Siirry pääsisältöön
  • Tee tilauksia nopeasti ja helposti
  • Tarkastele tilauksia ja seuraa lähetyksen tilaa
  • Luo tuoteluettelo ja käytä sitä

Skärmade VM-förbättringar i Windows Server 2019

Yhteenveto: Skärmade VM-förbättringar

Tämä artikkeli koskee tuotetta Tämä artikkeli ei koske tuotetta Tämä artikkeli ei liity tiettyyn tuotteeseen. Tässä artikkelissa ei yksilöidä kaikkia tuoteversioita.

Oireet


Skyddad VM är en unik säkerhetsfunktion som introducerades av Microsoft i Windows Server 2016 och som har genomgått många förbättringar i Windows Server 2019 Edition. Den här bloggen syftar huvudsakligen till att ta upp förbättringarna av funktionen.

Grundläggande introduktion till funktionen och detaljerade steg för driftsättning finns på följande länkar:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Lägen för attestering

Funktionen hade ursprungligen stöd för två attesteringslägen – Active Directory-baserat attestering och TPM-baserat attestering. TPM-baserat attestering ger förbättrat säkerhetsskydd eftersom TPM används som maskinvarubaserad betrodd rot och stöder uppmätt start och kodintegritet.

Attestering av nyckelläge är det nya tillägget som ersätter AD-baserat attestering (som fortfarande finns men är inaktuellt från Windows Server 2019 och senare). Följande länk innehåller information om hur du konfigurerar HGS-noden (Host Guardian Service) med hjälp av nyckelläges-attestering. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering av nyckelläge föredras eller används i scenarier när TPM-maskinvara inte är tillgänglig för användning. Det är enklare att konfigurera, men det kommer återigen med en uppsättning säkerhetsrisker eftersom det inte omfattar en maskinvarubaserad förtroenderot.

HGS-säkerhetskopieringsfunktion

Eftersom HGS-klustret är en viktig komponent i den avskärmade VM-lösningen har Microsoft tillhandahållit en förbättring för att enkelt införliva en säkerhetskopia av HGS-URL-adresserna så att även om den primära HGS-servern inte svarar kan hyper-V-skyddade värdar intyga och starta de skyddade virtuella datorerna utan driftavbrott. Detta kräver att två HGS-servrar konfigureras, där de virtuella datorerna separat intygas med båda servrarna under distributionen. Följande kommandon används för att aktivera att de virtuella datorerna kan intygas av båda HGS-klustren.

 

# Ersätt https://hgs.primary.com och https://hgs.backup.com med dina egna domännamn och protokoll

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

För att Hyper-V-värden ska klara attestering med både primära servrar och reservservrar måste du se till att din attesteringsinformation är uppdaterad med båda HGS-klustren.

Offlineläge

Detta är återigen ett specialläge som introducerades av Microsoft, vilket gör det möjligt för de skärmade virtuella datorerna att slås på även när HGS-noden inte är åtkomlig. Om du vill aktivera det här läget för de virtuella datorerna måste du köra följande kommando på HGS-noden:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

När det är gjort måste vi starta om alla virtuella maskiner för att aktivera cacheminnet för de virtuella maskinerna.

Obs!  Om säkerhetskonfigurationen ändras på den lokala datorn blir offlineläget ogiltigt. De virtuella maskinerna måste intyga med HGS-servern innan du slår på offline-läget igen.

Linux avskärmad VM

Microsoft har också utökat stödet för att vara värd för de virtuella datorer som har Linux som gäst-OS. Mer information om vilken OS-version och -version som kan användas finns i följande länk.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Viktiga riktlinjer

Det finns några viktiga riktlinjer att följa när vi distribuerar skyddade virtuella datorer:

  1. När du utför uppgradering från Windows Server 2016 till Windows Server 2019 måste vi rensa alla säkerhetskonfigurationer och tillämpa dem igen efter uppgraderingen på HGS och de säkerhetsskyddade värdarna för att lösningen ska fungera smidigt.
  2. Malldiskar kan endast användas med säker avskärmad VM-provisionering. Om du försöker starta en vanlig (oskärmad) virtuell dator med en malldisk kan det resultera i stoppfel (blåskärm) som inte stöds.

DELLs support

Alla alternativ från WS2016 och 2019 stöds på Dell PowerEdge 13- och 14G-system. För striktare säkerhet rekommenderas användning av TPM-baserat attestering tillsammans med TPM 2.0.


Den här bloggen har skrivits av DELL-teknikerna Pavan Och Vinay Patkar och Shubhra Rana

Syy

 

Tarkkuus

 
Artikkelin ominaisuudet
Artikkelin numero: 000175495
Artikkelin tyyppi: Solution
Viimeksi muutettu: 19 heinäk. 2024
Versio:  6
Etsi vastauksia kysymyksiisi muilta Dell-käyttäjiltä
Tukipalvelut
Tarkista, kuuluuko laitteesi tukipalveluiden piiriin.