메인 콘텐츠로 이동
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스

Skærmede VM-forbedringer i Windows Server 2019

요약: Skærmede VM-forbedringer

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.

증상


Shielded VM er en unik sikkerhedsfunktion, der blev introduceret af Microsoft i Windows Server 2016 og har gennemgået en masse forbedringer i Windows Server 2019-udgaven. Denne blog har primært til formål at fremhæve forbedringerne i funktionen.

For grundlæggende introduktion til funktionen og detaljerede trin til implementering henvises til følgende links:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Attesteringstilstande

Funktionen understøttede oprindeligt to attesteringstilstande – Active Directory-baseret attestation og TPM-baseret attestation. TPM-baseret attestering giver forbedret sikkerhedsbeskyttelse, når den bruger TPM som hardware-rodnøgle og understøtter målt start- og kodeintegritet.

Attestering af nøgletilstand er den nye tilføjelse, der supplanting AD-baseret attestation (som stadig er til stede, men nedtonet fra Windows Server 2019 og frem). Følgende link indeholder oplysninger om konfiguration af HGS-noden (Host Guardian Service) ved hjælp af Attestation for nøgletilstand. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering af nøgletilstand foretrækkes eller anvendes i scenarier, hvor TPM-hardware ikke er tilgængelig for brug. Det er nemmere at konfigurere, men leveres igen med et sæt sikkerhedsrisici, da det ikke involverer tillidsroden for hardware.

HGS-sikkerhedskopieringsfunktion

Da HGS-klyngen er et kritisk stykke i den afskærmede VM-løsning, har Microsoft leveret en forbedring til nemt at inkorporere en sikkerhedskopi af HGS URL-adresserne, så selv hvis den primære HGS-server ikke svarer, kan Hyper-V-beskyttere værter attesteres og starte de afskærmede VM'er uden nedetid. Dette kræver, at to HGS-servere konfigureres, og VM'erne skal godkendes uafhængigt af hinanden med begge servere under implementering. Følgende kommandoer bruges til at aktivere VM'erne til at blive bekræftet af begge HGS-klynger.

 

# Erstat https://hgs.primary.com, og https://hgs.backup.com med dine egne domænenavne og protokoller

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

For at Hyper-V-værten kan bestå attestering med både de primære og fallback-servere, skal du sikre dig, at dine attesteringsoplysninger er opdaterede med begge HGS-klynger.

Offlinetilstand

Dette er igen en særlig tilstand introduceret af Microsoft, som gør det muligt for de afskærmede VM'er at tænde, selv når HGS-noden ikke er tilgængelig. For at aktivere denne tilstand for VM'er skal vi køre følgende kommando på HGS-noden:

Set-HgsKeyProtectionConfiguration –AllowKeyMatrialCaching

Når dette er gjort, skal vi genstarte alle de virtuelle maskiner for at aktivere beskyttelsen af de virtuelle maskiner, der kan cachelagres.

Bemærk:  Eventuelle ændringer af sikkerhedskonfigurationen på den lokale computer vil medføre, at denne offline-tilstand bliver ugyldig. VM'erne skal dokumentere med HGS-serveren, før du tænder offline-tilstanden igen.

Linux-skærmet VM

Microsoft har også udvidet understøttelsen af at være vært for VM'er med Linux som gæste-OS. Se følgende link for at få flere oplysninger om, hvilken operativsystemsmag og -version der kan bruges.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Vigtige retningslinjer

Der er nogle vigtige retningslinjer, der skal følges, når vi implementerer shielded VM'er:

  1. Under udførelse af opgradering fra Windows Server 2016 til Windows Server 2019 er vi nødt til at rydde alle sikkerhedskonfigurationer og anvende dem igen efter opgraderingen på HGS og de beskynede værter, for at løsningen kan fungere problemfrit.
  2. Skabelondiske kan kun bruges med den sikre afskærmede VM-klargøringsproces. Forsøg på at starte en almindelig (ikke-udskiftet) VM ved hjælp af en skabelondisk vil sandsynligvis resultere i en stopfejl (blå skærm) og understøttes ikke.

DELL-support

Alle indstillinger fra WS2016 og 2019 understøttes på Dell PowerEdge 13 & 14G-systemer. For at sikre den mest sikre sikkerhed anbefales det at bruge TPM-baseret attestering sammen med en TPM 2.0.


Denne blog er skrevet af DELL Engineers Pavan Kumar, Vinay Patkar og Shub den Rana

원인

 

해결

 
문서 속성
문서 번호: 000175495
문서 유형: Solution
마지막 수정 시간: 19 7월 2024
버전:  6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.