메인 콘텐츠로 이동
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스

Windows Server 2019'da Korumalı Sanal Makine Geliştirmeleri

요약: Korumalı VM İyileştirmeleri

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.

증상


Korumalı VM, Microsoft tarafından Windows Server 2016'da tanıtilen benzersiz bir güvenlik özelliğidir ve Windows Server 2019 sürümünde çok sayıda geliştirme gerçekleştirmektedir. Bu blog temel olarak özellikte iyileştirmeler olduğunu ifade ediyor.

Bu özellige temel giriş ve dağıtıma ilişkin ayrıntılı adımlar için lütfen aşağıdaki bağlantılara başvurun:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Station Modları

Bu özellik başlangıçta iki kez desteklemektedir: Active Directory tabanlı kimlik doğrulanması ve TPM tabanlı kimlik doğrulanması. TPM tabanlı sertifika, donanım güven kökü olarak TPM'yi kullandığı ve ölçülen önyükleme ve kod bütünlüğünü desteklediğinden gelişmiş güvenlik korumaları sağlar.

Anahtar modu doğrulaması, AD tabanlı onay ekini ekleyen (hala mevcut olan ancak Windows Server 2019'dan itibaren kullanımdan kaldıran) yeni eklemedir. Aşağıdaki bağlantı, Anahtar Modu Onayını kullanarak HGS (Ana Bilgisayar Koruyucu Hizmeti) düğümünü ayarlamak için bilgiler içerir. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default TPM donanımı kullanılamadığında, senaryolarda anahtar modu doğrulama tercih edilir veya kullanılır. Yapılandırmak daha kolaydır ancak donanım güven kaynağına sahip olmadığı için güvenlik risklerinin bir kümesiyle birlikte gelir.

HGS Yedekleme özelliği

HGS kümesi, korumalı VM çözümünde kritik bir parça olduğundan Microsoft, birincil HGS sunucusu yanıt vermese bile Hyper-V korumalı ana bilgisayarların herhangi bir kesinti süresi olmadan korumalı VM'leri test etmek ve başlatılabilmesi için HGS URL'leri için kolayca bir yedekleme dahil etmek üzere bir geliştirme sağlanmıştır. Bu, vm'lerin dağıtım sırasında her iki sunucuyla da bağımsız olarak test edildiklerinden iki HGS sunucusu kurulumu gerektirir. Aşağıdaki komutlar, VM'lerin her iki HGS kümesi tarafından test edilip test edilemesini etkinleştirmek için kullanılır.

 

# Https://hgs.primary.com ve https://hgs.backup.com etki alanı adlarınızı ve protokollerinizi değiştirin

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Hyper-V ana bilgisayarının hem birincil hem de geri dönüş sunucularla doğrulamayı başarılı bir şekilde gerçekleştiremesi için her iki HGS kümesinde de doğrulama bilginizin güncel olduğundan emin olun.

Çevrimdışı Mod

Bu, Microsoft tarafından tanıtıldığında, HGS düğümü erişilemez olduğunda bile Korumalı VM'lerin açılmasına olanak sağlayan özel bir moddur. VM'ler için bu modu etkinleştirmek için HGS düğümünde aşağıdaki komutu çalıştırması gerekir:

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching (Set-HgsKeyProtectionConfiguration –AllowKeyMalrialCaching)

Bu işlem tamamlandıktan sonra, Sanal Makineler için önbelleğe alınmış anahtar koruyucuyu etkinleştirmek üzere tüm Sanal makineleri yeniden başlatmamız gerekir.

Not:  Yerel makinedeki tüm güvenlik yapılandırma değişiklikleri bu çevrimdışı modun geçersiz olmasına neden olur. Sanal disklerin, çevrimdışı modu yeniden açmadan önce HGS sunucusuyla test olması gerekir.

Linux Korumalı VM

Microsoft ayrıca Konuk İşletim Sistemi olarak Linux'a sahip VM'leri barındırma desteği de uzatıldı. İşletim sistemi tadının ve sürümünün nasıl kullanılabilir olduğu hakkında daha fazla bilgi için lütfen aşağıdaki bağlantıyı kontrol edin.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Önemli Yönergeler

Korumalı VM'leri dağıtırken izlenmesi gereken birkaç önemli kılavuz vardır:

  1. Windows Server 2016'dan Windows Server 2019'a yükseltme işlemi gerçekleştirirken çözümün sorunsuz çalışması için tüm güvenlik yapılandırmalarını temizlemeli ve HGS'deki yükseltmeden sonra bunları tekrar uygulamak gerekir.
  2. Şablon diskleri yalnızca güvenli korumalı VM sağlama işlemiyle kullanılabilir. Şablon disk kullanarak normal (önyüklenmemiş) bir VM'yi önyüklemeye çalışmanız büyük olasılıkla durma hatasına (mavi ekran) neden olur ve desteklenmez.

DELL desteği

WS2016 ve 2019'dan tüm seçenekler Dell PowerEdge 13 ve 14G sistemlerinde desteklenir. Çoğu sıkı güvenlik için TPM 2.0 ile birlikte TPM tabanlı birstation kullanılması önerilir.


Bu blog, DELL Mühendisleri Döşemean Vinay Patkar ve Shubhra Rana tarafından yazılmıştır

원인

 

해결

 
문서 속성
문서 번호: 000175495
문서 유형: Solution
마지막 수정 시간: 19 7월 2024
버전:  6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.