Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Udoskonalenia ekranowanych maszyn wirtualnych w systemie Windows Server 2019

Resumen: Udoskonalenia ekranowanych maszyn wirtualnych

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Síntomas


Ekranowana maszyna wirtualna to unikalna funkcja zabezpieczeń wprowadzona przez firmę Microsoft w systemie Windows Server 2016 i w wersji Windows Server 2019 została wprowadzona wiele ulepszeń. Celem tego bloga jest wywołanie ulepszeń tej funkcji.

Aby zapoznać się z podstawowym wprowadzeniem do tej funkcji i szczegółowymi krokami wdrażania, skorzystaj z poniższych łączy:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Tryby poświadczania

Funkcja początkowo obsługiwała dwa tryby atestowania — atestowanie oparte na usłudze Active Directory i atestowanie oparte na module TPM. Atestowanie oparte na module TPM zapewnia rozszerzone zabezpieczenia, ponieważ używa modułu TPM jako głównego źródła zaufania sprzętowego i obsługuje zmierzoną integralność rozruchu i kodu.

Nowym dodatkiem jest poświadczenia trybu klucza, zastępujące atesty oparte na AD (które nadal występują, ale zostały wycofane z systemu Windows Server 2019 i nowsze). Poniższe łącze zawiera informacje na temat konfiguracji węzła HGS (Host Guardian Service) przy użyciu atestowania trybu klucza. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Poświadczenia trybu klucza są preferowane lub używane w scenariuszach, gdy sprzęt modułu TPM jest niedostępny do użycia. Konfiguracja jest łatwiejsza, ale wiąże się z zestawem zagrożeń dla bezpieczeństwa, ponieważ nie wiąże się ona ze sprzętowym źródłem zaufania.

Funkcja tworzenia kopii zapasowych HGS

Ponieważ klaster HGS jest krytycznym elementem ekranowanego rozwiązania maszyn wirtualnych, firma Microsoft udostępniła udoskonalenie umożliwiające łatwe wprowadzenie kopii zapasowej adresów URL HGS, dzięki czemu nawet jeśli podstawowy serwer HGS nie reaguje, hosty ochraniane hyper-V mogą potwierdzać i uruchamiać ekranowane maszyny wirtualne bez przestojów. Wymaga to skonfigurowania dwóch serwerów HGS, z niezależnymi maszynami wirtualnymi przetestowanymi z obu serwerów podczas wdrażania. Poniższe polecenia służą do umożliwienia testowania maszyn wirtualnych przez oba klastry HGS.

 

# Zastąp https://hgs.primary.com i https://hgs.backup.com własnymi nazwami domen i protokołami

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAusestationServerUrl 'https://hgs.backup.com/Attestation'

 

Aby host Hyper-V przeszedł atestację zarówno z podstawowymi, jak i rezerwowymi serwerami, należy upewnić się, że informacje o poświadczaniu są aktualne w obu klastrach HGS.

Tryb offline

Jest to również specjalny tryb wprowadzony przez firmę Microsoft, który umożliwia włączanie ekranowanych maszyn wirtualnych nawet wtedy, gdy węzeł HGS jest nieosiągalny. Aby włączyć ten tryb dla maszyn wirtualnych, należy uruchomić następujące polecenie w węźle HGS:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Po wykonaniu tej czynności należy ponownie uruchomić wszystkie maszyny wirtualne, aby włączyć funkcję ochrony kluczy z możliwością zapisu w pamięci podręcznej dla maszyn wirtualnych.

Uwaga:  Wszelkie zmiany konfiguracji zabezpieczeń na komputerze lokalnym spowodują nieprawidłowy tryb offline. Przed ponownym włączeniem trybu offline maszyny wirtualne muszą sprawdzić działanie serwera HGS.

Ekranowana maszyna wirtualna Linux

Firma Microsoft rozszerzyła również obsługę hostowania maszyn wirtualnych z systemem Linux jako systemem operacyjnym gościa. Aby uzyskać więcej informacji na temat wersji i wersji systemu operacyjnego, sprawdź poniższe łącze.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Ważne wytyczne

Podczas wdrażania ekranowanych maszyn wirtualnych należy przestrzegać kilku ważnych wytycznych:

  1. Podczas przeprowadzania aktualizacji z systemu Windows Server 2016 do systemu Windows Server 2019 należy wyczyścić wszystkie konfiguracje zabezpieczeń i zastosować je ponownie po uaktualnieniu HGS i zabezpieczonych hostów, aby rozwiązanie działało bezproblemowo.
  2. Dyski szablonów mogą być używane tylko z zabezpieczonym ekranowanym procesem przydzielania maszyny wirtualnej. Próba uruchomienia zwykłej (nieekranowej) maszyny wirtualnej przy użyciu dysku szablonu prawdopodobnie spowoduje błąd zatrzymania (niebieski ekran) i nie jest obsługiwana.

Pomoc techniczna firmy DELL

Wszystkie opcje z WS2016 i 2019 są obsługiwane przez systemy Dell PowerEdge 13 i 14G. Aby uzyskać najbardziej rygorystyczne zabezpieczenia, zalecane jest używanie atestów opartych na module TPM oraz modułu TPM 2.0.


Ten blog został napisany przez inżynierów DELL Pavan Cortan, Cortanay Patkar i Shubhub Rana

Causa

 

Resolución

 
Propiedades del artículo
Número del artículo: 000175495
Tipo de artículo: Solution
Última modificación: 19 jul 2024
Versión:  6
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.