Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Windows Server 2019'da Korumalı Sanal Makine Geliştirmeleri

Summary: Korumalı VM İyileştirmeleri

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


Korumalı VM, Microsoft tarafından Windows Server 2016'da tanıtilen benzersiz bir güvenlik özelliğidir ve Windows Server 2019 sürümünde çok sayıda geliştirme gerçekleştirmektedir. Bu blog temel olarak özellikte iyileştirmeler olduğunu ifade ediyor.

Bu özellige temel giriş ve dağıtıma ilişkin ayrıntılı adımlar için lütfen aşağıdaki bağlantılara başvurun:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Station Modları

Bu özellik başlangıçta iki kez desteklemektedir: Active Directory tabanlı kimlik doğrulanması ve TPM tabanlı kimlik doğrulanması. TPM tabanlı sertifika, donanım güven kökü olarak TPM'yi kullandığı ve ölçülen önyükleme ve kod bütünlüğünü desteklediğinden gelişmiş güvenlik korumaları sağlar.

Anahtar modu doğrulaması, AD tabanlı onay ekini ekleyen (hala mevcut olan ancak Windows Server 2019'dan itibaren kullanımdan kaldıran) yeni eklemedir. Aşağıdaki bağlantı, Anahtar Modu Onayını kullanarak HGS (Ana Bilgisayar Koruyucu Hizmeti) düğümünü ayarlamak için bilgiler içerir. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default TPM donanımı kullanılamadığında, senaryolarda anahtar modu doğrulama tercih edilir veya kullanılır. Yapılandırmak daha kolaydır ancak donanım güven kaynağına sahip olmadığı için güvenlik risklerinin bir kümesiyle birlikte gelir.

HGS Yedekleme özelliği

HGS kümesi, korumalı VM çözümünde kritik bir parça olduğundan Microsoft, birincil HGS sunucusu yanıt vermese bile Hyper-V korumalı ana bilgisayarların herhangi bir kesinti süresi olmadan korumalı VM'leri test etmek ve başlatılabilmesi için HGS URL'leri için kolayca bir yedekleme dahil etmek üzere bir geliştirme sağlanmıştır. Bu, vm'lerin dağıtım sırasında her iki sunucuyla da bağımsız olarak test edildiklerinden iki HGS sunucusu kurulumu gerektirir. Aşağıdaki komutlar, VM'lerin her iki HGS kümesi tarafından test edilip test edilemesini etkinleştirmek için kullanılır.

 

# Https://hgs.primary.com ve https://hgs.backup.com etki alanı adlarınızı ve protokollerinizi değiştirin

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Hyper-V ana bilgisayarının hem birincil hem de geri dönüş sunucularla doğrulamayı başarılı bir şekilde gerçekleştiremesi için her iki HGS kümesinde de doğrulama bilginizin güncel olduğundan emin olun.

Çevrimdışı Mod

Bu, Microsoft tarafından tanıtıldığında, HGS düğümü erişilemez olduğunda bile Korumalı VM'lerin açılmasına olanak sağlayan özel bir moddur. VM'ler için bu modu etkinleştirmek için HGS düğümünde aşağıdaki komutu çalıştırması gerekir:

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching (Set-HgsKeyProtectionConfiguration –AllowKeyMalrialCaching)

Bu işlem tamamlandıktan sonra, Sanal Makineler için önbelleğe alınmış anahtar koruyucuyu etkinleştirmek üzere tüm Sanal makineleri yeniden başlatmamız gerekir.

Not:  Yerel makinedeki tüm güvenlik yapılandırma değişiklikleri bu çevrimdışı modun geçersiz olmasına neden olur. Sanal disklerin, çevrimdışı modu yeniden açmadan önce HGS sunucusuyla test olması gerekir.

Linux Korumalı VM

Microsoft ayrıca Konuk İşletim Sistemi olarak Linux'a sahip VM'leri barındırma desteği de uzatıldı. İşletim sistemi tadının ve sürümünün nasıl kullanılabilir olduğu hakkında daha fazla bilgi için lütfen aşağıdaki bağlantıyı kontrol edin.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Önemli Yönergeler

Korumalı VM'leri dağıtırken izlenmesi gereken birkaç önemli kılavuz vardır:

  1. Windows Server 2016'dan Windows Server 2019'a yükseltme işlemi gerçekleştirirken çözümün sorunsuz çalışması için tüm güvenlik yapılandırmalarını temizlemeli ve HGS'deki yükseltmeden sonra bunları tekrar uygulamak gerekir.
  2. Şablon diskleri yalnızca güvenli korumalı VM sağlama işlemiyle kullanılabilir. Şablon disk kullanarak normal (önyüklenmemiş) bir VM'yi önyüklemeye çalışmanız büyük olasılıkla durma hatasına (mavi ekran) neden olur ve desteklenmez.

DELL desteği

WS2016 ve 2019'dan tüm seçenekler Dell PowerEdge 13 ve 14G sistemlerinde desteklenir. Çoğu sıkı güvenlik için TPM 2.0 ile birlikte TPM tabanlı birstation kullanılması önerilir.


Bu blog, DELL Mühendisleri Döşemean Vinay Patkar ve Shubhra Rana tarafından yazılmıştır

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.