Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Vylepšení chráněného virtuálního počítače v systému Windows Server 2019

Summary: Vylepšení stíněných virtuálních počítačů

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


Stíněný virtuální počítač je jedinečná bezpečnostní funkce představená společností Microsoft v systému Windows Server 2016 a prošla mnoha vylepšeními ve verzi Windows Server 2019. Cílem tohoto blogu je především při vyvolání vylepšení této funkce.

Základní informace o této funkci a podrobný postup nasazení naleznete na následujících odkazech:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Režimy atestace

Tato funkce na začátku podporovala dva režimy atestace – atestace na bázi služby Active Directory a atestace na bázi čipu TPM. Atestace založená na čipu TPM poskytuje vylepšené bezpečnostní ochrany, jelikož používá tpm jako hardwarový kořen důvěry a podporuje měřenou integritu spouštění a kódu.

Key mode attestation is the new addition, supplanting AD based atestace (která je stále k dispozici, ale již není k dispozici v systému Windows Server 2019). Následující odkaz obsahuje informace k nastavení uzlu HGS (Host Guardian Service) pomocí atestace v režimu klíčů. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Upřednostňuje se atestace klíčových režimů nebo se používá v případech, kdy není k dispozici hardware TPM pro použití. Konfigurace je snazší, ale opět se dodává se sadou bezpečnostních rizik, jelikož nezahrnuje hardwarovou kořenovou autoritu důvěry.

Funkce zálohování HGS

Vzhledem k tomu, že cluster HGS je zásadní součástí stíněného řešení virtuálních počítačů, společnost Microsoft poskytla vylepšení, které snadno zahrnuje zálohování adres URL HGS, takže i když primární server HGS nereaguje, střežení hostitelé Hyper-V mohou otestovat a spustit stínované virtuální počítače bez jakýchkoli prostojů. To vyžaduje nastavení dvou serverů HGS, přičemž virtuální počítače musí být během nasazení nezávisle testovány s oběma servery. Následující příkazy slouží k povolení testování virtuálních počítačů oběma clustery HGS.

 

# Nahraďte https://hgs.primary.com a https://hgs.backup.com vlastními názvy domén a protokoly.

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Aby hostitel Hyper-V mohl předávat atestace u primárních i záložních serverů, je nutné zajistit, aby byly informace o atestace u obou clusterů HGS aktuální.

Režim offline

Jedná se opět o speciální režim zavedený společností Microsoft, který umožňuje zapnutí stíněných virtuálních počítačů i v případě, že uzel HGS není dostupný. Chcete-li povolit tento režim pro virtuální počítače, je třeba v uzlu HGS spustit následující příkaz:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Jakmile to provedete, je třeba restartovat všechny virtuální počítače, aby bylo možné pro virtuální počítače povolit ochranu klíčů s možností mezipaměti.

Poznámka:  Veškeré změny konfigurace zabezpečení v místním počítači způsobí, že tento offline režim bude neplatný. Před opětovným zapnutím režimu offline je nutné virtuální počítače otestovat se serverem HGS.

Stíněný virtuální počítač se systémem Linux

Společnost Microsoft také rozšířila podporu hostování virtuálních počítačů s operačním systémem Linux jako hostovaný. Další podrobnosti o tom, které verze operačního systému lze použít, najdete na následujícím odkazu.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Důležité pokyny

Při nasazování stíněných virtuálních počítačů je třeba dodržovat několik důležitých pokynů:

  1. Během upgradu ze systému Windows Server 2016 na systém Windows Server 2019 je třeba vymazat všechny konfigurace zabezpečení a po upgradu na HGS a střežené hostitele znovu použít, aby řešení bezproblémově fungovalo.
  2. Disky šablony lze použít pouze s procesem zabezpečeného stínění virtuálních počítačů. Pokus o spuštění běžného (nestíněné) virtuálního počítače pomocí disku šablony pravděpodobně způsobí chybu STOP (modrá obrazovka) a nebude podporován.

Podpora společnosti DELL

Všechny možnosti z WS2016 a 2019 jsou podporovány na systémech Dell PowerEdge 13 a 14G. Pro nejpřísnější zabezpečení se doporučuje používat atestace na bázi TPM spolu s čipem TPM 2.0.


Tento blog napsali inženýři SPOLEČNOSTI DELL Pavan Boo, Vinay Patkar a Shubhra Poře.

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.