Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Skjermede VM-forbedringer i Windows Server 2019

Resumen: Skjermede VM-forbedringer

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Síntomas


Skjermet VM er en unik sikkerhetsfunksjon introdusert av Microsoft i Windows Server 2016 og har gjennomgått mange forbedringer i Windows Server 2019-utgaven. Denne bloggen tar hovedsakelig sikte på å vise frem forbedringene i funksjonen.

Hvis du vil se den grunnleggende introduksjonen til funksjonen og detaljerte trinn for implementering, kan du se følgende koblinger:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Attesteringsmoduser

Funksjonen støttet først to attesteringsmoduser – Active Directory-basert attestering og TPM-basert attestering. TPM-basert attestering gir forbedret sikkerhetsbeskyttelse ettersom den bruker TPM som maskinvarerot av klarering og støtter målt oppstart og kodeintegritet.

Attestering av nøkkelmodus er det nye tillegget, som forplanter AD-basert attestering (som fortsatt er til stede, men som foreldet fra Windows Server 2019 og nyere). Følgende kobling inneholder informasjon om hvordan du konfigurerer HGS-noden (Host Guardian Service) ved hjelp av attestering av nøkkelmodus. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering av nøkkelmodus foretrekkes eller brukes i scenariene når TPM-maskinvare ikke er tilgjengelig for bruk. Det er enklere å konfigurere, men leveres igjen med et sett med sikkerhetsrisikoer, ettersom det ikke omfatter maskinvarerot av tillit.

HGS-sikkerhetskopieringsfunksjon

Siden HGS-klyngen er en viktig del i den skjermede VM-løsningen, har Microsoft gitt en forbedring for enkel å inkludere en sikkerhetskopi for HGS URL-adressene, slik at selv om den primære HGS-serveren ikke svarer, kan hyper-V-bevoktede verter attestere og starte de skjermede VM-ene uten nedetid. Dette krever at to HGS-servere konfigureres, og virtuelle maskiner er uavhengig bevitnet med begge serverne under implementeringen. Følgende kommandoer brukes til å aktivere attestede VM-er av begge HGS-klyngene.

 

# Bytt ut https://hgs.primary.com og https://hgs.backup.com med dine egne domenenavn og -protokoller

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

For at Hyper-V-verten skal kunne bestå attestering med både primærserverne og reserveserverne, må du sørge for at at attesteringsinformasjonen din er oppdatert med begge HGS-klyngene.

Frakoblet modus

Dette er igjen en spesialmodus introdusert av Microsoft som gjør at skjermede VM-er kan slås på selv når HGS-noden ikke kan nås. Hvis du vil aktivere denne modusen for VIRTUELLE-er, må vi kjøre følgende kommando på HGS-noden:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Når dette er gjort, må vi starte alle de virtuelle maskinene på nytt for å aktivere den hurtigbufferbare nøkkelbeskytteren for de virtuelle maskinene.

Merk:  Eventuelle endringer i sikkerhetskonfigurasjonen på den lokale maskinen vil føre til at denne frakoblede modusen blir ugyldig. VM-ene må attestere med HGS-serveren før de slår på frakoblet modus på nytt.

Linux-skjermet VM

Microsoft utvidet også støtten for å være vert for virtuelle maskiner som har Linux som gjesteoperativsystemer. Hvis du vil ha mer informasjon om hvilken OS-versjon som kan brukes, kan du se følgende kobling.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Viktige retningslinjer

Det er noen viktige retningslinjer som må følges når vi implementerer skjermede VM-er:

  1. Når du utfører oppgraderingen fra Windows Server 2016 til Windows Server 2019, må vi fjerne alle sikkerhetskonfigurasjonene og bruke dem på nytt etter oppgraderingen på HGS og de bevoktede vertene for at løsningen skal fungere sømløst.
  2. Maldisker kan bare brukes med den sikre skjermede VM-klargjøringsprosessen. Hvis du prøver å starte opp en vanlig (uskjermet) VM ved hjelp av en maldisk, vil det sannsynligvis føre til en stoppfeil (blåskjerm) og støttes ikke.

DELL-støtte

Alle alternativene fra WS2016 og 2019 støttes på Dell PowerEdge 13- og 14G-systemer. For strengeste sikkerhet anbefales bruk av TPM-basert attestering sammen med en TPM 2.0.


Denne bloggen er skrevet av DELL-teknikerne Pavan Maka, Konstitor Patkar og Shubimage Rana

Causa

 

Resolución

 
Propiedades del artículo
Número del artículo: 000175495
Tipo de artículo: Solution
Última modificación: 19 jul 2024
Versión:  6
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.