Экранная виртуальная машина — это уникальная функция безопасности, представленная Microsoft в Windows Server 2016 и внося множество улучшений в выпуск Windows Server 2019. В основном, этот блог направлен на то, чтобы прозябать об улучшениях этой функции.
Основные сведения о функции и подробные инструкции по развертыванию см. по следующим ссылкам:
Режимы аттестации
Изначально эта функция поддерживает два режима аттестации: аттестацию на основе Active Directory и аттестацию на основе TPM. Аттестация на основе TPM обеспечивает повышенную защиту безопасности, поскольку использует TPM в качестве аппаратного корня доверия и поддерживает измеряемую загрузку и целостность кода.
Аттестация в режиме ключа — это новое добавление, заменяемое аттестацией на основе AD (которое все еще присутствует, но не поддерживается с Windows Server 2019 и более поздних). Следующая ссылка содержит информацию о настройке узла HGS (Host Guardian Service) с помощью аттестации режима ключа.
https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Аттестация в режиме ключа является предпочтительной или используется в сценариях, когда оборудование TPM недоступно для использования. Ее проще настроить, но это сопряжено с набором рисков безопасности, так как не предполагает аппаратного корня доверия.
Функция резервного копирования HGS
Поскольку кластер HGS является критически важным компонентом в экранируемом решении для ВМ, корпорация Microsoft предоставила усовершенствование для простоя включения резервного копирования URL-адресов HGS. Благодаря таким образом, даже если основной сервер HGS не отвечает, заблокированные хосты Hyper-V могут тестировать и запускать экранированные виртуальные машины без простоев. Для этого необходимо настроить два сервера HGS, при этом виртуальные машины независимо протестированные с обоими серверами во время развертывания. Для проверки виртуальных машин обоими кластерами HGS используются следующие команды.
# Замените https://hgs.primary.com и https://hgs.backup.com на собственные доменные имена и протоколы
Set-HgsClientConfiguration -KeyProtectionServerUrl "https://hgs.primary.com/KeyProtection" -AttestationServerUrl "https://hgs.primary.com/Attestation" -FallbackKeyProtectionServerUrl "https://hgs.backup.com/KeyProtection" -FallbackAttestationServerUrl "https://hgs.backup.com/Attestation"
Чтобы хост Hyper-V прошел аттестацию как с основными, так и с серверами резервного копирования, необходимо убедиться, что ваша информация о аттестации находится в актуальном состоянии с обоими кластерами HGS.
Автономный режим
Это также специальный режим, представленный корпорацией Microsoft, который позволяет включать экранированные виртуальные машины даже в том случае, если узел HGS недоступен. Чтобы включить этот режим для виртуальных машин, необходимо выполнить следующую команду на узле HGS:
Set-HgsKeyProtectionConfiguration — AllowKeyMaterialCaching
После этого необходимо перезапустить все виртуальные машины, чтобы включить защиту ключей кэш-памяти для виртуальных машин.
Примечание. Любые изменения конфигурации безопасности на локальном компьютере приведут к тому, что этот автономный режим станет недействительным. Прежде чем снова включить автономный режим, виртуальным машинам необходимо выполнить проверку с помощью сервера HGS.
ВМ с экраном Linux
Корпорация Microsoft также расширяет поддержку размещения виртуальных машин с Ос Linux в качестве гостевой ОС. Для получения дополнительной информации о том, какой версию и версию ОС можно использовать, перейдите по следующей ссылке.
Важные рекомендации
При развертывании экранных виртуальных машин необходимо соблюдать несколько важных инструкций:
Все варианты wS2016 и 2019 поддерживаются в системах Dell PowerEdge 13 и 14G. Для обеспечения самого строгого уровня безопасности рекомендуется использовать аттестацию на основе TPM вместе с TPM 2.0.