Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Skærmede VM-forbedringer i Windows Server 2019

Summary: Skærmede VM-forbedringer

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


Shielded VM er en unik sikkerhedsfunktion, der blev introduceret af Microsoft i Windows Server 2016 og har gennemgået en masse forbedringer i Windows Server 2019-udgaven. Denne blog har primært til formål at fremhæve forbedringerne i funktionen.

For grundlæggende introduktion til funktionen og detaljerede trin til implementering henvises til følgende links:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Attesteringstilstande

Funktionen understøttede oprindeligt to attesteringstilstande – Active Directory-baseret attestation og TPM-baseret attestation. TPM-baseret attestering giver forbedret sikkerhedsbeskyttelse, når den bruger TPM som hardware-rodnøgle og understøtter målt start- og kodeintegritet.

Attestering af nøgletilstand er den nye tilføjelse, der supplanting AD-baseret attestation (som stadig er til stede, men nedtonet fra Windows Server 2019 og frem). Følgende link indeholder oplysninger om konfiguration af HGS-noden (Host Guardian Service) ved hjælp af Attestation for nøgletilstand. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering af nøgletilstand foretrækkes eller anvendes i scenarier, hvor TPM-hardware ikke er tilgængelig for brug. Det er nemmere at konfigurere, men leveres igen med et sæt sikkerhedsrisici, da det ikke involverer tillidsroden for hardware.

HGS-sikkerhedskopieringsfunktion

Da HGS-klyngen er et kritisk stykke i den afskærmede VM-løsning, har Microsoft leveret en forbedring til nemt at inkorporere en sikkerhedskopi af HGS URL-adresserne, så selv hvis den primære HGS-server ikke svarer, kan Hyper-V-beskyttere værter attesteres og starte de afskærmede VM'er uden nedetid. Dette kræver, at to HGS-servere konfigureres, og VM'erne skal godkendes uafhængigt af hinanden med begge servere under implementering. Følgende kommandoer bruges til at aktivere VM'erne til at blive bekræftet af begge HGS-klynger.

 

# Erstat https://hgs.primary.com, og https://hgs.backup.com med dine egne domænenavne og protokoller

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

For at Hyper-V-værten kan bestå attestering med både de primære og fallback-servere, skal du sikre dig, at dine attesteringsoplysninger er opdaterede med begge HGS-klynger.

Offlinetilstand

Dette er igen en særlig tilstand introduceret af Microsoft, som gør det muligt for de afskærmede VM'er at tænde, selv når HGS-noden ikke er tilgængelig. For at aktivere denne tilstand for VM'er skal vi køre følgende kommando på HGS-noden:

Set-HgsKeyProtectionConfiguration –AllowKeyMatrialCaching

Når dette er gjort, skal vi genstarte alle de virtuelle maskiner for at aktivere beskyttelsen af de virtuelle maskiner, der kan cachelagres.

Bemærk:  Eventuelle ændringer af sikkerhedskonfigurationen på den lokale computer vil medføre, at denne offline-tilstand bliver ugyldig. VM'erne skal dokumentere med HGS-serveren, før du tænder offline-tilstanden igen.

Linux-skærmet VM

Microsoft har også udvidet understøttelsen af at være vært for VM'er med Linux som gæste-OS. Se følgende link for at få flere oplysninger om, hvilken operativsystemsmag og -version der kan bruges.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Vigtige retningslinjer

Der er nogle vigtige retningslinjer, der skal følges, når vi implementerer shielded VM'er:

  1. Under udførelse af opgradering fra Windows Server 2016 til Windows Server 2019 er vi nødt til at rydde alle sikkerhedskonfigurationer og anvende dem igen efter opgraderingen på HGS og de beskynede værter, for at løsningen kan fungere problemfrit.
  2. Skabelondiske kan kun bruges med den sikre afskærmede VM-klargøringsproces. Forsøg på at starte en almindelig (ikke-udskiftet) VM ved hjælp af en skabelondisk vil sandsynligvis resultere i en stopfejl (blå skærm) og understøttes ikke.

DELL-support

Alle indstillinger fra WS2016 og 2019 understøttes på Dell PowerEdge 13 & 14G-systemer. For at sikre den mest sikre sikkerhed anbefales det at bruge TPM-baseret attestering sammen med en TPM 2.0.


Denne blog er skrevet af DELL Engineers Pavan Kumar, Vinay Patkar og Shub den Rana

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.