Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Vylepšení chráněného virtuálního počítače v systému Windows Server 2019

Resumen: Vylepšení stíněných virtuálních počítačů

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Síntomas


Stíněný virtuální počítač je jedinečná bezpečnostní funkce představená společností Microsoft v systému Windows Server 2016 a prošla mnoha vylepšeními ve verzi Windows Server 2019. Cílem tohoto blogu je především při vyvolání vylepšení této funkce.

Základní informace o této funkci a podrobný postup nasazení naleznete na následujících odkazech:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Režimy atestace

Tato funkce na začátku podporovala dva režimy atestace – atestace na bázi služby Active Directory a atestace na bázi čipu TPM. Atestace založená na čipu TPM poskytuje vylepšené bezpečnostní ochrany, jelikož používá tpm jako hardwarový kořen důvěry a podporuje měřenou integritu spouštění a kódu.

Key mode attestation is the new addition, supplanting AD based atestace (která je stále k dispozici, ale již není k dispozici v systému Windows Server 2019). Následující odkaz obsahuje informace k nastavení uzlu HGS (Host Guardian Service) pomocí atestace v režimu klíčů. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Upřednostňuje se atestace klíčových režimů nebo se používá v případech, kdy není k dispozici hardware TPM pro použití. Konfigurace je snazší, ale opět se dodává se sadou bezpečnostních rizik, jelikož nezahrnuje hardwarovou kořenovou autoritu důvěry.

Funkce zálohování HGS

Vzhledem k tomu, že cluster HGS je zásadní součástí stíněného řešení virtuálních počítačů, společnost Microsoft poskytla vylepšení, které snadno zahrnuje zálohování adres URL HGS, takže i když primární server HGS nereaguje, střežení hostitelé Hyper-V mohou otestovat a spustit stínované virtuální počítače bez jakýchkoli prostojů. To vyžaduje nastavení dvou serverů HGS, přičemž virtuální počítače musí být během nasazení nezávisle testovány s oběma servery. Následující příkazy slouží k povolení testování virtuálních počítačů oběma clustery HGS.

 

# Nahraďte https://hgs.primary.com a https://hgs.backup.com vlastními názvy domén a protokoly.

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Aby hostitel Hyper-V mohl předávat atestace u primárních i záložních serverů, je nutné zajistit, aby byly informace o atestace u obou clusterů HGS aktuální.

Režim offline

Jedná se opět o speciální režim zavedený společností Microsoft, který umožňuje zapnutí stíněných virtuálních počítačů i v případě, že uzel HGS není dostupný. Chcete-li povolit tento režim pro virtuální počítače, je třeba v uzlu HGS spustit následující příkaz:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Jakmile to provedete, je třeba restartovat všechny virtuální počítače, aby bylo možné pro virtuální počítače povolit ochranu klíčů s možností mezipaměti.

Poznámka:  Veškeré změny konfigurace zabezpečení v místním počítači způsobí, že tento offline režim bude neplatný. Před opětovným zapnutím režimu offline je nutné virtuální počítače otestovat se serverem HGS.

Stíněný virtuální počítač se systémem Linux

Společnost Microsoft také rozšířila podporu hostování virtuálních počítačů s operačním systémem Linux jako hostovaný. Další podrobnosti o tom, které verze operačního systému lze použít, najdete na následujícím odkazu.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Důležité pokyny

Při nasazování stíněných virtuálních počítačů je třeba dodržovat několik důležitých pokynů:

  1. Během upgradu ze systému Windows Server 2016 na systém Windows Server 2019 je třeba vymazat všechny konfigurace zabezpečení a po upgradu na HGS a střežené hostitele znovu použít, aby řešení bezproblémově fungovalo.
  2. Disky šablony lze použít pouze s procesem zabezpečeného stínění virtuálních počítačů. Pokus o spuštění běžného (nestíněné) virtuálního počítače pomocí disku šablony pravděpodobně způsobí chybu STOP (modrá obrazovka) a nebude podporován.

Podpora společnosti DELL

Všechny možnosti z WS2016 a 2019 jsou podporovány na systémech Dell PowerEdge 13 a 14G. Pro nejpřísnější zabezpečení se doporučuje používat atestace na bázi TPM spolu s čipem TPM 2.0.


Tento blog napsali inženýři SPOLEČNOSTI DELL Pavan Boo, Vinay Patkar a Shubhra Poře.

Causa

 

Resolución

 
Propiedades del artículo
Número del artículo: 000175495
Tipo de artículo: Solution
Última modificación: 19 jul. 2024
Versión:  6
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.