Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Skjermede VM-forbedringer i Windows Server 2019

Summary: Skjermede VM-forbedringer

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


Skjermet VM er en unik sikkerhetsfunksjon introdusert av Microsoft i Windows Server 2016 og har gjennomgått mange forbedringer i Windows Server 2019-utgaven. Denne bloggen tar hovedsakelig sikte på å vise frem forbedringene i funksjonen.

Hvis du vil se den grunnleggende introduksjonen til funksjonen og detaljerte trinn for implementering, kan du se følgende koblinger:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Attesteringsmoduser

Funksjonen støttet først to attesteringsmoduser – Active Directory-basert attestering og TPM-basert attestering. TPM-basert attestering gir forbedret sikkerhetsbeskyttelse ettersom den bruker TPM som maskinvarerot av klarering og støtter målt oppstart og kodeintegritet.

Attestering av nøkkelmodus er det nye tillegget, som forplanter AD-basert attestering (som fortsatt er til stede, men som foreldet fra Windows Server 2019 og nyere). Følgende kobling inneholder informasjon om hvordan du konfigurerer HGS-noden (Host Guardian Service) ved hjelp av attestering av nøkkelmodus. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering av nøkkelmodus foretrekkes eller brukes i scenariene når TPM-maskinvare ikke er tilgjengelig for bruk. Det er enklere å konfigurere, men leveres igjen med et sett med sikkerhetsrisikoer, ettersom det ikke omfatter maskinvarerot av tillit.

HGS-sikkerhetskopieringsfunksjon

Siden HGS-klyngen er en viktig del i den skjermede VM-løsningen, har Microsoft gitt en forbedring for enkel å inkludere en sikkerhetskopi for HGS URL-adressene, slik at selv om den primære HGS-serveren ikke svarer, kan hyper-V-bevoktede verter attestere og starte de skjermede VM-ene uten nedetid. Dette krever at to HGS-servere konfigureres, og virtuelle maskiner er uavhengig bevitnet med begge serverne under implementeringen. Følgende kommandoer brukes til å aktivere attestede VM-er av begge HGS-klyngene.

 

# Bytt ut https://hgs.primary.com og https://hgs.backup.com med dine egne domenenavn og -protokoller

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

For at Hyper-V-verten skal kunne bestå attestering med både primærserverne og reserveserverne, må du sørge for at at attesteringsinformasjonen din er oppdatert med begge HGS-klyngene.

Frakoblet modus

Dette er igjen en spesialmodus introdusert av Microsoft som gjør at skjermede VM-er kan slås på selv når HGS-noden ikke kan nås. Hvis du vil aktivere denne modusen for VIRTUELLE-er, må vi kjøre følgende kommando på HGS-noden:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Når dette er gjort, må vi starte alle de virtuelle maskinene på nytt for å aktivere den hurtigbufferbare nøkkelbeskytteren for de virtuelle maskinene.

Merk:  Eventuelle endringer i sikkerhetskonfigurasjonen på den lokale maskinen vil føre til at denne frakoblede modusen blir ugyldig. VM-ene må attestere med HGS-serveren før de slår på frakoblet modus på nytt.

Linux-skjermet VM

Microsoft utvidet også støtten for å være vert for virtuelle maskiner som har Linux som gjesteoperativsystemer. Hvis du vil ha mer informasjon om hvilken OS-versjon som kan brukes, kan du se følgende kobling.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Viktige retningslinjer

Det er noen viktige retningslinjer som må følges når vi implementerer skjermede VM-er:

  1. Når du utfører oppgraderingen fra Windows Server 2016 til Windows Server 2019, må vi fjerne alle sikkerhetskonfigurasjonene og bruke dem på nytt etter oppgraderingen på HGS og de bevoktede vertene for at løsningen skal fungere sømløst.
  2. Maldisker kan bare brukes med den sikre skjermede VM-klargjøringsprosessen. Hvis du prøver å starte opp en vanlig (uskjermet) VM ved hjelp av en maldisk, vil det sannsynligvis føre til en stoppfeil (blåskjerm) og støttes ikke.

DELL-støtte

Alle alternativene fra WS2016 og 2019 støttes på Dell PowerEdge 13- og 14G-systemer. For strengeste sikkerhet anbefales bruk av TPM-basert attestering sammen med en TPM 2.0.


Denne bloggen er skrevet av DELL-teknikerne Pavan Maka, Konstitor Patkar og Shubimage Rana

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.