Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

「Windows サーバー2019でのシールドされる VM の機能拡張」

Summary: シールドされたVMの機能拡張

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Symptoms


シールドされたVMは、Windows Server 2016でMicrosoftによって導入された独自のセキュリティ機能であり、Windows Server 2019エディションで多くの機能拡張が行われ、このブログは主に、この機能の改善点を説明することを目的としています。

この機能の基本的な概要と導入の詳細な手順については、次のリンクを参照してください。

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

認証モード

この機能は当初、Active Directoryベースの認証とTPMベースの証明という2つの認証モードをサポートしました。TPMベースの証明は、ハードウェアルートオブトラストとしてTPMを使用し、測定されたブートとコードの整合性をサポートするため、強化されたセキュリティ保護を提供します。

キー モードの証明は、ADベースのアテステーションに代わられた新しい追加です(現在は存在しますが、Windows Server 2019以降では廃止されています)。次のリンクには、キー モード認証を使用して HGS(Host Guardian サービス)ノードをセットアップするための情報が含まれています。 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-defaultTPMハードウェアを使用できない場合は、キー モードの証明が推奨されるか、使用されます。構成は簡単ですが、ハードウェアルートオブトラストを伴わない一連のセキュリティリスクが伴います。

HGSバックアップ機能

HGSクラスターはシールドされたVMソリューションの重要な要素であるため、Microsoftは、HGS URLのバックアップを簡単に組み込む機能拡張を提供しています。これにより、プライマリHGSサーバーが応答しない場合でも、Hyper-V保護されたホストはダウンタイムなしでシールドされたVMを証明して起動することができます。これには、2台の HGS サーバをセットアップする必要があります。VM は、導入時に両方のサーバで個別に証明されます。次のコマンドを使用して、両方の HGS クラスタによって VM を証明できるようにします。

 

# https://hgs.primary.com と https://hgs.backup.com を独自のドメイン名とプロトコルに置き換えます

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Hyper-Vホストがプライマリ サーバとフォールバック サーバの両方で認証を渡すには、認証情報が両方の HGS クラスタで最新であることを確認する必要があります。

オフライン モード

これはMicrosoftによって導入された特別なモードで、HGSノードにアクセスできない場合でも、シールドされたVMをオンにすることができます。VMでこのモードを有効にするには、HGSノードで次のコマンドを実行する必要があります。

Set-HgsKeyProtectionConfiguration –AllowKey、お客様の

これが完了したら、すべての仮想マシンを再起動して、仮想マシンのキャッシュ可能なキー保護機能を有効にする必要があります。

注:  ローカル マシンでセキュリティ構成を変更すると、このオフライン モードが無効になります。VMは、オフライン モードを再度オンにする前に、HGSサーバーで証明する必要があります。

LinuxシールドVM

Microsoftは、LinuxをゲストOSとして持つVMをホストするためのサポートも拡張しました。使用できるOSフレーバーとバージョンの詳細については、次のリンクを参照してください。

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

重要なガイドライン

シールドされたVMを導入する際には、次の重要なガイドラインに従う必要があります。

  1. Windows Server 2016からWindows Server 2019へのアップグレードを実行する際には、すべてのセキュリティ構成をクリアし、HGSおよび保護されたホストでアップグレード後に再度適用して、ソリューションをシームレスに動作させる必要があります。
  2. テンプレート ディスクは、セキュア シールドされたVMプロビジョニング プロセスでのみ使用できます。テンプレート ディスクを使用して通常の(シールドされていない)VMを起動しようとすると、STOPエラー(ブルー スクリーン)が発生する可能性があり、サポートされていません。

Dellサポート

WS2016および2019のすべてのオプションは、Dell PowerEdge 13および14Gシステムでサポートされています。最も厳格なセキュリティを確保するために、TPMベースの認証とTPM 2.0を使用することをお勧めします。


このブログは、デルのエンジニア、Pavan Kumar、Vinay Patkar、Shubhra Ranaによって作成されています。

Cause

 

Resolution

 
Article Properties
Article Number: 000175495
Article Type: Solution
Last Modified: 19 Jul 2024
Version:  6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.