Korumalı VM, Microsoft tarafından Windows Server 2016'da tanıtilen benzersiz bir güvenlik özelliğidir ve Windows Server 2019 sürümünde çok sayıda geliştirme gerçekleştirmektedir. Bu blog temel olarak özellikte iyileştirmeler olduğunu ifade ediyor.
Bu özellige temel giriş ve dağıtıma ilişkin ayrıntılı adımlar için lütfen aşağıdaki bağlantılara başvurun:
Station Modları
Bu özellik başlangıçta iki kez desteklemektedir: Active Directory tabanlı kimlik doğrulanması ve TPM tabanlı kimlik doğrulanması. TPM tabanlı sertifika, donanım güven kökü olarak TPM'yi kullandığı ve ölçülen önyükleme ve kod bütünlüğünü desteklediğinden gelişmiş güvenlik korumaları sağlar.
Anahtar modu doğrulaması, AD tabanlı onay ekini ekleyen (hala mevcut olan ancak Windows Server 2019'dan itibaren kullanımdan kaldıran) yeni eklemedir. Aşağıdaki bağlantı, Anahtar Modu Onayını kullanarak HGS (Ana Bilgisayar Koruyucu Hizmeti) düğümünü ayarlamak için bilgiler içerir.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default TPM donanımı kullanılamadığında, senaryolarda anahtar modu doğrulama tercih edilir veya kullanılır. Yapılandırmak daha kolaydır ancak donanım güven kaynağına sahip olmadığı için güvenlik risklerinin bir kümesiyle birlikte gelir.
HGS Yedekleme özelliği
HGS kümesi, korumalı VM çözümünde kritik bir parça olduğundan Microsoft, birincil HGS sunucusu yanıt vermese bile Hyper-V korumalı ana bilgisayarların herhangi bir kesinti süresi olmadan korumalı VM'leri test etmek ve başlatılabilmesi için HGS URL'leri için kolayca bir yedekleme dahil etmek üzere bir geliştirme sağlanmıştır. Bu, vm'lerin dağıtım sırasında her iki sunucuyla da bağımsız olarak test edildiklerinden iki HGS sunucusu kurulumu gerektirir. Aşağıdaki komutlar, VM'lerin her iki HGS kümesi tarafından test edilip test edilemesini etkinleştirmek için kullanılır.
# Https://hgs.primary.com ve https://hgs.backup.com etki alanı adlarınızı ve protokollerinizi değiştirin
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Hyper-V ana bilgisayarının hem birincil hem de geri dönüş sunucularla doğrulamayı başarılı bir şekilde gerçekleştiremesi için her iki HGS kümesinde de doğrulama bilginizin güncel olduğundan emin olun.
Çevrimdışı Mod
Bu, Microsoft tarafından tanıtıldığında, HGS düğümü erişilemez olduğunda bile Korumalı VM'lerin açılmasına olanak sağlayan özel bir moddur. VM'ler için bu modu etkinleştirmek için HGS düğümünde aşağıdaki komutu çalıştırması gerekir:
Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching (Set-HgsKeyProtectionConfiguration –AllowKeyMalrialCaching)
Bu işlem tamamlandıktan sonra, Sanal Makineler için önbelleğe alınmış anahtar koruyucuyu etkinleştirmek üzere tüm Sanal makineleri yeniden başlatmamız gerekir.
Not: Yerel makinedeki tüm güvenlik yapılandırma değişiklikleri bu çevrimdışı modun geçersiz olmasına neden olur. Sanal disklerin, çevrimdışı modu yeniden açmadan önce HGS sunucusuyla test olması gerekir.
Linux Korumalı VM
Microsoft ayrıca Konuk İşletim Sistemi olarak Linux'a sahip VM'leri barındırma desteği de uzatıldı. İşletim sistemi tadının ve sürümünün nasıl kullanılabilir olduğu hakkında daha fazla bilgi için lütfen aşağıdaki bağlantıyı kontrol edin.
Önemli Yönergeler
Korumalı VM'leri dağıtırken izlenmesi gereken birkaç önemli kılavuz vardır:
WS2016 ve 2019'dan tüm seçenekler Dell PowerEdge 13 ve 14G sistemlerinde desteklenir. Çoğu sıkı güvenlik için TPM 2.0 ile birlikte TPM tabanlı birstation kullanılması önerilir.