保護 VM 是 Microsoft 在 Windows Server 2016 中導入的獨特安全性功能,在 Windows Server 2019 版本中具有許多強化功能。此部落格主要目的在說明功能的改善。
如需此功能的基本介紹和部署的詳細步驟,請參閱下列連結:
證明模式
此功能一開始支援兩種證明模式:Active Directory 型證明和 TPM 型證明。TPM 型證明可提供強化的安全性保護,因為它使用 TPM 做為硬體根信任,並支援測量開機和程式碼完整性。
關鍵模式證明是新的新增功能,可取代以 AD 為基礎的證明 (目前仍存在,但從 Windows Server 2019 版開始已過期)。下列連結包含使用 Key Mode Attestation 設定 HGS (主機監護人服務) 節點的資訊。
HTTPs://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default當 TPM 硬體無法使用時,建議使用或使用關鍵模式證明。設定起來比較容易,但也隨附一組安全性風險,因為它不涉及硬體根信任。
HGS 備份功能
由於 HGS 叢集是保護式 VM 解決方案中的關鍵區段,因此 Microsoft 提供了強化功能,以便輕鬆整合 HGS URL 的備份,即使主要 HGS 伺服器沒有回應,Hyper-V 保護主機也能在不停機的情況下證明並啟動受保護的虛擬機器。這需要設定兩個 HGS 伺服器,而 VM 在部署期間會獨立證明這兩個伺服器。下列命令可用來讓兩個 HGS 叢集證明 VM。
# 使用自己的功能變數名稱和通訊協定取代 HTTPs://hgs.primary.com 和 HTTPs://hgs.backup.com
Set-HgsClientConfiguration -KeyProtectionServerUrl 'HTTPs://hgs.primary.com/KeyProtection' -AttestationServerUrl 'HTTPs://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'HTTPs://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'HTTPs://hgs.backup.com/Attestation'
若要讓 Hyper-V 主機透過主要伺服器和回復伺服器的證明,您必須確保兩個 HGS 叢集的證明信息均為最新狀態。
離線模式
這又是 Microsoft 引進的特殊模式,即使 HGS 節點無法連線,也能讓受保護的 VM 開啟。若要為 VM 啟用此模式,我們需要在 HGS 節點上執行下列命令:
Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching
完成此作業後,我們需要重新開機所有虛擬機器,以啟用虛擬機器的快取金鑰保護器。
注意: 本機機器上的任何安全性組態變更,都會導致此離線模式失效。VM 必須先測試 HGS 伺服器,然後再重新開啟離線模式。
Linux 防護 VM
Microsoft 也擴大支援以 Linux 作為客體作業系統來代管 VM。如需更多可使用作業系統風味和版本的詳細資訊,請查看下列連結。
重要指導方針
當我們部署受保護的 VM 時,有幾個重要的指導方針可遵循:
Dell PowerEdge 13 和 14G 系統支援 WS2016 和 2019 的所有選項。為提供最嚴格的安全性,建議您使用 TPM 型證明與 TPM 2.0。