Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Skärmade VM-förbättringar i Windows Server 2019

Résumé: Skärmade VM-förbättringar

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Symptômes


Skyddad VM är en unik säkerhetsfunktion som introducerades av Microsoft i Windows Server 2016 och som har genomgått många förbättringar i Windows Server 2019 Edition. Den här bloggen syftar huvudsakligen till att ta upp förbättringarna av funktionen.

Grundläggande introduktion till funktionen och detaljerade steg för driftsättning finns på följande länkar:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Lägen för attestering

Funktionen hade ursprungligen stöd för två attesteringslägen – Active Directory-baserat attestering och TPM-baserat attestering. TPM-baserat attestering ger förbättrat säkerhetsskydd eftersom TPM används som maskinvarubaserad betrodd rot och stöder uppmätt start och kodintegritet.

Attestering av nyckelläge är det nya tillägget som ersätter AD-baserat attestering (som fortfarande finns men är inaktuellt från Windows Server 2019 och senare). Följande länk innehåller information om hur du konfigurerar HGS-noden (Host Guardian Service) med hjälp av nyckelläges-attestering. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering av nyckelläge föredras eller används i scenarier när TPM-maskinvara inte är tillgänglig för användning. Det är enklare att konfigurera, men det kommer återigen med en uppsättning säkerhetsrisker eftersom det inte omfattar en maskinvarubaserad förtroenderot.

HGS-säkerhetskopieringsfunktion

Eftersom HGS-klustret är en viktig komponent i den avskärmade VM-lösningen har Microsoft tillhandahållit en förbättring för att enkelt införliva en säkerhetskopia av HGS-URL-adresserna så att även om den primära HGS-servern inte svarar kan hyper-V-skyddade värdar intyga och starta de skyddade virtuella datorerna utan driftavbrott. Detta kräver att två HGS-servrar konfigureras, där de virtuella datorerna separat intygas med båda servrarna under distributionen. Följande kommandon används för att aktivera att de virtuella datorerna kan intygas av båda HGS-klustren.

 

# Ersätt https://hgs.primary.com och https://hgs.backup.com med dina egna domännamn och protokoll

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

För att Hyper-V-värden ska klara attestering med både primära servrar och reservservrar måste du se till att din attesteringsinformation är uppdaterad med båda HGS-klustren.

Offlineläge

Detta är återigen ett specialläge som introducerades av Microsoft, vilket gör det möjligt för de skärmade virtuella datorerna att slås på även när HGS-noden inte är åtkomlig. Om du vill aktivera det här läget för de virtuella datorerna måste du köra följande kommando på HGS-noden:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

När det är gjort måste vi starta om alla virtuella maskiner för att aktivera cacheminnet för de virtuella maskinerna.

Obs!  Om säkerhetskonfigurationen ändras på den lokala datorn blir offlineläget ogiltigt. De virtuella maskinerna måste intyga med HGS-servern innan du slår på offline-läget igen.

Linux avskärmad VM

Microsoft har också utökat stödet för att vara värd för de virtuella datorer som har Linux som gäst-OS. Mer information om vilken OS-version och -version som kan användas finns i följande länk.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Viktiga riktlinjer

Det finns några viktiga riktlinjer att följa när vi distribuerar skyddade virtuella datorer:

  1. När du utför uppgradering från Windows Server 2016 till Windows Server 2019 måste vi rensa alla säkerhetskonfigurationer och tillämpa dem igen efter uppgraderingen på HGS och de säkerhetsskyddade värdarna för att lösningen ska fungera smidigt.
  2. Malldiskar kan endast användas med säker avskärmad VM-provisionering. Om du försöker starta en vanlig (oskärmad) virtuell dator med en malldisk kan det resultera i stoppfel (blåskärm) som inte stöds.

DELLs support

Alla alternativ från WS2016 och 2019 stöds på Dell PowerEdge 13- och 14G-system. För striktare säkerhet rekommenderas användning av TPM-baserat attestering tillsammans med TPM 2.0.


Den här bloggen har skrivits av DELL-teknikerna Pavan Och Vinay Patkar och Shubhra Rana

Cause

 

Résolution

 
Propriétés de l’article
Numéro d’article: 000175495
Type d’article: Solution
Dernière modification: 19 juil. 2024
Version:  6
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.