Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Windows Server 2019 中的受防护的 VM 增强功能

Summary: 屏蔽虚拟机增强功能

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


屏蔽虚拟机是 Microsoft 在 Windows Server 2016 中引入的一项独特的安全功能,在 Windows Server 2019 版本中进行了许多增强。此博客主要介绍该功能的改进。

有关该功能的基本介绍和部署的详细步骤,请参阅以下链接:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

认证模式

该功能最初支持两种认证模式 — 基于 Active Directory 的证明和基于 TPM 的认证。基于 TPM 的认证提供了增强的安全保护,因为它使用 TPM 作为硬件信任根,并支持测量的引导和代码完整性。

关键模式认证是新的新增功能,即基于 AD 的替代证明(该证明仍然存在,但已从 Windows Server 2019 开始弃用)。以下链接包含使用密钥模式证明设置 HGS (Host Guardian Service) 节点的信息。 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default当 TPM 硬件不可用时,首选或使用关键模式证明。它更易于配置,但同样附带一组安全风险,因为它不涉及硬件信任根。

HGS 备份功能

由于 HGS 群集是屏蔽虚拟机解决方案中的关键部分,因此 Microsoft 提供了一项增强功能,可轻松地为 HGS URL 整合备份,以便即使主 HGS 服务器无响应,Hyper-V 防护主机也能够证明并启动受防护的虚拟机,而不会造成任何停机。这需要设置两台 HGS 服务器,在部署期间,虚拟机将通过这两台服务器进行独立认证。以下命令用于使两个 HGS 群集都能证明虚拟机。

 

# 将 https://hgs.primary.com 和 https://hgs.backup.com 替换为您自己的域名和协议

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

为了使 Hyper-V 主机通过主服务器和回退服务器的认证,您需要确保您的证明信息是两个 HGS 群集的最新信息。

离线模式

这也是 Microsoft 引入的一种特殊模式,即使 HGS 节点无法访问,也允许屏蔽虚拟机开机。要为虚拟机启用此模式,我们需要在 HGS 节点上运行以下命令:

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching

完成此操作后,我们需要重新启动所有虚拟机,以便为虚拟机启用可缓存密钥保护器。

提醒:  本地计算机上的任何安全配置更改都将导致此离线模式失效。在再次打开离线模式之前,虚拟机将需要使用 HGS 服务器进行认证。

Linux 屏蔽虚拟机

Microsoft 还扩展了对托管具有 Linux 作为来宾操作系统的虚拟机的支持。有关可以使用哪种操作系统风格和版本的更多详细信息,请查看以下链接。

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

重要指导准则

在部署受防护的虚拟机时,需要遵循几个重要原则:

  1. 在执行从 Windows Server 2016 到 Windows Server 2019 的升级时,我们需要清除所有安全配置,并在 HGS 和受保护的主机上升级后再次应用它们,以便解决方案能够无缝工作。
  2. 模板磁盘只能与安全屏蔽虚拟机资源调配过程配合使用。尝试使用模板磁盘启动常规(未屏蔽)虚拟机可能会导致停止错误(蓝屏),并且不受支持。

戴尔支持

Dell PowerEdge 13 和 14G 系统支持 WS2016 和 2019 的所有选项。为实现非常严格的安全性,建议使用基于 TPM 的认证以及 TPM 2.0。


此博客由戴尔工程师 Pavan Kumar、Vinay Patkar 和 Shubhra Rana 撰写

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.