Passer au contenu principal
  • Passer des commandes rapidement et facilement
  • Afficher les commandes et suivre l’état de votre expédition
  • Créez et accédez à une liste de vos produits

Vylepšení chráněného virtuálního počítače v systému Windows Server 2019

Résumé: Vylepšení stíněných virtuálních počítačů

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.

Symptômes


Stíněný virtuální počítač je jedinečná bezpečnostní funkce představená společností Microsoft v systému Windows Server 2016 a prošla mnoha vylepšeními ve verzi Windows Server 2019. Cílem tohoto blogu je především při vyvolání vylepšení této funkce.

Základní informace o této funkci a podrobný postup nasazení naleznete na následujících odkazech:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Režimy atestace

Tato funkce na začátku podporovala dva režimy atestace – atestace na bázi služby Active Directory a atestace na bázi čipu TPM. Atestace založená na čipu TPM poskytuje vylepšené bezpečnostní ochrany, jelikož používá tpm jako hardwarový kořen důvěry a podporuje měřenou integritu spouštění a kódu.

Key mode attestation is the new addition, supplanting AD based atestace (která je stále k dispozici, ale již není k dispozici v systému Windows Server 2019). Následující odkaz obsahuje informace k nastavení uzlu HGS (Host Guardian Service) pomocí atestace v režimu klíčů. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Upřednostňuje se atestace klíčových režimů nebo se používá v případech, kdy není k dispozici hardware TPM pro použití. Konfigurace je snazší, ale opět se dodává se sadou bezpečnostních rizik, jelikož nezahrnuje hardwarovou kořenovou autoritu důvěry.

Funkce zálohování HGS

Vzhledem k tomu, že cluster HGS je zásadní součástí stíněného řešení virtuálních počítačů, společnost Microsoft poskytla vylepšení, které snadno zahrnuje zálohování adres URL HGS, takže i když primární server HGS nereaguje, střežení hostitelé Hyper-V mohou otestovat a spustit stínované virtuální počítače bez jakýchkoli prostojů. To vyžaduje nastavení dvou serverů HGS, přičemž virtuální počítače musí být během nasazení nezávisle testovány s oběma servery. Následující příkazy slouží k povolení testování virtuálních počítačů oběma clustery HGS.

 

# Nahraďte https://hgs.primary.com a https://hgs.backup.com vlastními názvy domén a protokoly.

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Aby hostitel Hyper-V mohl předávat atestace u primárních i záložních serverů, je nutné zajistit, aby byly informace o atestace u obou clusterů HGS aktuální.

Režim offline

Jedná se opět o speciální režim zavedený společností Microsoft, který umožňuje zapnutí stíněných virtuálních počítačů i v případě, že uzel HGS není dostupný. Chcete-li povolit tento režim pro virtuální počítače, je třeba v uzlu HGS spustit následující příkaz:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Jakmile to provedete, je třeba restartovat všechny virtuální počítače, aby bylo možné pro virtuální počítače povolit ochranu klíčů s možností mezipaměti.

Poznámka:  Veškeré změny konfigurace zabezpečení v místním počítači způsobí, že tento offline režim bude neplatný. Před opětovným zapnutím režimu offline je nutné virtuální počítače otestovat se serverem HGS.

Stíněný virtuální počítač se systémem Linux

Společnost Microsoft také rozšířila podporu hostování virtuálních počítačů s operačním systémem Linux jako hostovaný. Další podrobnosti o tom, které verze operačního systému lze použít, najdete na následujícím odkazu.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Důležité pokyny

Při nasazování stíněných virtuálních počítačů je třeba dodržovat několik důležitých pokynů:

  1. Během upgradu ze systému Windows Server 2016 na systém Windows Server 2019 je třeba vymazat všechny konfigurace zabezpečení a po upgradu na HGS a střežené hostitele znovu použít, aby řešení bezproblémově fungovalo.
  2. Disky šablony lze použít pouze s procesem zabezpečeného stínění virtuálních počítačů. Pokus o spuštění běžného (nestíněné) virtuálního počítače pomocí disku šablony pravděpodobně způsobí chybu STOP (modrá obrazovka) a nebude podporován.

Podpora společnosti DELL

Všechny možnosti z WS2016 a 2019 jsou podporovány na systémech Dell PowerEdge 13 a 14G. Pro nejpřísnější zabezpečení se doporučuje používat atestace na bázi TPM spolu s čipem TPM 2.0.


Tento blog napsali inženýři SPOLEČNOSTI DELL Pavan Boo, Vinay Patkar a Shubhra Poře.

Cause

 

Résolution

 
Propriétés de l’article
Numéro d’article: 000175495
Type d’article: Solution
Dernière modification: 19 juil. 2024
Version:  6
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.