메인 콘텐츠로 이동
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스

Skjermede VM-forbedringer i Windows Server 2019

요약: Skjermede VM-forbedringer

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.

증상


Skjermet VM er en unik sikkerhetsfunksjon introdusert av Microsoft i Windows Server 2016 og har gjennomgått mange forbedringer i Windows Server 2019-utgaven. Denne bloggen tar hovedsakelig sikte på å vise frem forbedringene i funksjonen.

Hvis du vil se den grunnleggende introduksjonen til funksjonen og detaljerte trinn for implementering, kan du se følgende koblinger:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Attesteringsmoduser

Funksjonen støttet først to attesteringsmoduser – Active Directory-basert attestering og TPM-basert attestering. TPM-basert attestering gir forbedret sikkerhetsbeskyttelse ettersom den bruker TPM som maskinvarerot av klarering og støtter målt oppstart og kodeintegritet.

Attestering av nøkkelmodus er det nye tillegget, som forplanter AD-basert attestering (som fortsatt er til stede, men som foreldet fra Windows Server 2019 og nyere). Følgende kobling inneholder informasjon om hvordan du konfigurerer HGS-noden (Host Guardian Service) ved hjelp av attestering av nøkkelmodus. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestering av nøkkelmodus foretrekkes eller brukes i scenariene når TPM-maskinvare ikke er tilgjengelig for bruk. Det er enklere å konfigurere, men leveres igjen med et sett med sikkerhetsrisikoer, ettersom det ikke omfatter maskinvarerot av tillit.

HGS-sikkerhetskopieringsfunksjon

Siden HGS-klyngen er en viktig del i den skjermede VM-løsningen, har Microsoft gitt en forbedring for enkel å inkludere en sikkerhetskopi for HGS URL-adressene, slik at selv om den primære HGS-serveren ikke svarer, kan hyper-V-bevoktede verter attestere og starte de skjermede VM-ene uten nedetid. Dette krever at to HGS-servere konfigureres, og virtuelle maskiner er uavhengig bevitnet med begge serverne under implementeringen. Følgende kommandoer brukes til å aktivere attestede VM-er av begge HGS-klyngene.

 

# Bytt ut https://hgs.primary.com og https://hgs.backup.com med dine egne domenenavn og -protokoller

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

For at Hyper-V-verten skal kunne bestå attestering med både primærserverne og reserveserverne, må du sørge for at at attesteringsinformasjonen din er oppdatert med begge HGS-klyngene.

Frakoblet modus

Dette er igjen en spesialmodus introdusert av Microsoft som gjør at skjermede VM-er kan slås på selv når HGS-noden ikke kan nås. Hvis du vil aktivere denne modusen for VIRTUELLE-er, må vi kjøre følgende kommando på HGS-noden:

Set-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching

Når dette er gjort, må vi starte alle de virtuelle maskinene på nytt for å aktivere den hurtigbufferbare nøkkelbeskytteren for de virtuelle maskinene.

Merk:  Eventuelle endringer i sikkerhetskonfigurasjonen på den lokale maskinen vil føre til at denne frakoblede modusen blir ugyldig. VM-ene må attestere med HGS-serveren før de slår på frakoblet modus på nytt.

Linux-skjermet VM

Microsoft utvidet også støtten for å være vert for virtuelle maskiner som har Linux som gjesteoperativsystemer. Hvis du vil ha mer informasjon om hvilken OS-versjon som kan brukes, kan du se følgende kobling.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Viktige retningslinjer

Det er noen viktige retningslinjer som må følges når vi implementerer skjermede VM-er:

  1. Når du utfører oppgraderingen fra Windows Server 2016 til Windows Server 2019, må vi fjerne alle sikkerhetskonfigurasjonene og bruke dem på nytt etter oppgraderingen på HGS og de bevoktede vertene for at løsningen skal fungere sømløst.
  2. Maldisker kan bare brukes med den sikre skjermede VM-klargjøringsprosessen. Hvis du prøver å starte opp en vanlig (uskjermet) VM ved hjelp av en maldisk, vil det sannsynligvis føre til en stoppfeil (blåskjerm) og støttes ikke.

DELL-støtte

Alle alternativene fra WS2016 og 2019 støttes på Dell PowerEdge 13- og 14G-systemer. For strengeste sikkerhet anbefales bruk av TPM-basert attestering sammen med en TPM 2.0.


Denne bloggen er skrevet av DELL-teknikerne Pavan Maka, Konstitor Patkar og Shubimage Rana

원인

 

해결

 
문서 속성
문서 번호: 000175495
문서 유형: Solution
마지막 수정 시간: 19 7월 2024
버전:  6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.