Siirry pääsisältöön
  • Tee tilauksia nopeasti ja helposti
  • Tarkastele tilauksia ja seuraa lähetyksen tilaa
  • Luo tuoteluettelo ja käytä sitä

Suojatut virtuaalikoneen parannukset Windows Server 2019:ssä

Yhteenveto: Suojatun virtuaalikoneen parannukset

Tämä artikkeli koskee tuotetta Tämä artikkeli ei koske tuotetta Tämä artikkeli ei liity tiettyyn tuotteeseen. Tässä artikkelissa ei yksilöidä kaikkia tuoteversioita.

Oireet


Suojattu virtuaalikone on Microsoftin Windows Server 2016 -palvelimessa käyttöön tuoma ainutlaatuinen suojausominaisuus, jota on parannettu paljon Windows Server 2019 -versiossa. Tämän blogin tarkoituksena on lähinnä esitellä ominaisuuden parannukset.

Lisätietoja ominaisuuden perusesittelystä ja yksityiskohtaisista käyttöönottovaiheista on seuraavissa linkeissä:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Vahvistustilat

Ominaisuus tuki aluksi kahta vahvistustilaa : Active Directory -pohjaista vahvistusta ja TPM-pohjaista vahvistusta. TPM-perustainen vahvistus parantaa suojausta, koska se käyttää TPM:ää laitteiston peruskäyttöoikeuksina ja tukee tutkitun käynnistyksen ja koodin eheyttä.

Avaintilan vahvistus on uusi lisäys, joka tukee AD-pohjaista vahvistusta (joka on edelleen käytössä, mutta poistettu käytöstä Windows Server 2019:stä eteenpäin). Seuraavassa linkissä on tietoja HGS (Host Guardian Service) -solmun määrittämisestä avaintilan vahvistuksen avulla. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Avaintilan vahvistus on suositeltava tai sitä käytetään tilanteissa, joissa TPM-laitteistoa ei voi käyttää. Määritys on helpompaa, mutta siihen liittyy jälleen suojausriskejä, sillä siihen ei liity laitteiston perusluottamusta.

HGS-varmuuskopiointiominaisuus

Koska HGS-klusteri on tärkeä osa suojatussa virtuaalikoneratkaisussa, Microsoft on kehittänyt parannuksen, jolla HGS URL -osoitteiden varmuuskopiointi voidaan helposti sisällyttää, jotta hyper-V-suojatut isäntäkoneet pystyvät testaamaan ja käynnistämään suojatut virtuaalikoneet ilman seisokkiaikaa. Tämä edellyttää kahden HGS-palvelimen asentamista, ja virtuaalikoneet on vahvistettu erikseen kummallekin palvelimelle käyttöönoton aikana. Seuraavilla komennoilla voi määrittää virtuaalikoneiden testauksen kummallekin HGS-klusterille.

 

# Korvaa https://hgs.primary.com ja https://hgs.backup.com omilla toimialuenimilläsi ja protokollillasi

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Jotta Hyper-V-isäntä läpäisee vahvistuksen sekä ensisijaisella että varapalvelimella, sinun on varmistettava, että vahvistustiedot ovat ajan tasalla molemmissa HGS-klustereissa.

Offline-tila

Tämä on jälleen Microsoftin käyttöönottama erityistila, jonka ansiosta suojatut virtuaalikoneet käynnistyvät silloinkin, kun HGS-solmu ei ole tavoitettavissa. Jotta tämä tila voidaan ottaa käyttöön virtuaalikoneissa, HGS-solmussa on suoritettava seuraava komento:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Kun tämä on tehty, kaikki virtuaalikoneet on käynnistettävä uudelleen, jotta välimuistiin tallennettava avainsuojain voidaan ottaa käyttöön virtuaalikoneissa.

Huomautus:  Jos paikallisen tietokoneen suojausmääritykseen tehdään muutoksia, tämä offline-tila muuttuu virheelliseksi. Virtuaalikoneiden on määritettävä HGS-palvelimelle, ennen kuin offline-tila otetaan uudelleen käyttöön.

Linux-suojattu virtuaalikone

Microsoft laajensi tukea myös virtuaalikoneiden isännöinnille, joiden vieraskäyttöjärjestelmänä on Linux. Lisätietoja käyttöjärjestelmästä ja versiosta on seuraavassa linkissä.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Tärkeät ohjeet

Suojatut virtuaalikoneet otetaan käyttöön muutaman tärkeän ohjeen avulla:

  1. Kun päivität Windows Server 2016 :sta Windows Server 2019:ään, kaikki suojausmääritykset on tyhjennetään ja ne on otettava käyttöön uudelleen HGS:n päivityksen jälkeen ja suojatuissa isännissä, jotta ratkaisu toimii saumattomasti.
  2. Mallilevyjä voi käyttää vain suojatussa virtuaalikoneen valmisteluprosessissa. Tavallisen (suojaamattoman) virtuaalikoneen käynnistäminen mallilevyn avulla aiheuttaa todennäköisesti pysäytysvirheen (sinisen virhenäytön), jota ei tueta.

DELL-tuki

Kaikki WS2016- ja 2019-vaihtoehdot ovat tuettuja Dell PowerEdge 13- ja 14G-järjestelmissä. Suosittelemme TPM-pohjaista vahvistusta ja TPM 2.0 -moduulia erittäin tiukan suojauksen vuoksi.


Blogin ovat kirjoittaneet Dellin insinöörit Pavan Kelvan Kelja, Vinay Patkar ja Shubhra Rana.

Syy

 

Tarkkuus

 
Artikkelin ominaisuudet
Artikkelin numero: 000175495
Artikkelin tyyppi: Solution
Viimeksi muutettu: 19 heinäk. 2024
Versio:  6
Etsi vastauksia kysymyksiisi muilta Dell-käyttäjiltä
Tukipalvelut
Tarkista, kuuluuko laitteesi tukipalveluiden piiriin.