メイン コンテンツに進む
ログアウト

Dellへようこそ

マイアカウント
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能
  • 「Company Administration(会社情報の管理)」では、お使いのDell EMCのサイトや製品、製品レベルでのコンタクト先に関する情報を管理できます。
ログイン アカウントの新規作成 プレミアログイン パートナー プログラム サインイン
お問い合わせ

Dell.comカート

文書番号: 000175495

「Windows サーバー2019でのシールドされる VM の機能拡張」

概要: シールドされたVMの機能拡張

この記事は自動翻訳されたものである可能性があります。品質に関するフィードバックがある場合は、このページの下部にあるフォームを使用してお知らせください。

文書の内容

現象


シールドされたVMは、Windows Server 2016でMicrosoftによって導入された独自のセキュリティ機能であり、Windows Server 2019エディションで多くの機能拡張が行われ、このブログは主に、この機能の改善点を説明することを目的としています。

この機能の基本的な概要と導入の詳細な手順については、次のリンクを参照してください。

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

認証モード

この機能は当初、Active Directoryベースの認証とTPMベースの証明という2つの認証モードをサポートしました。TPMベースの証明は、ハードウェアルートオブトラストとしてTPMを使用し、測定されたブートとコードの整合性をサポートするため、強化されたセキュリティ保護を提供します。

キー モードの証明は、ADベースのアテステーションに代わられた新しい追加です(現在は存在しますが、Windows Server 2019以降では廃止されています)。次のリンクには、キー モード認証を使用して HGS(Host Guardian サービス)ノードをセットアップするための情報が含まれています。 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-defaultTPMハードウェアを使用できない場合は、キー モードの証明が推奨されるか、使用されます。構成は簡単ですが、ハードウェアルートオブトラストを伴わない一連のセキュリティリスクが伴います。

HGSバックアップ機能

HGSクラスターはシールドされたVMソリューションの重要な要素であるため、Microsoftは、HGS URLのバックアップを簡単に組み込む機能拡張を提供しています。これにより、プライマリHGSサーバーが応答しない場合でも、Hyper-V保護されたホストはダウンタイムなしでシールドされたVMを証明して起動することができます。これには、2台の HGS サーバをセットアップする必要があります。VM は、導入時に両方のサーバで個別に証明されます。次のコマンドを使用して、両方の HGS クラスタによって VM を証明できるようにします。

 

# https://hgs.primary.com と https://hgs.backup.com を独自のドメイン名とプロトコルに置き換えます

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Hyper-Vホストがプライマリ サーバとフォールバック サーバの両方で認証を渡すには、認証情報が両方の HGS クラスタで最新であることを確認する必要があります。

オフライン モード

これはMicrosoftによって導入された特別なモードで、HGSノードにアクセスできない場合でも、シールドされたVMをオンにすることができます。VMでこのモードを有効にするには、HGSノードで次のコマンドを実行する必要があります。

Set-HgsKeyProtectionConfiguration –AllowKey、お客様の

これが完了したら、すべての仮想マシンを再起動して、仮想マシンのキャッシュ可能なキー保護機能を有効にする必要があります。

注:  ローカル マシンでセキュリティ構成を変更すると、このオフライン モードが無効になります。VMは、オフライン モードを再度オンにする前に、HGSサーバーで証明する必要があります。

LinuxシールドVM

Microsoftは、LinuxをゲストOSとして持つVMをホストするためのサポートも拡張しました。使用できるOSフレーバーとバージョンの詳細については、次のリンクを参照してください。

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

重要なガイドライン

シールドされたVMを導入する際には、次の重要なガイドラインに従う必要があります。

  1. Windows Server 2016からWindows Server 2019へのアップグレードを実行する際には、すべてのセキュリティ構成をクリアし、HGSおよび保護されたホストでアップグレード後に再度適用して、ソリューションをシームレスに動作させる必要があります。
  2. テンプレート ディスクは、セキュア シールドされたVMプロビジョニング プロセスでのみ使用できます。テンプレート ディスクを使用して通常の(シールドされていない)VMを起動しようとすると、STOPエラー(ブルー スクリーン)が発生する可能性があり、サポートされていません。

Dellサポート

WS2016および2019のすべてのオプションは、Dell PowerEdge 13および14Gシステムでサポートされています。最も厳格なセキュリティを確保するために、TPMベースの認証とTPM 2.0を使用することをお勧めします。

このブログは、デルのエンジニア、Pavan Kumar、Vinay Patkar、Shubhra Ranaによって作成されています。

原因

 

解決方法

 

文書のプロパティ

最後に公開された日付

19 7月 2024

バージョン

6

文書の種類

Solution

トップに戻る