Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Verbesserungen an Shielded VM in Windows Server 2019

Summary: Abgeschirmte VM-Verbesserungen

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


Abgeschirmte VM ist eine einzigartige Sicherheitsfunktion, die von Microsoft in Windows Server 2016 eingeführt wurde und viele Verbesserungen in der Windows Server 2019 Edition durchlaufen hat. Dieser Blog zielt hauptsächlich darauf ab, die Verbesserungen der Funktion aufzurufen.

Eine grundlegende Einführung in die Funktion und detaillierte Schritte für die Bereitstellung finden Sie unter den folgenden Links:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Bestätigungsmodi

Die Funktion unterstützte zunächst zwei Bestätigungsmodi: Active Directory-basierte Bestätigung und TPM-basierte Bestätigung. DIE TPM-basierte Bestätigung bietet verbesserte Sicherheitsfunktionen, da TPM als Hardware-Root of Trust verwendet wird und gemessene Start- und Codeintegrität unterstützt.

Die Bestätigung des Schlüsselmodus ist die neue Ergänzung, die die AD-basierte Bestätigung ersetzt (die noch vorhanden ist, aber ab Windows Server 2019 veraltet ist). Der folgende Link enthält die Informationen zum Einrichten des HGS-Node (Host Guardian-Dienst) unter Verwendung der Schlüsselmodus-Bestätigung. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Die Bestätigung des Schlüsselmodus wird bevorzugt oder in Den Szenarien verwendet, in der TPM-Hardware nicht für die Verwendung verfügbar ist. Es ist einfacher zu konfigurieren, ist aber auch hier mit einer Reihe von Sicherheitsrisiken verbunden, da keine Hardware-Root of Trust erforderlich ist.

HGS-Backupfunktion

Da der HGS-Cluster ein wichtiger Bestandteil der abgeschirmten VM-Lösung ist, hat Microsoft eine Verbesserung bereitgestellt, um einfach ein Backup für die HGS-URLs zu integrieren, sodass die hyper-V-geschützten Hosts die abgeschirmten VMs ohne Ausfallzeiten nachweisen und starten können, selbst wenn der primäre HGS-Server nicht reagiert. Dazu müssen zwei HGS-Server eingerichtet werden, wobei die VMs während der Bereitstellung unabhängig von beiden Servern bestätigt werden. Mit den folgenden Befehlen können die VMs von beiden HGS-Clustern bestätigt werden.

 

# Ersetzen Sie https://hgs.primary.com und https://hgs.backup.com durch Ihre eigenen Domainnamen und Protokolle.

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Damit der Hyper-V-Host die Bestätigung sowohl mit dem primären als auch mit dem Fallback-Server bestehen kann, müssen Sie sicherstellen, dass Ihre Bestätigungsinformationen mit beiden HGS-Clustern auf dem neuesten Stand sind.

Offline-Modus

Dies ist wiederum ein spezieller Modus, der von Microsoft eingeführt wird, der es den abgeschirmten VMs ermöglicht, sich selbst dann einzuschalten, wenn der HGS-Node nicht erreichbar ist. Um diesen Modus für die VMs zu aktivieren, müssen wir den folgenden Befehl auf dem HGS-Node ausführen:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Sobald dies abgeschlossen ist, müssen wir alle virtuellen Maschinen neu starten, um die zwischenspeicherbare Schlüsselschutzvorrichtung für die virtuellen Maschinen zu aktivieren.

Hinweis:  Alle Sicherheitskonfigurationsänderungen auf dem lokalen Rechner führen dazu, dass dieser Offlinemodus ungültig wird. Die VMs müssen den HGS-Server vor dem erneuten Einschalten des Offline-Modus bestätigen.

Mit Linux abgeschirmte VM

Microsoft hat außerdem die Unterstützung für das Hosten der VMs mit Linux als Gastbetriebssystem erweitert. Weitere Informationen dazu, welche BS-Variante und -Version verwendet werden können, finden Sie unter dem folgenden Link.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Wichtige Richtlinien

Es gibt einige wichtige Richtlinien, die bei der Bereitstellung von abgeschirmten VMs befolgt werden müssen:

  1. Bei der Durchführung eines Upgrades von Windows Server 2016 auf Windows Server 2019 müssen wir alle Sicherheitskonfigurationen löschen und sie nach dem Upgrade erneut auf die HGS und die gesicherten Hosts anwenden, damit die Lösung nahtlos funktioniert.
  2. Vorlagenfestplatten können nur mit dem Bereitstellungsprozess für sichere, abgeschirmte VMs verwendet werden. Der Versuch, eine reguläre (nicht durch Shield geschützte) VM mit einer Vorlagenfestplatte zu starten, führt wahrscheinlich zu einem Stopp-Fehler (Bluescreen) und wird nicht unterstützt.

Dell Support

Alle Optionen von WS2016 und 2019 werden auf Dell PowerEdge 13- und 14G-Systemen unterstützt. Für höchste Sicherheit wird die Verwendung einer TPM-basierten Bestätigung zusammen mit einem TPM 2.0 empfohlen.


Dieser Blog wurde von den Dell Ingenieuren Pavan Parser, Vinay Patkar und Shubhra Rana verfasst.

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.