Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Create and access a list of your products

Suojatut virtuaalikoneen parannukset Windows Server 2019:ssä

Summary: Suojatun virtuaalikoneen parannukset

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


Suojattu virtuaalikone on Microsoftin Windows Server 2016 -palvelimessa käyttöön tuoma ainutlaatuinen suojausominaisuus, jota on parannettu paljon Windows Server 2019 -versiossa. Tämän blogin tarkoituksena on lähinnä esitellä ominaisuuden parannukset.

Lisätietoja ominaisuuden perusesittelystä ja yksityiskohtaisista käyttöönottovaiheista on seuraavissa linkeissä:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Vahvistustilat

Ominaisuus tuki aluksi kahta vahvistustilaa : Active Directory -pohjaista vahvistusta ja TPM-pohjaista vahvistusta. TPM-perustainen vahvistus parantaa suojausta, koska se käyttää TPM:ää laitteiston peruskäyttöoikeuksina ja tukee tutkitun käynnistyksen ja koodin eheyttä.

Avaintilan vahvistus on uusi lisäys, joka tukee AD-pohjaista vahvistusta (joka on edelleen käytössä, mutta poistettu käytöstä Windows Server 2019:stä eteenpäin). Seuraavassa linkissä on tietoja HGS (Host Guardian Service) -solmun määrittämisestä avaintilan vahvistuksen avulla. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Avaintilan vahvistus on suositeltava tai sitä käytetään tilanteissa, joissa TPM-laitteistoa ei voi käyttää. Määritys on helpompaa, mutta siihen liittyy jälleen suojausriskejä, sillä siihen ei liity laitteiston perusluottamusta.

HGS-varmuuskopiointiominaisuus

Koska HGS-klusteri on tärkeä osa suojatussa virtuaalikoneratkaisussa, Microsoft on kehittänyt parannuksen, jolla HGS URL -osoitteiden varmuuskopiointi voidaan helposti sisällyttää, jotta hyper-V-suojatut isäntäkoneet pystyvät testaamaan ja käynnistämään suojatut virtuaalikoneet ilman seisokkiaikaa. Tämä edellyttää kahden HGS-palvelimen asentamista, ja virtuaalikoneet on vahvistettu erikseen kummallekin palvelimelle käyttöönoton aikana. Seuraavilla komennoilla voi määrittää virtuaalikoneiden testauksen kummallekin HGS-klusterille.

 

# Korvaa https://hgs.primary.com ja https://hgs.backup.com omilla toimialuenimilläsi ja protokollillasi

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Jotta Hyper-V-isäntä läpäisee vahvistuksen sekä ensisijaisella että varapalvelimella, sinun on varmistettava, että vahvistustiedot ovat ajan tasalla molemmissa HGS-klustereissa.

Offline-tila

Tämä on jälleen Microsoftin käyttöönottama erityistila, jonka ansiosta suojatut virtuaalikoneet käynnistyvät silloinkin, kun HGS-solmu ei ole tavoitettavissa. Jotta tämä tila voidaan ottaa käyttöön virtuaalikoneissa, HGS-solmussa on suoritettava seuraava komento:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Kun tämä on tehty, kaikki virtuaalikoneet on käynnistettävä uudelleen, jotta välimuistiin tallennettava avainsuojain voidaan ottaa käyttöön virtuaalikoneissa.

Huomautus:  Jos paikallisen tietokoneen suojausmääritykseen tehdään muutoksia, tämä offline-tila muuttuu virheelliseksi. Virtuaalikoneiden on määritettävä HGS-palvelimelle, ennen kuin offline-tila otetaan uudelleen käyttöön.

Linux-suojattu virtuaalikone

Microsoft laajensi tukea myös virtuaalikoneiden isännöinnille, joiden vieraskäyttöjärjestelmänä on Linux. Lisätietoja käyttöjärjestelmästä ja versiosta on seuraavassa linkissä.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Tärkeät ohjeet

Suojatut virtuaalikoneet otetaan käyttöön muutaman tärkeän ohjeen avulla:

  1. Kun päivität Windows Server 2016 :sta Windows Server 2019:ään, kaikki suojausmääritykset on tyhjennetään ja ne on otettava käyttöön uudelleen HGS:n päivityksen jälkeen ja suojatuissa isännissä, jotta ratkaisu toimii saumattomasti.
  2. Mallilevyjä voi käyttää vain suojatussa virtuaalikoneen valmisteluprosessissa. Tavallisen (suojaamattoman) virtuaalikoneen käynnistäminen mallilevyn avulla aiheuttaa todennäköisesti pysäytysvirheen (sinisen virhenäytön), jota ei tueta.

DELL-tuki

Kaikki WS2016- ja 2019-vaihtoehdot ovat tuettuja Dell PowerEdge 13- ja 14G-järjestelmissä. Suosittelemme TPM-pohjaista vahvistusta ja TPM 2.0 -moduulia erittäin tiukan suojauksen vuoksi.


Blogin ovat kirjoittaneet Dellin insinöörit Pavan Kelvan Kelja, Vinay Patkar ja Shubhra Rana.

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.