Ekranowana maszyna wirtualna to unikalna funkcja zabezpieczeń wprowadzona przez firmę Microsoft w systemie Windows Server 2016 i w wersji Windows Server 2019 została wprowadzona wiele ulepszeń. Celem tego bloga jest wywołanie ulepszeń tej funkcji.
Aby zapoznać się z podstawowym wprowadzeniem do tej funkcji i szczegółowymi krokami wdrażania, skorzystaj z poniższych łączy:
Tryby poświadczania
Funkcja początkowo obsługiwała dwa tryby atestowania — atestowanie oparte na usłudze Active Directory i atestowanie oparte na module TPM. Atestowanie oparte na module TPM zapewnia rozszerzone zabezpieczenia, ponieważ używa modułu TPM jako głównego źródła zaufania sprzętowego i obsługuje zmierzoną integralność rozruchu i kodu.
Nowym dodatkiem jest poświadczenia trybu klucza, zastępujące atesty oparte na AD (które nadal występują, ale zostały wycofane z systemu Windows Server 2019 i nowsze). Poniższe łącze zawiera informacje na temat konfiguracji węzła HGS (Host Guardian Service) przy użyciu atestowania trybu klucza.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Poświadczenia trybu klucza są preferowane lub używane w scenariuszach, gdy sprzęt modułu TPM jest niedostępny do użycia. Konfiguracja jest łatwiejsza, ale wiąże się z zestawem zagrożeń dla bezpieczeństwa, ponieważ nie wiąże się ona ze sprzętowym źródłem zaufania.
Funkcja tworzenia kopii zapasowych HGS
Ponieważ klaster HGS jest krytycznym elementem ekranowanego rozwiązania maszyn wirtualnych, firma Microsoft udostępniła udoskonalenie umożliwiające łatwe wprowadzenie kopii zapasowej adresów URL HGS, dzięki czemu nawet jeśli podstawowy serwer HGS nie reaguje, hosty ochraniane hyper-V mogą potwierdzać i uruchamiać ekranowane maszyny wirtualne bez przestojów. Wymaga to skonfigurowania dwóch serwerów HGS, z niezależnymi maszynami wirtualnymi przetestowanymi z obu serwerów podczas wdrażania. Poniższe polecenia służą do umożliwienia testowania maszyn wirtualnych przez oba klastry HGS.
# Zastąp https://hgs.primary.com i https://hgs.backup.com własnymi nazwami domen i protokołami
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAusestationServerUrl 'https://hgs.backup.com/Attestation'
Aby host Hyper-V przeszedł atestację zarówno z podstawowymi, jak i rezerwowymi serwerami, należy upewnić się, że informacje o poświadczaniu są aktualne w obu klastrach HGS.
Tryb offline
Jest to również specjalny tryb wprowadzony przez firmę Microsoft, który umożliwia włączanie ekranowanych maszyn wirtualnych nawet wtedy, gdy węzeł HGS jest nieosiągalny. Aby włączyć ten tryb dla maszyn wirtualnych, należy uruchomić następujące polecenie w węźle HGS:
Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching
Po wykonaniu tej czynności należy ponownie uruchomić wszystkie maszyny wirtualne, aby włączyć funkcję ochrony kluczy z możliwością zapisu w pamięci podręcznej dla maszyn wirtualnych.
Uwaga: Wszelkie zmiany konfiguracji zabezpieczeń na komputerze lokalnym spowodują nieprawidłowy tryb offline. Przed ponownym włączeniem trybu offline maszyny wirtualne muszą sprawdzić działanie serwera HGS.
Ekranowana maszyna wirtualna Linux
Firma Microsoft rozszerzyła również obsługę hostowania maszyn wirtualnych z systemem Linux jako systemem operacyjnym gościa. Aby uzyskać więcej informacji na temat wersji i wersji systemu operacyjnego, sprawdź poniższe łącze.
Ważne wytyczne
Podczas wdrażania ekranowanych maszyn wirtualnych należy przestrzegać kilku ważnych wytycznych:
Wszystkie opcje z WS2016 i 2019 są obsługiwane przez systemy Dell PowerEdge 13 i 14G. Aby uzyskać najbardziej rygorystyczne zabezpieczenia, zalecane jest używanie atestów opartych na module TPM oraz modułu TPM 2.0.