Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Mejoras de VM protegidas en Windows Server 2019

Summary: Mejoras de VM blindadas

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


La VM blindada es una característica de seguridad única presentada por Microsoft en Windows Server 2016 y se ha sometido a muchas mejoras en la edición de Windows Server 2019. Este blog tiene como objetivo principal destacar las mejoras en la función.

Para obtener la introducción básica a la función y los pasos detallados para la implementación, consulte los siguientes enlaces:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Modos de certificación

Inicialmente, la función admitía dos modos de atestación: atestación basada en Active Directory y atestación basada en TPM. La certificación basada en TPM proporciona protecciones de seguridad mejoradas, ya que utiliza TPM como raíz de confianza de hardware y admite el arranque medido y la integridad del código.

La certificación del modo clave es la nueva incorporación, que sustituye la atestación basada en AD (que aún está presente, pero obsoleta desde Windows Server 2019 en adelante). El siguiente vínculo contiene información para configurar el nodo HGS (servicio De Host Guardian) mediante la certificación del modo clave. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default La atestación del modo clave se prefiere o se utiliza en situaciones en las que el hardware de TPM no está disponible para su uso. Es más fácil de configurar, pero de nuevo viene con un conjunto de riesgos de seguridad, ya que no implica raíz de confianza de hardware.

Función de respaldo de HGS

Dado que el clúster HGS es una pieza fundamental en la solución de VM blindada, Microsoft proporcionó una mejora para incorporar fácilmente un respaldo para las DIRECCIONES URL de HGS, de modo que incluso si el servidor HGS primario no responde, los hosts con protección de Hyper-V pueden certificar e iniciar las VM blindadas sin tiempo de inactividad. Esto requiere la configuración de dos servidores HGS, con las VM certificadas de manera independiente con ambos servidores durante la implementación. Los siguientes comandos se utilizan para permitir que ambas máquinas virtuales estén certificadas por ambos clústeres de HGS.

 

# Reemplace https://hgs.primary.com y https://hgs.backup.com con sus propios nombres de dominio y protocolos

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Para que el host de Hyper-V pase la atestación con los servidores primario y de reserva, deberá asegurarse de que la información de atestación esté actualizada con ambos clústeres HGS.

Modo offline

Nuevamente, este es un modo especial introducido por Microsoft que permite que las VM blindadas se enciendan incluso cuando no se pueda acceder al nodo HGS. Para habilitar este modo para las VM, debemos ejecutar el siguiente comando en el nodo HGS:

Set-HgsKeyProtectionConfiguration – AllowKeyMentalCaching

Una vez hecho esto, debemos reiniciar todas las máquinas virtuales para habilitar el protector de claves que se puede almacenar en caché para las máquinas virtuales.

Nota:  Cualquier cambio en la configuración de seguridad en la máquina local hará que este modo offline no sea válido. Las máquinas virtuales deberán certificar con el servidor HGS antes de volver a activar el modo offline.

VM blindada con Linux

Microsoft también extendió el soporte para alojar las MÁQUINAS virtuales que tienen Linux como so huésped. Para obtener más detalles sobre la versión y la versión del so que se pueden utilizar, consulte el siguiente enlace.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Pautas importantes

Hay algunas pautas importantes que se deben seguir cuando implementamos VM blindadas:

  1. Durante la actualización de Windows Server 2016 a Windows Server 2019, necesitamos borrar todas las configuraciones de seguridad y volver a aplicarlas después de la actualización en el HGS y los hosts protegido para que la solución funcione sin inconvenientes.
  2. Los discos de plantilla solo se pueden utilizar con el proceso de aprovisionamiento de VM protegido seguro. Intentar iniciar una VM regular (sin blindaje) mediante un disco de plantilla probablemente dará como resultado un error de detención (pantalla azul) y no es compatible.

Soporte de DELL

Todas las opciones de WS2016 y 2019 son compatibles con los sistemas Dell PowerEdge 13 y 14G. Para la seguridad más estricta, se recomienda el uso de la certificación basada en TPM junto con un TPM 2.0.


Este blog ha sido escrito por los ingenieros de DELL Pavan Kumar, Hastay Patkar y Shubhra Rana

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.