메인 콘텐츠로 이동
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스

Mejoras de VM protegidas en Windows Server 2019

요약: Mejoras de VM blindadas

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.

증상


La VM blindada es una característica de seguridad única presentada por Microsoft en Windows Server 2016 y se ha sometido a muchas mejoras en la edición de Windows Server 2019. Este blog tiene como objetivo principal destacar las mejoras en la función.

Para obtener la introducción básica a la función y los pasos detallados para la implementación, consulte los siguientes enlaces:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Modos de certificación

Inicialmente, la función admitía dos modos de atestación: atestación basada en Active Directory y atestación basada en TPM. La certificación basada en TPM proporciona protecciones de seguridad mejoradas, ya que utiliza TPM como raíz de confianza de hardware y admite el arranque medido y la integridad del código.

La certificación del modo clave es la nueva incorporación, que sustituye la atestación basada en AD (que aún está presente, pero obsoleta desde Windows Server 2019 en adelante). El siguiente vínculo contiene información para configurar el nodo HGS (servicio De Host Guardian) mediante la certificación del modo clave. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default La atestación del modo clave se prefiere o se utiliza en situaciones en las que el hardware de TPM no está disponible para su uso. Es más fácil de configurar, pero de nuevo viene con un conjunto de riesgos de seguridad, ya que no implica raíz de confianza de hardware.

Función de respaldo de HGS

Dado que el clúster HGS es una pieza fundamental en la solución de VM blindada, Microsoft proporcionó una mejora para incorporar fácilmente un respaldo para las DIRECCIONES URL de HGS, de modo que incluso si el servidor HGS primario no responde, los hosts con protección de Hyper-V pueden certificar e iniciar las VM blindadas sin tiempo de inactividad. Esto requiere la configuración de dos servidores HGS, con las VM certificadas de manera independiente con ambos servidores durante la implementación. Los siguientes comandos se utilizan para permitir que ambas máquinas virtuales estén certificadas por ambos clústeres de HGS.

 

# Reemplace https://hgs.primary.com y https://hgs.backup.com con sus propios nombres de dominio y protocolos

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Para que el host de Hyper-V pase la atestación con los servidores primario y de reserva, deberá asegurarse de que la información de atestación esté actualizada con ambos clústeres HGS.

Modo offline

Nuevamente, este es un modo especial introducido por Microsoft que permite que las VM blindadas se enciendan incluso cuando no se pueda acceder al nodo HGS. Para habilitar este modo para las VM, debemos ejecutar el siguiente comando en el nodo HGS:

Set-HgsKeyProtectionConfiguration – AllowKeyMentalCaching

Una vez hecho esto, debemos reiniciar todas las máquinas virtuales para habilitar el protector de claves que se puede almacenar en caché para las máquinas virtuales.

Nota:  Cualquier cambio en la configuración de seguridad en la máquina local hará que este modo offline no sea válido. Las máquinas virtuales deberán certificar con el servidor HGS antes de volver a activar el modo offline.

VM blindada con Linux

Microsoft también extendió el soporte para alojar las MÁQUINAS virtuales que tienen Linux como so huésped. Para obtener más detalles sobre la versión y la versión del so que se pueden utilizar, consulte el siguiente enlace.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Pautas importantes

Hay algunas pautas importantes que se deben seguir cuando implementamos VM blindadas:

  1. Durante la actualización de Windows Server 2016 a Windows Server 2019, necesitamos borrar todas las configuraciones de seguridad y volver a aplicarlas después de la actualización en el HGS y los hosts protegido para que la solución funcione sin inconvenientes.
  2. Los discos de plantilla solo se pueden utilizar con el proceso de aprovisionamiento de VM protegido seguro. Intentar iniciar una VM regular (sin blindaje) mediante un disco de plantilla probablemente dará como resultado un error de detención (pantalla azul) y no es compatible.

Soporte de DELL

Todas las opciones de WS2016 y 2019 son compatibles con los sistemas Dell PowerEdge 13 y 14G. Para la seguridad más estricta, se recomienda el uso de la certificación basada en TPM junto con un TPM 2.0.


Este blog ha sido escrito por los ingenieros de DELL Pavan Kumar, Hastay Patkar y Shubhra Rana

원인

 

해결

 
문서 속성
문서 번호: 000175495
문서 유형: Solution
마지막 수정 시간: 19 7월 2024
버전:  6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.