Siirry pääsisältöön
  • Tee tilauksia nopeasti ja helposti
  • Tarkastele tilauksia ja seuraa lähetyksen tilaa
  • Luo tuoteluettelo ja käytä sitä

Aprimoramentos da VM blindada no Windows Server 2019

Yhteenveto: Aprimoramentos da VM blindada

Tämä artikkeli koskee tuotetta Tämä artikkeli ei koske tuotetta Tämä artikkeli ei liity tiettyyn tuotteeseen. Tässä artikkelissa ei yksilöidä kaikkia tuoteversioita.

Oireet


A VM blindada é um recurso de segurança exclusivo introduzido pela Microsoft no Windows Server 2016 e passou por muitas melhorias na edição do Windows Server 2019. Este blog tem como objetivo principalmente chamar as melhorias no recurso.

Para obter a introdução básica ao recurso e as etapas detalhadas de implementação, consulte os seguintes links:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Modos de atestado

Inicialmente, o recurso era compatível com dois modos de atestado: atestado baseado em Active Directory e atestado baseado em TPM. O atestado baseado em TPM oferece proteções de segurança aprimoradas, pois ele usa o TPM como raiz de confiança do hardware e dá suporte à inicialização medida e à integridade do código.

A atestação do modo de chave é a nova adição, substituindo o atestado baseado em AD (que ainda está presente, mas obsoleto do Windows Server 2019 em diante). O link a seguir contém as informações para configurar o nó do HGS (Serviço do Host Guardian) usando a atestação do modo de chave. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default O atestado do modo de chave é preferencial ou usado nos cenários em que o hardware do TPM está indisponível para uso. É mais fácil de configurar, mas novamente vem com um conjunto de riscos de segurança, pois não envolve raiz de confiança do hardware.

Recurso de backup do HGS

Como o cluster do HGS é uma parte essencial da solução de VM blindada, a Microsoft forneceu um aprimoramento para incorporar facilmente um backup para as URLs do HGS para que, mesmo que o servidor HGS principal não responda, os hosts protegidos do Hyper-V possam atestar e iniciar as VMs blindadas sem nenhum tempo de inatividade. Isso exige que dois servidores HGS sejam configurados, com as VMs atestadas independentemente com ambos os servidores durante a implementação. Os comandos a seguir são usados para permitir que as VMs sejam atestadas por ambos os clusters do HGS.

 

# Substitua https://hgs.primary.com e https://hgs.backup.com por seus próprios protocolos e nomes de domínio

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Para que o host do Hyper-V passe o atestado com os servidores primário e de restauração, você precisará garantir que suas informações de atestado estão atualizadas com os dois clusters do HGS.

Modo off-line

Esse é novamente um modo especial introduzido pela Microsoft que permite que as VMs blindadas liguem mesmo quando o nó do HGS estiver inacessível. Para ativar esse modo para as VMs, precisamos executar o seguinte comando no nó do HGS:

Set-HgsKeyProtectionConfiguration – AllowKeyMateCaching

Depois que isso for feito, precisamos reiniciar todas as máquinas virtuais para habilitar o protetor de chave em cache para as máquinas virtuais.

Nota:  Qualquer alteração de configuração de segurança na máquina local fará com que esse modo off-line se torne inválido. As VMs precisarão atestar com o servidor HGS antes de ligar o modo off-line novamente.

VM blindada do Linux

A Microsoft também ampliou o suporte para hospedar as VMs que têm Linux como o sistema operacional convidado. Para obter mais detalhes sobre qual versão e o sistema operacional podem ser usados, consulte o link a seguir.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Diretrizes importantes

Há algumas diretrizes importantes a serem seguidas quando estamos implementando VMs blindadas:

  1. Ao realizar o upgrade do Windows Server 2016 para o Windows Server 2019, precisamos limpar todas as configurações de segurança e aplicá-las novamente após o upgrade no HGS e nos hosts protegidos para que a solução funcione perfeitamente.
  2. Os discos de modelo só podem ser usados com o processo de provisionamento de VM protegido. A tentativa de inicializar uma VM regular (sem proteção) usando um disco de modelo provavelmente resultará em um erro stop (tela azul) e não será compatível.

Suporte DELL

Todas as opções do WS2016 e 2019 são compatíveis com os sistemas Dell PowerEdge 13 e 14G. Para a segurança mais rigorosa, é recomendável usar o atestado baseado em TPM juntamente com um TPM 2.0.


Este blog foi escrito pelos engenheiros da DELL Pavan Backup, Vinay Patkar e Shubhra Rana

Syy

 

Tarkkuus

 
Artikkelin ominaisuudet
Artikkelin numero: 000175495
Artikkelin tyyppi: Solution
Viimeksi muutettu: 19 heinäk. 2024
Versio:  6
Etsi vastauksia kysymyksiisi muilta Dell-käyttäjiltä
Tukipalvelut
Tarkista, kuuluuko laitteesi tukipalveluiden piiriin.