Siirry pääsisältöön
  • Tee tilauksia nopeasti ja helposti
  • Tarkastele tilauksia ja seuraa lähetyksen tilaa
  • Luo tuoteluettelo ja käytä sitä

Skærmede VM-forbedringer i Windows Server 2019

Yhteenveto: Skærmede VM-forbedringer

Tämä artikkeli koskee tuotetta Tämä artikkeli ei koske tuotetta Tämä artikkeli ei liity tiettyyn tuotteeseen. Tässä artikkelissa ei yksilöidä kaikkia tuoteversioita.

Oireet


Shielded VM er en unik sikkerhedsfunktion, der blev introduceret af Microsoft i Windows Server 2016 og har gennemgået en masse forbedringer i Windows Server 2019-udgaven. Denne blog har primært til formål at fremhæve forbedringerne i funktionen.

For grundlæggende introduktion til funktionen og detaljerede trin til implementering henvises til følgende links:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Attesteringstilstande

Funktionen understøttede oprindeligt to attesteringstilstande – Active Directory-baseret attestation og TPM-baseret attestation. TPM-baseret attestering giver forbedret sikkerhedsbeskyttelse, når den bruger TPM som hardware-rodnøgle og understøtter målt start- og kodeintegritet.

Attestering af nøgletilstand er den nye tilføjelse, der supplanting AD-baseret attestation (som stadig er til stede, men nedtonet fra Windows Server 2019 og frem). Følgende link indeholder oplysninger om konfiguration af HGS-noden (Host Guardian Service) ved hjælp af Attestation for nøgletilstand. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering af nøgletilstand foretrækkes eller anvendes i scenarier, hvor TPM-hardware ikke er tilgængelig for brug. Det er nemmere at konfigurere, men leveres igen med et sæt sikkerhedsrisici, da det ikke involverer tillidsroden for hardware.

HGS-sikkerhedskopieringsfunktion

Da HGS-klyngen er et kritisk stykke i den afskærmede VM-løsning, har Microsoft leveret en forbedring til nemt at inkorporere en sikkerhedskopi af HGS URL-adresserne, så selv hvis den primære HGS-server ikke svarer, kan Hyper-V-beskyttere værter attesteres og starte de afskærmede VM'er uden nedetid. Dette kræver, at to HGS-servere konfigureres, og VM'erne skal godkendes uafhængigt af hinanden med begge servere under implementering. Følgende kommandoer bruges til at aktivere VM'erne til at blive bekræftet af begge HGS-klynger.

 

# Erstat https://hgs.primary.com, og https://hgs.backup.com med dine egne domænenavne og protokoller

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

For at Hyper-V-værten kan bestå attestering med både de primære og fallback-servere, skal du sikre dig, at dine attesteringsoplysninger er opdaterede med begge HGS-klynger.

Offlinetilstand

Dette er igen en særlig tilstand introduceret af Microsoft, som gør det muligt for de afskærmede VM'er at tænde, selv når HGS-noden ikke er tilgængelig. For at aktivere denne tilstand for VM'er skal vi køre følgende kommando på HGS-noden:

Set-HgsKeyProtectionConfiguration –AllowKeyMatrialCaching

Når dette er gjort, skal vi genstarte alle de virtuelle maskiner for at aktivere beskyttelsen af de virtuelle maskiner, der kan cachelagres.

Bemærk:  Eventuelle ændringer af sikkerhedskonfigurationen på den lokale computer vil medføre, at denne offline-tilstand bliver ugyldig. VM'erne skal dokumentere med HGS-serveren, før du tænder offline-tilstanden igen.

Linux-skærmet VM

Microsoft har også udvidet understøttelsen af at være vært for VM'er med Linux som gæste-OS. Se følgende link for at få flere oplysninger om, hvilken operativsystemsmag og -version der kan bruges.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Vigtige retningslinjer

Der er nogle vigtige retningslinjer, der skal følges, når vi implementerer shielded VM'er:

  1. Under udførelse af opgradering fra Windows Server 2016 til Windows Server 2019 er vi nødt til at rydde alle sikkerhedskonfigurationer og anvende dem igen efter opgraderingen på HGS og de beskynede værter, for at løsningen kan fungere problemfrit.
  2. Skabelondiske kan kun bruges med den sikre afskærmede VM-klargøringsproces. Forsøg på at starte en almindelig (ikke-udskiftet) VM ved hjælp af en skabelondisk vil sandsynligvis resultere i en stopfejl (blå skærm) og understøttes ikke.

DELL-support

Alle indstillinger fra WS2016 og 2019 understøttes på Dell PowerEdge 13 & 14G-systemer. For at sikre den mest sikre sikkerhed anbefales det at bruge TPM-baseret attestering sammen med en TPM 2.0.


Denne blog er skrevet af DELL Engineers Pavan Kumar, Vinay Patkar og Shub den Rana

Syy

 

Tarkkuus

 
Artikkelin ominaisuudet
Artikkelin numero: 000175495
Artikkelin tyyppi: Solution
Viimeksi muutettu: 19 heinäk. 2024
Versio:  6
Etsi vastauksia kysymyksiisi muilta Dell-käyttäjiltä
Tukipalvelut
Tarkista, kuuluuko laitteesi tukipalveluiden piiriin.