Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Udoskonalenia ekranowanych maszyn wirtualnych w systemie Windows Server 2019

Summary: Udoskonalenia ekranowanych maszyn wirtualnych

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


Ekranowana maszyna wirtualna to unikalna funkcja zabezpieczeń wprowadzona przez firmę Microsoft w systemie Windows Server 2016 i w wersji Windows Server 2019 została wprowadzona wiele ulepszeń. Celem tego bloga jest wywołanie ulepszeń tej funkcji.

Aby zapoznać się z podstawowym wprowadzeniem do tej funkcji i szczegółowymi krokami wdrażania, skorzystaj z poniższych łączy:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Tryby poświadczania

Funkcja początkowo obsługiwała dwa tryby atestowania — atestowanie oparte na usłudze Active Directory i atestowanie oparte na module TPM. Atestowanie oparte na module TPM zapewnia rozszerzone zabezpieczenia, ponieważ używa modułu TPM jako głównego źródła zaufania sprzętowego i obsługuje zmierzoną integralność rozruchu i kodu.

Nowym dodatkiem jest poświadczenia trybu klucza, zastępujące atesty oparte na AD (które nadal występują, ale zostały wycofane z systemu Windows Server 2019 i nowsze). Poniższe łącze zawiera informacje na temat konfiguracji węzła HGS (Host Guardian Service) przy użyciu atestowania trybu klucza. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Poświadczenia trybu klucza są preferowane lub używane w scenariuszach, gdy sprzęt modułu TPM jest niedostępny do użycia. Konfiguracja jest łatwiejsza, ale wiąże się z zestawem zagrożeń dla bezpieczeństwa, ponieważ nie wiąże się ona ze sprzętowym źródłem zaufania.

Funkcja tworzenia kopii zapasowych HGS

Ponieważ klaster HGS jest krytycznym elementem ekranowanego rozwiązania maszyn wirtualnych, firma Microsoft udostępniła udoskonalenie umożliwiające łatwe wprowadzenie kopii zapasowej adresów URL HGS, dzięki czemu nawet jeśli podstawowy serwer HGS nie reaguje, hosty ochraniane hyper-V mogą potwierdzać i uruchamiać ekranowane maszyny wirtualne bez przestojów. Wymaga to skonfigurowania dwóch serwerów HGS, z niezależnymi maszynami wirtualnymi przetestowanymi z obu serwerów podczas wdrażania. Poniższe polecenia służą do umożliwienia testowania maszyn wirtualnych przez oba klastry HGS.

 

# Zastąp https://hgs.primary.com i https://hgs.backup.com własnymi nazwami domen i protokołami

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAusestationServerUrl 'https://hgs.backup.com/Attestation'

 

Aby host Hyper-V przeszedł atestację zarówno z podstawowymi, jak i rezerwowymi serwerami, należy upewnić się, że informacje o poświadczaniu są aktualne w obu klastrach HGS.

Tryb offline

Jest to również specjalny tryb wprowadzony przez firmę Microsoft, który umożliwia włączanie ekranowanych maszyn wirtualnych nawet wtedy, gdy węzeł HGS jest nieosiągalny. Aby włączyć ten tryb dla maszyn wirtualnych, należy uruchomić następujące polecenie w węźle HGS:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Po wykonaniu tej czynności należy ponownie uruchomić wszystkie maszyny wirtualne, aby włączyć funkcję ochrony kluczy z możliwością zapisu w pamięci podręcznej dla maszyn wirtualnych.

Uwaga:  Wszelkie zmiany konfiguracji zabezpieczeń na komputerze lokalnym spowodują nieprawidłowy tryb offline. Przed ponownym włączeniem trybu offline maszyny wirtualne muszą sprawdzić działanie serwera HGS.

Ekranowana maszyna wirtualna Linux

Firma Microsoft rozszerzyła również obsługę hostowania maszyn wirtualnych z systemem Linux jako systemem operacyjnym gościa. Aby uzyskać więcej informacji na temat wersji i wersji systemu operacyjnego, sprawdź poniższe łącze.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Ważne wytyczne

Podczas wdrażania ekranowanych maszyn wirtualnych należy przestrzegać kilku ważnych wytycznych:

  1. Podczas przeprowadzania aktualizacji z systemu Windows Server 2016 do systemu Windows Server 2019 należy wyczyścić wszystkie konfiguracje zabezpieczeń i zastosować je ponownie po uaktualnieniu HGS i zabezpieczonych hostów, aby rozwiązanie działało bezproblemowo.
  2. Dyski szablonów mogą być używane tylko z zabezpieczonym ekranowanym procesem przydzielania maszyny wirtualnej. Próba uruchomienia zwykłej (nieekranowej) maszyny wirtualnej przy użyciu dysku szablonu prawdopodobnie spowoduje błąd zatrzymania (niebieski ekran) i nie jest obsługiwana.

Pomoc techniczna firmy DELL

Wszystkie opcje z WS2016 i 2019 są obsługiwane przez systemy Dell PowerEdge 13 i 14G. Aby uzyskać najbardziej rygorystyczne zabezpieczenia, zalecane jest używanie atestów opartych na module TPM oraz modułu TPM 2.0.


Ten blog został napisany przez inżynierów DELL Pavan Cortan, Cortanay Patkar i Shubhub Rana

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.