Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Skærmede VM-forbedringer i Windows Server 2019

Resumen: Skærmede VM-forbedringer

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Síntomas


Shielded VM er en unik sikkerhedsfunktion, der blev introduceret af Microsoft i Windows Server 2016 og har gennemgået en masse forbedringer i Windows Server 2019-udgaven. Denne blog har primært til formål at fremhæve forbedringerne i funktionen.

For grundlæggende introduktion til funktionen og detaljerede trin til implementering henvises til følgende links:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Attesteringstilstande

Funktionen understøttede oprindeligt to attesteringstilstande – Active Directory-baseret attestation og TPM-baseret attestation. TPM-baseret attestering giver forbedret sikkerhedsbeskyttelse, når den bruger TPM som hardware-rodnøgle og understøtter målt start- og kodeintegritet.

Attestering af nøgletilstand er den nye tilføjelse, der supplanting AD-baseret attestation (som stadig er til stede, men nedtonet fra Windows Server 2019 og frem). Følgende link indeholder oplysninger om konfiguration af HGS-noden (Host Guardian Service) ved hjælp af Attestation for nøgletilstand. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering af nøgletilstand foretrækkes eller anvendes i scenarier, hvor TPM-hardware ikke er tilgængelig for brug. Det er nemmere at konfigurere, men leveres igen med et sæt sikkerhedsrisici, da det ikke involverer tillidsroden for hardware.

HGS-sikkerhedskopieringsfunktion

Da HGS-klyngen er et kritisk stykke i den afskærmede VM-løsning, har Microsoft leveret en forbedring til nemt at inkorporere en sikkerhedskopi af HGS URL-adresserne, så selv hvis den primære HGS-server ikke svarer, kan Hyper-V-beskyttere værter attesteres og starte de afskærmede VM'er uden nedetid. Dette kræver, at to HGS-servere konfigureres, og VM'erne skal godkendes uafhængigt af hinanden med begge servere under implementering. Følgende kommandoer bruges til at aktivere VM'erne til at blive bekræftet af begge HGS-klynger.

 

# Erstat https://hgs.primary.com, og https://hgs.backup.com med dine egne domænenavne og protokoller

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

For at Hyper-V-værten kan bestå attestering med både de primære og fallback-servere, skal du sikre dig, at dine attesteringsoplysninger er opdaterede med begge HGS-klynger.

Offlinetilstand

Dette er igen en særlig tilstand introduceret af Microsoft, som gør det muligt for de afskærmede VM'er at tænde, selv når HGS-noden ikke er tilgængelig. For at aktivere denne tilstand for VM'er skal vi køre følgende kommando på HGS-noden:

Set-HgsKeyProtectionConfiguration –AllowKeyMatrialCaching

Når dette er gjort, skal vi genstarte alle de virtuelle maskiner for at aktivere beskyttelsen af de virtuelle maskiner, der kan cachelagres.

Bemærk:  Eventuelle ændringer af sikkerhedskonfigurationen på den lokale computer vil medføre, at denne offline-tilstand bliver ugyldig. VM'erne skal dokumentere med HGS-serveren, før du tænder offline-tilstanden igen.

Linux-skærmet VM

Microsoft har også udvidet understøttelsen af at være vært for VM'er med Linux som gæste-OS. Se følgende link for at få flere oplysninger om, hvilken operativsystemsmag og -version der kan bruges.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Vigtige retningslinjer

Der er nogle vigtige retningslinjer, der skal følges, når vi implementerer shielded VM'er:

  1. Under udførelse af opgradering fra Windows Server 2016 til Windows Server 2019 er vi nødt til at rydde alle sikkerhedskonfigurationer og anvende dem igen efter opgraderingen på HGS og de beskynede værter, for at løsningen kan fungere problemfrit.
  2. Skabelondiske kan kun bruges med den sikre afskærmede VM-klargøringsproces. Forsøg på at starte en almindelig (ikke-udskiftet) VM ved hjælp af en skabelondisk vil sandsynligvis resultere i en stopfejl (blå skærm) og understøttes ikke.

DELL-support

Alle indstillinger fra WS2016 og 2019 understøttes på Dell PowerEdge 13 & 14G-systemer. For at sikre den mest sikre sikkerhed anbefales det at bruge TPM-baseret attestering sammen med en TPM 2.0.


Denne blog er skrevet af DELL Engineers Pavan Kumar, Vinay Patkar og Shub den Rana

Causa

 

Resolución

 
Propiedades del artículo
Número del artículo: 000175495
Tipo de artículo: Solution
Última modificación: 19 jul 2024
Versión:  6
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.