Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

在 Windows Server 2019 中有屏蔽 VM 的增強功能

Summary: 保護 VM 增強功能

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


保護 VM 是 Microsoft 在 Windows Server 2016 中導入的獨特安全性功能,在 Windows Server 2019 版本中具有許多強化功能。此部落格主要目的在說明功能的改善。

如需此功能的基本介紹和部署的詳細步驟,請參閱下列連結:

  1. HTTPs://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

證明模式

此功能一開始支援兩種證明模式:Active Directory 型證明和 TPM 型證明。TPM 型證明可提供強化的安全性保護,因為它使用 TPM 做為硬體根信任,並支援測量開機和程式碼完整性。

關鍵模式證明是新的新增功能,可取代以 AD 為基礎的證明 (目前仍存在,但從 Windows Server 2019 版開始已過期)。下列連結包含使用 Key Mode Attestation 設定 HGS (主機監護人服務) 節點的資訊。 


HTTPs://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default當 TPM 硬體無法使用時,建議使用或使用關鍵模式證明。設定起來比較容易,但也隨附一組安全性風險,因為它不涉及硬體根信任。

HGS 備份功能

由於 HGS 叢集是保護式 VM 解決方案中的關鍵區段,因此 Microsoft 提供了強化功能,以便輕鬆整合 HGS URL 的備份,即使主要 HGS 伺服器沒有回應,Hyper-V 保護主機也能在不停機的情況下證明並啟動受保護的虛擬機器。這需要設定兩個 HGS 伺服器,而 VM 在部署期間會獨立證明這兩個伺服器。下列命令可用來讓兩個 HGS 叢集證明 VM。

 

# 使用自己的功能變數名稱和通訊協定取代 HTTPs://hgs.primary.com 和 HTTPs://hgs.backup.com

Set-HgsClientConfiguration -KeyProtectionServerUrl 'HTTPs://hgs.primary.com/KeyProtection' -AttestationServerUrl 'HTTPs://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'HTTPs://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'HTTPs://hgs.backup.com/Attestation'

 

若要讓 Hyper-V 主機透過主要伺服器和回復伺服器的證明,您必須確保兩個 HGS 叢集的證明信息均為最新狀態。

離線模式

這又是 Microsoft 引進的特殊模式,即使 HGS 節點無法連線,也能讓受保護的 VM 開啟。若要為 VM 啟用此模式,我們需要在 HGS 節點上執行下列命令:

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching

完成此作業後,我們需要重新開機所有虛擬機器,以啟用虛擬機器的快取金鑰保護器。

注意:  本機機器上的任何安全性組態變更,都會導致此離線模式失效。VM 必須先測試 HGS 伺服器,然後再重新開啟離線模式。

Linux 防護 VM

Microsoft 也擴大支援以 Linux 作為客體作業系統來代管 VM。如需更多可使用作業系統風味和版本的詳細資訊,請查看下列連結。

HTTPs://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

重要指導方針

當我們部署受保護的 VM 時,有幾個重要的指導方針可遵循:

  1. 在執行從 Windows Server 2016 升級至 Windows Server 2019 時,我們需要清除所有安全性組態,並在 HGS 和防護主機升級後再次套用這些組態,以便解決方案順暢運作。
  2. 範本磁片只能搭配安全的保護 VM 布建程式使用。嘗試使用範本磁片啟動一般 (未遮罩) 虛擬機器可能會導致停止錯誤 (藍色畫面),且不受支援。

DELL 支援

Dell PowerEdge 13 和 14G 系統支援 WS2016 和 2019 的所有選項。為提供最嚴格的安全性,建議您使用 TPM 型證明與 TPM 2.0。


此部落格是由 DELL 工程師 Pavan Kumar、Vin Patkar 和Shubhra Rana 撰寫

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.