Siirry pääsisältöön
  • Tee tilauksia nopeasti ja helposti
  • Tarkastele tilauksia ja seuraa lähetyksen tilaa
  • Luo tuoteluettelo ja käytä sitä

Skjermede VM-forbedringer i Windows Server 2019

Yhteenveto: Skjermede VM-forbedringer

Tämä artikkeli koskee tuotetta Tämä artikkeli ei koske tuotetta Tämä artikkeli ei liity tiettyyn tuotteeseen. Tässä artikkelissa ei yksilöidä kaikkia tuoteversioita.

Oireet


Skjermet VM er en unik sikkerhetsfunksjon introdusert av Microsoft i Windows Server 2016 og har gjennomgått mange forbedringer i Windows Server 2019-utgaven. Denne bloggen tar hovedsakelig sikte på å vise frem forbedringene i funksjonen.

Hvis du vil se den grunnleggende introduksjonen til funksjonen og detaljerte trinn for implementering, kan du se følgende koblinger:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Attesteringsmoduser

Funksjonen støttet først to attesteringsmoduser – Active Directory-basert attestering og TPM-basert attestering. TPM-basert attestering gir forbedret sikkerhetsbeskyttelse ettersom den bruker TPM som maskinvarerot av klarering og støtter målt oppstart og kodeintegritet.

Attestering av nøkkelmodus er det nye tillegget, som forplanter AD-basert attestering (som fortsatt er til stede, men som foreldet fra Windows Server 2019 og nyere). Følgende kobling inneholder informasjon om hvordan du konfigurerer HGS-noden (Host Guardian Service) ved hjelp av attestering av nøkkelmodus. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering av nøkkelmodus foretrekkes eller brukes i scenariene når TPM-maskinvare ikke er tilgjengelig for bruk. Det er enklere å konfigurere, men leveres igjen med et sett med sikkerhetsrisikoer, ettersom det ikke omfatter maskinvarerot av tillit.

HGS-sikkerhetskopieringsfunksjon

Siden HGS-klyngen er en viktig del i den skjermede VM-løsningen, har Microsoft gitt en forbedring for enkel å inkludere en sikkerhetskopi for HGS URL-adressene, slik at selv om den primære HGS-serveren ikke svarer, kan hyper-V-bevoktede verter attestere og starte de skjermede VM-ene uten nedetid. Dette krever at to HGS-servere konfigureres, og virtuelle maskiner er uavhengig bevitnet med begge serverne under implementeringen. Følgende kommandoer brukes til å aktivere attestede VM-er av begge HGS-klyngene.

 

# Bytt ut https://hgs.primary.com og https://hgs.backup.com med dine egne domenenavn og -protokoller

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

For at Hyper-V-verten skal kunne bestå attestering med både primærserverne og reserveserverne, må du sørge for at at attesteringsinformasjonen din er oppdatert med begge HGS-klyngene.

Frakoblet modus

Dette er igjen en spesialmodus introdusert av Microsoft som gjør at skjermede VM-er kan slås på selv når HGS-noden ikke kan nås. Hvis du vil aktivere denne modusen for VIRTUELLE-er, må vi kjøre følgende kommando på HGS-noden:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Når dette er gjort, må vi starte alle de virtuelle maskinene på nytt for å aktivere den hurtigbufferbare nøkkelbeskytteren for de virtuelle maskinene.

Merk:  Eventuelle endringer i sikkerhetskonfigurasjonen på den lokale maskinen vil føre til at denne frakoblede modusen blir ugyldig. VM-ene må attestere med HGS-serveren før de slår på frakoblet modus på nytt.

Linux-skjermet VM

Microsoft utvidet også støtten for å være vert for virtuelle maskiner som har Linux som gjesteoperativsystemer. Hvis du vil ha mer informasjon om hvilken OS-versjon som kan brukes, kan du se følgende kobling.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Viktige retningslinjer

Det er noen viktige retningslinjer som må følges når vi implementerer skjermede VM-er:

  1. Når du utfører oppgraderingen fra Windows Server 2016 til Windows Server 2019, må vi fjerne alle sikkerhetskonfigurasjonene og bruke dem på nytt etter oppgraderingen på HGS og de bevoktede vertene for at løsningen skal fungere sømløst.
  2. Maldisker kan bare brukes med den sikre skjermede VM-klargjøringsprosessen. Hvis du prøver å starte opp en vanlig (uskjermet) VM ved hjelp av en maldisk, vil det sannsynligvis føre til en stoppfeil (blåskjerm) og støttes ikke.

DELL-støtte

Alle alternativene fra WS2016 og 2019 støttes på Dell PowerEdge 13- og 14G-systemer. For strengeste sikkerhet anbefales bruk av TPM-basert attestering sammen med en TPM 2.0.


Denne bloggen er skrevet av DELL-teknikerne Pavan Maka, Konstitor Patkar og Shubimage Rana

Syy

 

Tarkkuus

 
Artikkelin ominaisuudet
Artikkelin numero: 000175495
Artikkelin tyyppi: Solution
Viimeksi muutettu: 19 heinäk. 2024
Versio:  6
Etsi vastauksia kysymyksiisi muilta Dell-käyttäjiltä
Tukipalvelut
Tarkista, kuuluuko laitteesi tukipalveluiden piiriin.