Omitir para ir al contenido principal
Cerrar

Bienvenido a Dell

Mi cuenta
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos
  • Administre sus sitios, productos y contactos de nivel de producto de Dell EMC con Administración de la empresa.
Iniciar sesión Crear una cuenta Clientes Premier Iniciar sesión en el programa para partners

Número del artículo: 000175495

「Windows サーバー2019でのシールドされる VM の機能拡張」

Resumen: シールドされたVMの機能拡張

Es posible que este artículo se traduzca automáticamente. Si tiene comentarios sobre su calidad, háganoslo saber mediante el formulario en la parte inferior de esta página.

Contenido del artículo

Síntomas


シールドされたVMは、Windows Server 2016でMicrosoftによって導入された独自のセキュリティ機能であり、Windows Server 2019エディションで多くの機能拡張が行われ、このブログは主に、この機能の改善点を説明することを目的としています。

この機能の基本的な概要と導入の詳細な手順については、次のリンクを参照してください。

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

認証モード

この機能は当初、Active Directoryベースの認証とTPMベースの証明という2つの認証モードをサポートしました。TPMベースの証明は、ハードウェアルートオブトラストとしてTPMを使用し、測定されたブートとコードの整合性をサポートするため、強化されたセキュリティ保護を提供します。

キー モードの証明は、ADベースのアテステーションに代わられた新しい追加です(現在は存在しますが、Windows Server 2019以降では廃止されています)。次のリンクには、キー モード認証を使用して HGS(Host Guardian サービス)ノードをセットアップするための情報が含まれています。 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-defaultTPMハードウェアを使用できない場合は、キー モードの証明が推奨されるか、使用されます。構成は簡単ですが、ハードウェアルートオブトラストを伴わない一連のセキュリティリスクが伴います。

HGSバックアップ機能

HGSクラスターはシールドされたVMソリューションの重要な要素であるため、Microsoftは、HGS URLのバックアップを簡単に組み込む機能拡張を提供しています。これにより、プライマリHGSサーバーが応答しない場合でも、Hyper-V保護されたホストはダウンタイムなしでシールドされたVMを証明して起動することができます。これには、2台の HGS サーバをセットアップする必要があります。VM は、導入時に両方のサーバで個別に証明されます。次のコマンドを使用して、両方の HGS クラスタによって VM を証明できるようにします。

 

# https://hgs.primary.com と https://hgs.backup.com を独自のドメイン名とプロトコルに置き換えます

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Hyper-Vホストがプライマリ サーバとフォールバック サーバの両方で認証を渡すには、認証情報が両方の HGS クラスタで最新であることを確認する必要があります。

オフライン モード

これはMicrosoftによって導入された特別なモードで、HGSノードにアクセスできない場合でも、シールドされたVMをオンにすることができます。VMでこのモードを有効にするには、HGSノードで次のコマンドを実行する必要があります。

Set-HgsKeyProtectionConfiguration –AllowKey、お客様の

これが完了したら、すべての仮想マシンを再起動して、仮想マシンのキャッシュ可能なキー保護機能を有効にする必要があります。

注:  ローカル マシンでセキュリティ構成を変更すると、このオフライン モードが無効になります。VMは、オフライン モードを再度オンにする前に、HGSサーバーで証明する必要があります。

LinuxシールドVM

Microsoftは、LinuxをゲストOSとして持つVMをホストするためのサポートも拡張しました。使用できるOSフレーバーとバージョンの詳細については、次のリンクを参照してください。

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

重要なガイドライン

シールドされたVMを導入する際には、次の重要なガイドラインに従う必要があります。

  1. Windows Server 2016からWindows Server 2019へのアップグレードを実行する際には、すべてのセキュリティ構成をクリアし、HGSおよび保護されたホストでアップグレード後に再度適用して、ソリューションをシームレスに動作させる必要があります。
  2. テンプレート ディスクは、セキュア シールドされたVMプロビジョニング プロセスでのみ使用できます。テンプレート ディスクを使用して通常の(シールドされていない)VMを起動しようとすると、STOPエラー(ブルー スクリーン)が発生する可能性があり、サポートされていません。

Dellサポート

WS2016および2019のすべてのオプションは、Dell PowerEdge 13および14Gシステムでサポートされています。最も厳格なセキュリティを確保するために、TPMベースの認証とTPM 2.0を使用することをお勧めします。

このブログは、デルのエンジニア、Pavan Kumar、Vinay Patkar、Shubhra Ranaによって作成されています。

Causa

 

Resolución

 

Propiedades del artículo

Fecha de la última publicación

13 dic. 2023

Versión

5

Tipo de artículo

Solution

Volver al principio