Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Skärmade VM-förbättringar i Windows Server 2019

Summary: Skärmade VM-förbättringar

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


Skyddad VM är en unik säkerhetsfunktion som introducerades av Microsoft i Windows Server 2016 och som har genomgått många förbättringar i Windows Server 2019 Edition. Den här bloggen syftar huvudsakligen till att ta upp förbättringarna av funktionen.

Grundläggande introduktion till funktionen och detaljerade steg för driftsättning finns på följande länkar:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Lägen för attestering

Funktionen hade ursprungligen stöd för två attesteringslägen – Active Directory-baserat attestering och TPM-baserat attestering. TPM-baserat attestering ger förbättrat säkerhetsskydd eftersom TPM används som maskinvarubaserad betrodd rot och stöder uppmätt start och kodintegritet.

Attestering av nyckelläge är det nya tillägget som ersätter AD-baserat attestering (som fortfarande finns men är inaktuellt från Windows Server 2019 och senare). Följande länk innehåller information om hur du konfigurerar HGS-noden (Host Guardian Service) med hjälp av nyckelläges-attestering. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering av nyckelläge föredras eller används i scenarier när TPM-maskinvara inte är tillgänglig för användning. Det är enklare att konfigurera, men det kommer återigen med en uppsättning säkerhetsrisker eftersom det inte omfattar en maskinvarubaserad förtroenderot.

HGS-säkerhetskopieringsfunktion

Eftersom HGS-klustret är en viktig komponent i den avskärmade VM-lösningen har Microsoft tillhandahållit en förbättring för att enkelt införliva en säkerhetskopia av HGS-URL-adresserna så att även om den primära HGS-servern inte svarar kan hyper-V-skyddade värdar intyga och starta de skyddade virtuella datorerna utan driftavbrott. Detta kräver att två HGS-servrar konfigureras, där de virtuella datorerna separat intygas med båda servrarna under distributionen. Följande kommandon används för att aktivera att de virtuella datorerna kan intygas av båda HGS-klustren.

 

# Ersätt https://hgs.primary.com och https://hgs.backup.com med dina egna domännamn och protokoll

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

För att Hyper-V-värden ska klara attestering med både primära servrar och reservservrar måste du se till att din attesteringsinformation är uppdaterad med båda HGS-klustren.

Offlineläge

Detta är återigen ett specialläge som introducerades av Microsoft, vilket gör det möjligt för de skärmade virtuella datorerna att slås på även när HGS-noden inte är åtkomlig. Om du vill aktivera det här läget för de virtuella datorerna måste du köra följande kommando på HGS-noden:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

När det är gjort måste vi starta om alla virtuella maskiner för att aktivera cacheminnet för de virtuella maskinerna.

Obs!  Om säkerhetskonfigurationen ändras på den lokala datorn blir offlineläget ogiltigt. De virtuella maskinerna måste intyga med HGS-servern innan du slår på offline-läget igen.

Linux avskärmad VM

Microsoft har också utökat stödet för att vara värd för de virtuella datorer som har Linux som gäst-OS. Mer information om vilken OS-version och -version som kan användas finns i följande länk.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Viktiga riktlinjer

Det finns några viktiga riktlinjer att följa när vi distribuerar skyddade virtuella datorer:

  1. När du utför uppgradering från Windows Server 2016 till Windows Server 2019 måste vi rensa alla säkerhetskonfigurationer och tillämpa dem igen efter uppgraderingen på HGS och de säkerhetsskyddade värdarna för att lösningen ska fungera smidigt.
  2. Malldiskar kan endast användas med säker avskärmad VM-provisionering. Om du försöker starta en vanlig (oskärmad) virtuell dator med en malldisk kan det resultera i stoppfel (blåskärm) som inte stöds.

DELLs support

Alla alternativ från WS2016 och 2019 stöds på Dell PowerEdge 13- och 14G-system. För striktare säkerhet rekommenderas användning av TPM-baserat attestering tillsammans med TPM 2.0.


Den här bloggen har skrivits av DELL-teknikerna Pavan Och Vinay Patkar och Shubhra Rana

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.