Abgeschirmte VM ist eine einzigartige Sicherheitsfunktion, die von Microsoft in Windows Server 2016 eingeführt wurde und viele Verbesserungen in der Windows Server 2019 Edition durchlaufen hat. Dieser Blog zielt hauptsächlich darauf ab, die Verbesserungen der Funktion aufzurufen.
Eine grundlegende Einführung in die Funktion und detaillierte Schritte für die Bereitstellung finden Sie unter den folgenden Links:
Bestätigungsmodi
Die Funktion unterstützte zunächst zwei Bestätigungsmodi: Active Directory-basierte Bestätigung und TPM-basierte Bestätigung. DIE TPM-basierte Bestätigung bietet verbesserte Sicherheitsfunktionen, da TPM als Hardware-Root of Trust verwendet wird und gemessene Start- und Codeintegrität unterstützt.
Die Bestätigung des Schlüsselmodus ist die neue Ergänzung, die die AD-basierte Bestätigung ersetzt (die noch vorhanden ist, aber ab Windows Server 2019 veraltet ist). Der folgende Link enthält die Informationen zum Einrichten des HGS-Node (Host Guardian-Dienst) unter Verwendung der Schlüsselmodus-Bestätigung.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Die Bestätigung des Schlüsselmodus wird bevorzugt oder in Den Szenarien verwendet, in der TPM-Hardware nicht für die Verwendung verfügbar ist. Es ist einfacher zu konfigurieren, ist aber auch hier mit einer Reihe von Sicherheitsrisiken verbunden, da keine Hardware-Root of Trust erforderlich ist.
HGS-Backupfunktion
Da der HGS-Cluster ein wichtiger Bestandteil der abgeschirmten VM-Lösung ist, hat Microsoft eine Verbesserung bereitgestellt, um einfach ein Backup für die HGS-URLs zu integrieren, sodass die hyper-V-geschützten Hosts die abgeschirmten VMs ohne Ausfallzeiten nachweisen und starten können, selbst wenn der primäre HGS-Server nicht reagiert. Dazu müssen zwei HGS-Server eingerichtet werden, wobei die VMs während der Bereitstellung unabhängig von beiden Servern bestätigt werden. Mit den folgenden Befehlen können die VMs von beiden HGS-Clustern bestätigt werden.
# Ersetzen Sie https://hgs.primary.com und https://hgs.backup.com durch Ihre eigenen Domainnamen und Protokolle.
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Damit der Hyper-V-Host die Bestätigung sowohl mit dem primären als auch mit dem Fallback-Server bestehen kann, müssen Sie sicherstellen, dass Ihre Bestätigungsinformationen mit beiden HGS-Clustern auf dem neuesten Stand sind.
Offline-Modus
Dies ist wiederum ein spezieller Modus, der von Microsoft eingeführt wird, der es den abgeschirmten VMs ermöglicht, sich selbst dann einzuschalten, wenn der HGS-Node nicht erreichbar ist. Um diesen Modus für die VMs zu aktivieren, müssen wir den folgenden Befehl auf dem HGS-Node ausführen:
Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching
Sobald dies abgeschlossen ist, müssen wir alle virtuellen Maschinen neu starten, um die zwischenspeicherbare Schlüsselschutzvorrichtung für die virtuellen Maschinen zu aktivieren.
Hinweis: Alle Sicherheitskonfigurationsänderungen auf dem lokalen Rechner führen dazu, dass dieser Offlinemodus ungültig wird. Die VMs müssen den HGS-Server vor dem erneuten Einschalten des Offline-Modus bestätigen.
Mit Linux abgeschirmte VM
Microsoft hat außerdem die Unterstützung für das Hosten der VMs mit Linux als Gastbetriebssystem erweitert. Weitere Informationen dazu, welche BS-Variante und -Version verwendet werden können, finden Sie unter dem folgenden Link.
Wichtige Richtlinien
Es gibt einige wichtige Richtlinien, die bei der Bereitstellung von abgeschirmten VMs befolgt werden müssen:
Alle Optionen von WS2016 und 2019 werden auf Dell PowerEdge 13- und 14G-Systemen unterstützt. Für höchste Sicherheit wird die Verwendung einer TPM-basierten Bestätigung zusammen mit einem TPM 2.0 empfohlen.