메인 콘텐츠로 이동
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스

Aprimoramentos da VM blindada no Windows Server 2019

요약: Aprimoramentos da VM blindada

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.

증상


A VM blindada é um recurso de segurança exclusivo introduzido pela Microsoft no Windows Server 2016 e passou por muitas melhorias na edição do Windows Server 2019. Este blog tem como objetivo principalmente chamar as melhorias no recurso.

Para obter a introdução básica ao recurso e as etapas detalhadas de implementação, consulte os seguintes links:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Modos de atestado

Inicialmente, o recurso era compatível com dois modos de atestado: atestado baseado em Active Directory e atestado baseado em TPM. O atestado baseado em TPM oferece proteções de segurança aprimoradas, pois ele usa o TPM como raiz de confiança do hardware e dá suporte à inicialização medida e à integridade do código.

A atestação do modo de chave é a nova adição, substituindo o atestado baseado em AD (que ainda está presente, mas obsoleto do Windows Server 2019 em diante). O link a seguir contém as informações para configurar o nó do HGS (Serviço do Host Guardian) usando a atestação do modo de chave. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default O atestado do modo de chave é preferencial ou usado nos cenários em que o hardware do TPM está indisponível para uso. É mais fácil de configurar, mas novamente vem com um conjunto de riscos de segurança, pois não envolve raiz de confiança do hardware.

Recurso de backup do HGS

Como o cluster do HGS é uma parte essencial da solução de VM blindada, a Microsoft forneceu um aprimoramento para incorporar facilmente um backup para as URLs do HGS para que, mesmo que o servidor HGS principal não responda, os hosts protegidos do Hyper-V possam atestar e iniciar as VMs blindadas sem nenhum tempo de inatividade. Isso exige que dois servidores HGS sejam configurados, com as VMs atestadas independentemente com ambos os servidores durante a implementação. Os comandos a seguir são usados para permitir que as VMs sejam atestadas por ambos os clusters do HGS.

 

# Substitua https://hgs.primary.com e https://hgs.backup.com por seus próprios protocolos e nomes de domínio

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Para que o host do Hyper-V passe o atestado com os servidores primário e de restauração, você precisará garantir que suas informações de atestado estão atualizadas com os dois clusters do HGS.

Modo off-line

Esse é novamente um modo especial introduzido pela Microsoft que permite que as VMs blindadas liguem mesmo quando o nó do HGS estiver inacessível. Para ativar esse modo para as VMs, precisamos executar o seguinte comando no nó do HGS:

Set-HgsKeyProtectionConfiguration – AllowKeyMateCaching

Depois que isso for feito, precisamos reiniciar todas as máquinas virtuais para habilitar o protetor de chave em cache para as máquinas virtuais.

Nota:  Qualquer alteração de configuração de segurança na máquina local fará com que esse modo off-line se torne inválido. As VMs precisarão atestar com o servidor HGS antes de ligar o modo off-line novamente.

VM blindada do Linux

A Microsoft também ampliou o suporte para hospedar as VMs que têm Linux como o sistema operacional convidado. Para obter mais detalhes sobre qual versão e o sistema operacional podem ser usados, consulte o link a seguir.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Diretrizes importantes

Há algumas diretrizes importantes a serem seguidas quando estamos implementando VMs blindadas:

  1. Ao realizar o upgrade do Windows Server 2016 para o Windows Server 2019, precisamos limpar todas as configurações de segurança e aplicá-las novamente após o upgrade no HGS e nos hosts protegidos para que a solução funcione perfeitamente.
  2. Os discos de modelo só podem ser usados com o processo de provisionamento de VM protegido. A tentativa de inicializar uma VM regular (sem proteção) usando um disco de modelo provavelmente resultará em um erro stop (tela azul) e não será compatível.

Suporte DELL

Todas as opções do WS2016 e 2019 são compatíveis com os sistemas Dell PowerEdge 13 e 14G. Para a segurança mais rigorosa, é recomendável usar o atestado baseado em TPM juntamente com um TPM 2.0.


Este blog foi escrito pelos engenheiros da DELL Pavan Backup, Vinay Patkar e Shubhra Rana

원인

 

해결

 
문서 속성
문서 번호: 000175495
문서 유형: Solution
마지막 수정 시간: 19 7월 2024
버전:  6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.