Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Beschermde VM-verbeteringen in Windows Server 2019

Summary: Verbeterde afgeschermde VM

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


Shielded VM is een unieke beveiligingsfunctie die door Microsoft is geïntroduceerd in Windows Server 2016 en heeft veel verbeteringen ondergaan in de Windows Server 2019-editie. Deze blog is vooral gericht op het aanroepen van de verbeteringen in de functie.

Voor de basisintroductie van de functie en gedetailleerde stappen voor implementatie, raadpleegt u de volgende koppelingen:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Attestatiemodi

De functie ondersteunde in eerste instantie twee attestatiemodi: op Active Directory gebaseerde attestation en op TPM gebaseerde attestation. Op TPM gebaseerde attestatie biedt verbeterde beveiligingsbescherming omdat het gebruikmaakt van TPM als hardwarebasis voor vertrouwen en ondersteuning biedt voor gemeten opstart- en code-integriteit.

Attestation in de toetsmodus is de nieuwe toevoeging, waarbij op AD gebaseerde attestation wordt ondersteund (die nog steeds aanwezig is, maar vanaf Windows Server 2019 is verouderd). De volgende koppeling bevat de informatie voor het instellen van het HGS-knooppunt (Host Guardian Service) met behulp van Key Mode Attestation. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestation key mode heeft de voorkeur of wordt gebruikt in de scenario's waarin TPM-hardware niet beschikbaar is voor gebruik. Het is eenvoudiger te configureren, maar wordt opnieuw geleverd met een reeks beveiligingsrisico's, omdat het geen hardware root of trust vereist.

HGS back-upfunctie

Aangezien het HGS-cluster een kritiek onderdeel is in de afgeschermde VM-oplossing, heeft Microsoft een verbetering geboden om eenvoudig een back-up voor de HGS URL's op te nemen, zodat de hyper-V-bewaakte hosts, zelfs als de primaire HGS-server niet reageert, de afgeschermde VM's zonder downtime kunnen attesteren en starten. Hiervoor moeten twee HGS-servers worden ingesteld, waarbij de VM's onafhankelijk van elkaar met beide servers worden bevestigd tijdens de implementatie. De volgende opdrachten worden gebruikt om ervoor te zorgen dat de VM's worden bevestigd door beide HGS-clusters.

 

# Vervang https://hgs.primary.com en https://hgs.backup.com door uw eigen domeinnamen en protocollen

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Om te zorgen dat de Hyper-V-host attestation kan doorgeven aan zowel de primaire als de fallback-servers, moet u ervoor zorgen dat uw attestation-informatie up-to-date is met beide HGS-clusters.

Offlinemodus

Dit is opnieuw een speciale modus die door Microsoft wordt geïntroduceerd, waardoor de afgeschermde VM's kunnen worden ingeschakeld, zelfs wanneer het HGS-knooppunt onbereikbaar is. Om deze modus voor de VM's in te schakelen, moeten we de volgende opdracht uitvoeren op het HGS knooppunt:

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching

Zodra dit is gebeurd, moeten we alle virtuele machines opnieuw opstarten om de cachesleutelbeveiliging voor de virtuele machines in te schakelen.

Opmerking:  Eventuele wijzigingen in de beveiligingsconfiguratie op de lokale computer zullen ervoor zorgen dat deze offlinemodus ongeldig wordt. De VM's moeten attesten met HGS-server voordat de offlinemodus weer wordt ingeschakeld.

Linux afgeschermde VM

Microsoft heeft ook de ondersteuning uitgebreid voor het hosten van VM's met Linux als gast-besturingssysteem. Raadpleeg de volgende koppeling voor meer informatie over welke versie en versie van het besturingssysteem kunnen worden gebruikt.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Belangrijke richtlijnen

Er zijn enkele belangrijke richtlijnen die moeten worden gevolgd bij de implementatie van afgeschermde VM's:

  1. Tijdens het uitvoeren van een upgrade van Windows Server 2016 naar Windows Server 2019, moeten we alle beveiligingsconfiguraties wissen en deze opnieuw toepassen na de upgrade op de HGS en de bewaakte hosts om de oplossing naadloos te laten werken.
  2. Sjabloonschijven kunnen alleen worden gebruikt met het beveiligde afgeschermde VM-provisioningproces. Als u probeert een normale (niet-afgeschermde) VM op te starten met behulp van een sjabloonschijf, zal dit waarschijnlijk resulteren in een stopfout (blauw scherm) en wordt deze niet ondersteund.

Dell support

Alle opties van WS2016 en 2019 worden ondersteund op Dell PowerEdge 13- en 14G-systemen. Voor de meest strikte beveiliging wordt het gebruik van een TPM-attest samen met een TPM 2.0 aanbevolen.


Deze blog is geschreven door DELL Engineers Pavan Kumar,Vinay Patkar en Shubcun Rana

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.