Stíněný virtuální počítač je jedinečná bezpečnostní funkce představená společností Microsoft v systému Windows Server 2016 a prošla mnoha vylepšeními ve verzi Windows Server 2019. Cílem tohoto blogu je především při vyvolání vylepšení této funkce.
Základní informace o této funkci a podrobný postup nasazení naleznete na následujících odkazech:
Režimy atestace
Tato funkce na začátku podporovala dva režimy atestace – atestace na bázi služby Active Directory a atestace na bázi čipu TPM. Atestace založená na čipu TPM poskytuje vylepšené bezpečnostní ochrany, jelikož používá tpm jako hardwarový kořen důvěry a podporuje měřenou integritu spouštění a kódu.
Key mode attestation is the new addition, supplanting AD based atestace (která je stále k dispozici, ale již není k dispozici v systému Windows Server 2019). Následující odkaz obsahuje informace k nastavení uzlu HGS (Host Guardian Service) pomocí atestace v režimu klíčů.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Upřednostňuje se atestace klíčových režimů nebo se používá v případech, kdy není k dispozici hardware TPM pro použití. Konfigurace je snazší, ale opět se dodává se sadou bezpečnostních rizik, jelikož nezahrnuje hardwarovou kořenovou autoritu důvěry.
Funkce zálohování HGS
Vzhledem k tomu, že cluster HGS je zásadní součástí stíněného řešení virtuálních počítačů, společnost Microsoft poskytla vylepšení, které snadno zahrnuje zálohování adres URL HGS, takže i když primární server HGS nereaguje, střežení hostitelé Hyper-V mohou otestovat a spustit stínované virtuální počítače bez jakýchkoli prostojů. To vyžaduje nastavení dvou serverů HGS, přičemž virtuální počítače musí být během nasazení nezávisle testovány s oběma servery. Následující příkazy slouží k povolení testování virtuálních počítačů oběma clustery HGS.
# Nahraďte https://hgs.primary.com a https://hgs.backup.com vlastními názvy domén a protokoly.
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Aby hostitel Hyper-V mohl předávat atestace u primárních i záložních serverů, je nutné zajistit, aby byly informace o atestace u obou clusterů HGS aktuální.
Režim offline
Jedná se opět o speciální režim zavedený společností Microsoft, který umožňuje zapnutí stíněných virtuálních počítačů i v případě, že uzel HGS není dostupný. Chcete-li povolit tento režim pro virtuální počítače, je třeba v uzlu HGS spustit následující příkaz:
Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching
Jakmile to provedete, je třeba restartovat všechny virtuální počítače, aby bylo možné pro virtuální počítače povolit ochranu klíčů s možností mezipaměti.
Poznámka: Veškeré změny konfigurace zabezpečení v místním počítači způsobí, že tento offline režim bude neplatný. Před opětovným zapnutím režimu offline je nutné virtuální počítače otestovat se serverem HGS.
Stíněný virtuální počítač se systémem Linux
Společnost Microsoft také rozšířila podporu hostování virtuálních počítačů s operačním systémem Linux jako hostovaný. Další podrobnosti o tom, které verze operačního systému lze použít, najdete na následujícím odkazu.
Důležité pokyny
Při nasazování stíněných virtuálních počítačů je třeba dodržovat několik důležitých pokynů:
Všechny možnosti z WS2016 a 2019 jsou podporovány na systémech Dell PowerEdge 13 a 14G. Pro nejpřísnější zabezpečení se doporučuje používat atestace na bázi TPM spolu s čipem TPM 2.0.