Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Verbesserungen an Shielded VM in Windows Server 2019

Résumé: Abgeschirmte VM-Verbesserungen

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Symptômes


Abgeschirmte VM ist eine einzigartige Sicherheitsfunktion, die von Microsoft in Windows Server 2016 eingeführt wurde und viele Verbesserungen in der Windows Server 2019 Edition durchlaufen hat. Dieser Blog zielt hauptsächlich darauf ab, die Verbesserungen der Funktion aufzurufen.

Eine grundlegende Einführung in die Funktion und detaillierte Schritte für die Bereitstellung finden Sie unter den folgenden Links:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Bestätigungsmodi

Die Funktion unterstützte zunächst zwei Bestätigungsmodi: Active Directory-basierte Bestätigung und TPM-basierte Bestätigung. DIE TPM-basierte Bestätigung bietet verbesserte Sicherheitsfunktionen, da TPM als Hardware-Root of Trust verwendet wird und gemessene Start- und Codeintegrität unterstützt.

Die Bestätigung des Schlüsselmodus ist die neue Ergänzung, die die AD-basierte Bestätigung ersetzt (die noch vorhanden ist, aber ab Windows Server 2019 veraltet ist). Der folgende Link enthält die Informationen zum Einrichten des HGS-Node (Host Guardian-Dienst) unter Verwendung der Schlüsselmodus-Bestätigung. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Die Bestätigung des Schlüsselmodus wird bevorzugt oder in Den Szenarien verwendet, in der TPM-Hardware nicht für die Verwendung verfügbar ist. Es ist einfacher zu konfigurieren, ist aber auch hier mit einer Reihe von Sicherheitsrisiken verbunden, da keine Hardware-Root of Trust erforderlich ist.

HGS-Backupfunktion

Da der HGS-Cluster ein wichtiger Bestandteil der abgeschirmten VM-Lösung ist, hat Microsoft eine Verbesserung bereitgestellt, um einfach ein Backup für die HGS-URLs zu integrieren, sodass die hyper-V-geschützten Hosts die abgeschirmten VMs ohne Ausfallzeiten nachweisen und starten können, selbst wenn der primäre HGS-Server nicht reagiert. Dazu müssen zwei HGS-Server eingerichtet werden, wobei die VMs während der Bereitstellung unabhängig von beiden Servern bestätigt werden. Mit den folgenden Befehlen können die VMs von beiden HGS-Clustern bestätigt werden.

 

# Ersetzen Sie https://hgs.primary.com und https://hgs.backup.com durch Ihre eigenen Domainnamen und Protokolle.

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Damit der Hyper-V-Host die Bestätigung sowohl mit dem primären als auch mit dem Fallback-Server bestehen kann, müssen Sie sicherstellen, dass Ihre Bestätigungsinformationen mit beiden HGS-Clustern auf dem neuesten Stand sind.

Offline-Modus

Dies ist wiederum ein spezieller Modus, der von Microsoft eingeführt wird, der es den abgeschirmten VMs ermöglicht, sich selbst dann einzuschalten, wenn der HGS-Node nicht erreichbar ist. Um diesen Modus für die VMs zu aktivieren, müssen wir den folgenden Befehl auf dem HGS-Node ausführen:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Sobald dies abgeschlossen ist, müssen wir alle virtuellen Maschinen neu starten, um die zwischenspeicherbare Schlüsselschutzvorrichtung für die virtuellen Maschinen zu aktivieren.

Hinweis:  Alle Sicherheitskonfigurationsänderungen auf dem lokalen Rechner führen dazu, dass dieser Offlinemodus ungültig wird. Die VMs müssen den HGS-Server vor dem erneuten Einschalten des Offline-Modus bestätigen.

Mit Linux abgeschirmte VM

Microsoft hat außerdem die Unterstützung für das Hosten der VMs mit Linux als Gastbetriebssystem erweitert. Weitere Informationen dazu, welche BS-Variante und -Version verwendet werden können, finden Sie unter dem folgenden Link.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Wichtige Richtlinien

Es gibt einige wichtige Richtlinien, die bei der Bereitstellung von abgeschirmten VMs befolgt werden müssen:

  1. Bei der Durchführung eines Upgrades von Windows Server 2016 auf Windows Server 2019 müssen wir alle Sicherheitskonfigurationen löschen und sie nach dem Upgrade erneut auf die HGS und die gesicherten Hosts anwenden, damit die Lösung nahtlos funktioniert.
  2. Vorlagenfestplatten können nur mit dem Bereitstellungsprozess für sichere, abgeschirmte VMs verwendet werden. Der Versuch, eine reguläre (nicht durch Shield geschützte) VM mit einer Vorlagenfestplatte zu starten, führt wahrscheinlich zu einem Stopp-Fehler (Bluescreen) und wird nicht unterstützt.

Dell Support

Alle Optionen von WS2016 und 2019 werden auf Dell PowerEdge 13- und 14G-Systemen unterstützt. Für höchste Sicherheit wird die Verwendung einer TPM-basierten Bestätigung zusammen mit einem TPM 2.0 empfohlen.


Dieser Blog wurde von den Dell Ingenieuren Pavan Parser, Vinay Patkar und Shubhra Rana verfasst.

Cause

 

Résolution

 
Propriétés de l’article
Numéro d’article: 000175495
Type d’article: Solution
Dernière modification: 19 juil. 2024
Version:  6
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.