Skjermet VM er en unik sikkerhetsfunksjon introdusert av Microsoft i Windows Server 2016 og har gjennomgått mange forbedringer i Windows Server 2019-utgaven. Denne bloggen tar hovedsakelig sikte på å vise frem forbedringene i funksjonen.
Hvis du vil se den grunnleggende introduksjonen til funksjonen og detaljerte trinn for implementering, kan du se følgende koblinger:
Attesteringsmoduser
Funksjonen støttet først to attesteringsmoduser – Active Directory-basert attestering og TPM-basert attestering. TPM-basert attestering gir forbedret sikkerhetsbeskyttelse ettersom den bruker TPM som maskinvarerot av klarering og støtter målt oppstart og kodeintegritet.
Attestering av nøkkelmodus er det nye tillegget, som forplanter AD-basert attestering (som fortsatt er til stede, men som foreldet fra Windows Server 2019 og nyere). Følgende kobling inneholder informasjon om hvordan du konfigurerer HGS-noden (Host Guardian Service) ved hjelp av attestering av nøkkelmodus.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering av nøkkelmodus foretrekkes eller brukes i scenariene når TPM-maskinvare ikke er tilgjengelig for bruk. Det er enklere å konfigurere, men leveres igjen med et sett med sikkerhetsrisikoer, ettersom det ikke omfatter maskinvarerot av tillit.
HGS-sikkerhetskopieringsfunksjon
Siden HGS-klyngen er en viktig del i den skjermede VM-løsningen, har Microsoft gitt en forbedring for enkel å inkludere en sikkerhetskopi for HGS URL-adressene, slik at selv om den primære HGS-serveren ikke svarer, kan hyper-V-bevoktede verter attestere og starte de skjermede VM-ene uten nedetid. Dette krever at to HGS-servere konfigureres, og virtuelle maskiner er uavhengig bevitnet med begge serverne under implementeringen. Følgende kommandoer brukes til å aktivere attestede VM-er av begge HGS-klyngene.
# Bytt ut https://hgs.primary.com og https://hgs.backup.com med dine egne domenenavn og -protokoller
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
For at Hyper-V-verten skal kunne bestå attestering med både primærserverne og reserveserverne, må du sørge for at at attesteringsinformasjonen din er oppdatert med begge HGS-klyngene.
Frakoblet modus
Dette er igjen en spesialmodus introdusert av Microsoft som gjør at skjermede VM-er kan slås på selv når HGS-noden ikke kan nås. Hvis du vil aktivere denne modusen for VIRTUELLE-er, må vi kjøre følgende kommando på HGS-noden:
Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching
Når dette er gjort, må vi starte alle de virtuelle maskinene på nytt for å aktivere den hurtigbufferbare nøkkelbeskytteren for de virtuelle maskinene.
Merk: Eventuelle endringer i sikkerhetskonfigurasjonen på den lokale maskinen vil føre til at denne frakoblede modusen blir ugyldig. VM-ene må attestere med HGS-serveren før de slår på frakoblet modus på nytt.
Linux-skjermet VM
Microsoft utvidet også støtten for å være vert for virtuelle maskiner som har Linux som gjesteoperativsystemer. Hvis du vil ha mer informasjon om hvilken OS-versjon som kan brukes, kan du se følgende kobling.
Viktige retningslinjer
Det er noen viktige retningslinjer som må følges når vi implementerer skjermede VM-er:
Alle alternativene fra WS2016 og 2019 støttes på Dell PowerEdge 13- og 14G-systemer. For strengeste sikkerhet anbefales bruk av TPM-basert attestering sammen med en TPM 2.0.