Skyddad VM är en unik säkerhetsfunktion som introducerades av Microsoft i Windows Server 2016 och som har genomgått många förbättringar i Windows Server 2019 Edition. Den här bloggen syftar huvudsakligen till att ta upp förbättringarna av funktionen.
Grundläggande introduktion till funktionen och detaljerade steg för driftsättning finns på följande länkar:
Lägen för attestering
Funktionen hade ursprungligen stöd för två attesteringslägen – Active Directory-baserat attestering och TPM-baserat attestering. TPM-baserat attestering ger förbättrat säkerhetsskydd eftersom TPM används som maskinvarubaserad betrodd rot och stöder uppmätt start och kodintegritet.
Attestering av nyckelläge är det nya tillägget som ersätter AD-baserat attestering (som fortfarande finns men är inaktuellt från Windows Server 2019 och senare). Följande länk innehåller information om hur du konfigurerar HGS-noden (Host Guardian Service) med hjälp av nyckelläges-attestering.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering av nyckelläge föredras eller används i scenarier när TPM-maskinvara inte är tillgänglig för användning. Det är enklare att konfigurera, men det kommer återigen med en uppsättning säkerhetsrisker eftersom det inte omfattar en maskinvarubaserad förtroenderot.
HGS-säkerhetskopieringsfunktion
Eftersom HGS-klustret är en viktig komponent i den avskärmade VM-lösningen har Microsoft tillhandahållit en förbättring för att enkelt införliva en säkerhetskopia av HGS-URL-adresserna så att även om den primära HGS-servern inte svarar kan hyper-V-skyddade värdar intyga och starta de skyddade virtuella datorerna utan driftavbrott. Detta kräver att två HGS-servrar konfigureras, där de virtuella datorerna separat intygas med båda servrarna under distributionen. Följande kommandon används för att aktivera att de virtuella datorerna kan intygas av båda HGS-klustren.
# Ersätt https://hgs.primary.com och https://hgs.backup.com med dina egna domännamn och protokoll
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
För att Hyper-V-värden ska klara attestering med både primära servrar och reservservrar måste du se till att din attesteringsinformation är uppdaterad med båda HGS-klustren.
Offlineläge
Detta är återigen ett specialläge som introducerades av Microsoft, vilket gör det möjligt för de skärmade virtuella datorerna att slås på även när HGS-noden inte är åtkomlig. Om du vill aktivera det här läget för de virtuella datorerna måste du köra följande kommando på HGS-noden:
Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching
När det är gjort måste vi starta om alla virtuella maskiner för att aktivera cacheminnet för de virtuella maskinerna.
Obs! Om säkerhetskonfigurationen ändras på den lokala datorn blir offlineläget ogiltigt. De virtuella maskinerna måste intyga med HGS-servern innan du slår på offline-läget igen.
Linux avskärmad VM
Microsoft har också utökat stödet för att vara värd för de virtuella datorer som har Linux som gäst-OS. Mer information om vilken OS-version och -version som kan användas finns i följande länk.
Viktiga riktlinjer
Det finns några viktiga riktlinjer att följa när vi distribuerar skyddade virtuella datorer:
Alla alternativ från WS2016 och 2019 stöds på Dell PowerEdge 13- och 14G-system. För striktare säkerhet rekommenderas användning av TPM-baserat attestering tillsammans med TPM 2.0.