메인 콘텐츠로 이동
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스

Verbesserungen an Shielded VM in Windows Server 2019

요약: Abgeschirmte VM-Verbesserungen

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.

증상


Abgeschirmte VM ist eine einzigartige Sicherheitsfunktion, die von Microsoft in Windows Server 2016 eingeführt wurde und viele Verbesserungen in der Windows Server 2019 Edition durchlaufen hat. Dieser Blog zielt hauptsächlich darauf ab, die Verbesserungen der Funktion aufzurufen.

Eine grundlegende Einführung in die Funktion und detaillierte Schritte für die Bereitstellung finden Sie unter den folgenden Links:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Bestätigungsmodi

Die Funktion unterstützte zunächst zwei Bestätigungsmodi: Active Directory-basierte Bestätigung und TPM-basierte Bestätigung. DIE TPM-basierte Bestätigung bietet verbesserte Sicherheitsfunktionen, da TPM als Hardware-Root of Trust verwendet wird und gemessene Start- und Codeintegrität unterstützt.

Die Bestätigung des Schlüsselmodus ist die neue Ergänzung, die die AD-basierte Bestätigung ersetzt (die noch vorhanden ist, aber ab Windows Server 2019 veraltet ist). Der folgende Link enthält die Informationen zum Einrichten des HGS-Node (Host Guardian-Dienst) unter Verwendung der Schlüsselmodus-Bestätigung. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Die Bestätigung des Schlüsselmodus wird bevorzugt oder in Den Szenarien verwendet, in der TPM-Hardware nicht für die Verwendung verfügbar ist. Es ist einfacher zu konfigurieren, ist aber auch hier mit einer Reihe von Sicherheitsrisiken verbunden, da keine Hardware-Root of Trust erforderlich ist.

HGS-Backupfunktion

Da der HGS-Cluster ein wichtiger Bestandteil der abgeschirmten VM-Lösung ist, hat Microsoft eine Verbesserung bereitgestellt, um einfach ein Backup für die HGS-URLs zu integrieren, sodass die hyper-V-geschützten Hosts die abgeschirmten VMs ohne Ausfallzeiten nachweisen und starten können, selbst wenn der primäre HGS-Server nicht reagiert. Dazu müssen zwei HGS-Server eingerichtet werden, wobei die VMs während der Bereitstellung unabhängig von beiden Servern bestätigt werden. Mit den folgenden Befehlen können die VMs von beiden HGS-Clustern bestätigt werden.

 

# Ersetzen Sie https://hgs.primary.com und https://hgs.backup.com durch Ihre eigenen Domainnamen und Protokolle.

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Damit der Hyper-V-Host die Bestätigung sowohl mit dem primären als auch mit dem Fallback-Server bestehen kann, müssen Sie sicherstellen, dass Ihre Bestätigungsinformationen mit beiden HGS-Clustern auf dem neuesten Stand sind.

Offline-Modus

Dies ist wiederum ein spezieller Modus, der von Microsoft eingeführt wird, der es den abgeschirmten VMs ermöglicht, sich selbst dann einzuschalten, wenn der HGS-Node nicht erreichbar ist. Um diesen Modus für die VMs zu aktivieren, müssen wir den folgenden Befehl auf dem HGS-Node ausführen:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Sobald dies abgeschlossen ist, müssen wir alle virtuellen Maschinen neu starten, um die zwischenspeicherbare Schlüsselschutzvorrichtung für die virtuellen Maschinen zu aktivieren.

Hinweis:  Alle Sicherheitskonfigurationsänderungen auf dem lokalen Rechner führen dazu, dass dieser Offlinemodus ungültig wird. Die VMs müssen den HGS-Server vor dem erneuten Einschalten des Offline-Modus bestätigen.

Mit Linux abgeschirmte VM

Microsoft hat außerdem die Unterstützung für das Hosten der VMs mit Linux als Gastbetriebssystem erweitert. Weitere Informationen dazu, welche BS-Variante und -Version verwendet werden können, finden Sie unter dem folgenden Link.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Wichtige Richtlinien

Es gibt einige wichtige Richtlinien, die bei der Bereitstellung von abgeschirmten VMs befolgt werden müssen:

  1. Bei der Durchführung eines Upgrades von Windows Server 2016 auf Windows Server 2019 müssen wir alle Sicherheitskonfigurationen löschen und sie nach dem Upgrade erneut auf die HGS und die gesicherten Hosts anwenden, damit die Lösung nahtlos funktioniert.
  2. Vorlagenfestplatten können nur mit dem Bereitstellungsprozess für sichere, abgeschirmte VMs verwendet werden. Der Versuch, eine reguläre (nicht durch Shield geschützte) VM mit einer Vorlagenfestplatte zu starten, führt wahrscheinlich zu einem Stopp-Fehler (Bluescreen) und wird nicht unterstützt.

Dell Support

Alle Optionen von WS2016 und 2019 werden auf Dell PowerEdge 13- und 14G-Systemen unterstützt. Für höchste Sicherheit wird die Verwendung einer TPM-basierten Bestätigung zusammen mit einem TPM 2.0 empfohlen.


Dieser Blog wurde von den Dell Ingenieuren Pavan Parser, Vinay Patkar und Shubhra Rana verfasst.

원인

 

해결

 
문서 속성
문서 번호: 000175495
문서 유형: Solution
마지막 수정 시간: 19 7월 2024
버전:  6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.