز ظاهري Windows وتشفيره باستخدام التشغيل السريع Azure PowerShell.

الأجهزة الظاهرية المدعومة وأنظمة التشغيل

الأجهزة الظاهرية المعتمدة

تتوفر الأجهزة الظاهرية لـ Windows في مجموعة من الأحجام. يتم دعم Azure Disk Encryption على الأجهزة الظاهرية من الجيل 1 والجيل 2. يتوفر Azure Disk Encryption أيضاً للأجهزة الظاهرية مع سعة تخزين متميزة.

لا يتوفر Azure Disk Encryption على الأجهزة الظاهرية الأساسية أو من سلسلة A أو على الأجهزة الظاهرية التي تقل مساحة الذاكرة فيها عن 2 غيغابايت. لمزيد من الاستثناءات، راجع تشفير قرص Azure: القيود.

أنظمة التشغيل المدعومة

جميع إصدارات Windows التي تدعم BitLocker ويتم تكوينها لتلبية متطلبات BitLocker. لمزيد من المعلومات، راجع نظرة عامة على BitLocker.

إشعار

لا يدعم Windows Server 2022 وWindows 11 مفتاح RSA 2048 بت. لمزيد من المعلومات، راجع الأسئلة المتداولة: ما الحجم الذي يجب استخدامه لمفتاح تشفير المفتاح؟

يتطلب Windows Server 2012 R2 Core وWindows Server 2016 Core تثبيت مكون bdehdcfg على الجهاز الظاهري للتشفير.

يتطلب Windows Server 2008 R2 تثبيت.NET Framework 4.5 للتشفي؛ بادر بتثبيته من Windows Update مع التحديث الاختياري Microsoft.NET Framework 4.5.2 للأنظمة المستندة إلى Windows Server 2008 R2 x64 (KB2901983).

متطلبات الشبكات

لتمكين Azure Disk Encryption يجب أن تفي الأجهزة الظاهرية لمتطلبات تكوين نقطة نهاية الشبكة التالية:

  • للحصول على رمز مميز للاتصال بخزنة المفاتيح الخاصة بك، يجب أن يكون جهاز Windows الظاهري قادرا على الاتصال بنقطة نهاية Microsoft Entra، [login.microsoftonline.com].
  • لكتابة مفاتيح التشفير إلى مخزن رئيسي خاص بك، يجب أن يكون جهاز Windows الظاهري قادرًا على الاتصال بنقطة نهاية المخزن الرئيسي.
  • يجب أن يكون الجهاز الظاهري Windows قادراً على الاتصال بـ Azure storage endpoint التي تستضيف Azure extension repository وحساب تخزين Azure الذي يستضيف ملفات VHD.
  • إذا كان نهج الأمان الخاص بك يحد من الوصول من الأجهزة الظاهرية لـ Azure إلى الإنترنت، يمكنك حل "URL" السابقة وتكوين قاعدة معينة للسماح بالاتصال الصادر إلى عناوين IP. لمزيد من المعلومات، راجع Azure Key Vault خلف جدار حماية.

متطلبات Group Policy

يستخدم تشفير قرص Azure أداة حماية المفاتيح الخارجية BitLocker لأجهزة Windows الظاهرية. بالنسبة إلى الأجهزة الظاهرية التي انضم إليها المجال، لا تدفع أي نهج مجموعة تفرض حماة TPM. للحصول على معلومات عن نهج المجموعة الخاص بـ "السماح بـ BitLocker بدون TPM متوافق"، راجع مرجع نهج المجموعة BitLocker.

يجب أن يتضمن نهج BitLocker على الأجهزة الظاهرية المنضمة إلى المجال مع نهج المجموعة المخصص الإعداد التالي: تكوين تخزين المستخدم لمعلومات استرداد BitLocker -> السماح بمفتاح استرداد 256 بت. سوف يفشل Azure Disk Encryption عندما تكون إعدادات group policy المخصصة لـ BitLocker غير متوافقة. على الأجهزة التي لم يكن لديها إعداد النهج الصحيح، بادر بتطبيق النهج الجديد وفرض النهج الجديد لتحديث (gpupdate.exe /force). قد تكون هناك حاجة إلى إعادة التشغيل.

لا تتوافق ميزات نهج مجموعة Microsoft BitLocker مسؤول istration and Monitoring (MBAM) مع تشفير قرص Azure.

تحذير

تشفير قرص Azure لا يخزن مفاتيح الاسترداد. إذا تم تمكين إعداد أمان حد تسجيل الدخول التفاعلي: تأمين حساب الجهاز، فلا يمكن استرداد الأجهزة إلا من خلال توفير مفتاح استرداد عبر وحدة التحكم التسلسلية. يمكن العثور على إرشادات لضمان تمكين نُهج الاسترداد المناسبة في خطة دليل استرداد Bitlocker.

سوف يفشل Azure Disk Encryption إذا حظر group policy مستوى المجال خوارزمية AES-CBC، التي يستخدمها BitLocker.

متطلبات تخزين مفتاح التشفير

يتطلب تشفير القرص Azure Vault مفتاح Azure للتحكم في مفاتيح تشفير القرص والأسرار وإدارتها. يجب أن يكون المخزن الرئيسي والأجهزة الظاهرية موجودة في نفس منطقة واشتراك Azure.

لمزيد من التفاصيل راجع إنشاء مخزن مفاتيح وتكوينه لتشفير Azure Disk Encryption.

المصطلحات

يعرف الجدول التالي بعض المصطلحات الشائعة المستخدمة في وثائق تشفير القرص Azure:

المصطلحات التعريف
Azure Key Vault Key Vault هي خدمة تشفير وإدارة المفاتيح التي تستند إلى وحدات أمان الأجهزة المعتمدة لمعايير معالجة المعلومات الفيدرالية (FIPS). تساعد هذه المعايير على حماية مفاتيح التشفير والأسرار الحساسة. لمزيد من المعلومات، راجع وثائق Azure Key Vault وإنشاء وتكوين خزنة مفاتيح لتشفير قرص Azure.
Azure CLI The Azure CLI مُحسّن لإدارة موارد Azure وإدارتها من سطر الأوامر.
Bitlocker. BitLocker هي تقنية تشفير وحدة تخزين Windows معترف بها في الصناعة تُستخدم لتمكين تشفير القرص على الأجهزة الظاهرية Windows.
مفتاح تشفير المفتاح (KEK) المفتاح غير المتماثل (RSA 2048) الذي يمكنك استخدامه لحماية السر أو تضمينه. يمكنك توفير مفتاح محمي بواسطة وحدة أمان الأجهزة (HSM) أو مفتاح محمي بواسطة البرامج. لمزيد من المعلومات، راجع وثائق Azure Key Vault وإنشاء وتكوين خزنة مفاتيح لتشفير قرص Azure.
PowerShell cmdlets لمزيد من المعلومات، راجع أوامر Azure PowerShell cmdlets.

الخطوات التالية