메인 콘텐츠로 이동
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스

Beschermde VM-verbeteringen in Windows Server 2019

요약: Verbeterde afgeschermde VM

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.

증상


Shielded VM is een unieke beveiligingsfunctie die door Microsoft is geïntroduceerd in Windows Server 2016 en heeft veel verbeteringen ondergaan in de Windows Server 2019-editie. Deze blog is vooral gericht op het aanroepen van de verbeteringen in de functie.

Voor de basisintroductie van de functie en gedetailleerde stappen voor implementatie, raadpleegt u de volgende koppelingen:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Attestatiemodi

De functie ondersteunde in eerste instantie twee attestatiemodi: op Active Directory gebaseerde attestation en op TPM gebaseerde attestation. Op TPM gebaseerde attestatie biedt verbeterde beveiligingsbescherming omdat het gebruikmaakt van TPM als hardwarebasis voor vertrouwen en ondersteuning biedt voor gemeten opstart- en code-integriteit.

Attestation in de toetsmodus is de nieuwe toevoeging, waarbij op AD gebaseerde attestation wordt ondersteund (die nog steeds aanwezig is, maar vanaf Windows Server 2019 is verouderd). De volgende koppeling bevat de informatie voor het instellen van het HGS-knooppunt (Host Guardian Service) met behulp van Key Mode Attestation. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Attestation key mode heeft de voorkeur of wordt gebruikt in de scenario's waarin TPM-hardware niet beschikbaar is voor gebruik. Het is eenvoudiger te configureren, maar wordt opnieuw geleverd met een reeks beveiligingsrisico's, omdat het geen hardware root of trust vereist.

HGS back-upfunctie

Aangezien het HGS-cluster een kritiek onderdeel is in de afgeschermde VM-oplossing, heeft Microsoft een verbetering geboden om eenvoudig een back-up voor de HGS URL's op te nemen, zodat de hyper-V-bewaakte hosts, zelfs als de primaire HGS-server niet reageert, de afgeschermde VM's zonder downtime kunnen attesteren en starten. Hiervoor moeten twee HGS-servers worden ingesteld, waarbij de VM's onafhankelijk van elkaar met beide servers worden bevestigd tijdens de implementatie. De volgende opdrachten worden gebruikt om ervoor te zorgen dat de VM's worden bevestigd door beide HGS-clusters.

 

# Vervang https://hgs.primary.com en https://hgs.backup.com door uw eigen domeinnamen en protocollen

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Om te zorgen dat de Hyper-V-host attestation kan doorgeven aan zowel de primaire als de fallback-servers, moet u ervoor zorgen dat uw attestation-informatie up-to-date is met beide HGS-clusters.

Offlinemodus

Dit is opnieuw een speciale modus die door Microsoft wordt geïntroduceerd, waardoor de afgeschermde VM's kunnen worden ingeschakeld, zelfs wanneer het HGS-knooppunt onbereikbaar is. Om deze modus voor de VM's in te schakelen, moeten we de volgende opdracht uitvoeren op het HGS knooppunt:

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching

Zodra dit is gebeurd, moeten we alle virtuele machines opnieuw opstarten om de cachesleutelbeveiliging voor de virtuele machines in te schakelen.

Opmerking:  Eventuele wijzigingen in de beveiligingsconfiguratie op de lokale computer zullen ervoor zorgen dat deze offlinemodus ongeldig wordt. De VM's moeten attesten met HGS-server voordat de offlinemodus weer wordt ingeschakeld.

Linux afgeschermde VM

Microsoft heeft ook de ondersteuning uitgebreid voor het hosten van VM's met Linux als gast-besturingssysteem. Raadpleeg de volgende koppeling voor meer informatie over welke versie en versie van het besturingssysteem kunnen worden gebruikt.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Belangrijke richtlijnen

Er zijn enkele belangrijke richtlijnen die moeten worden gevolgd bij de implementatie van afgeschermde VM's:

  1. Tijdens het uitvoeren van een upgrade van Windows Server 2016 naar Windows Server 2019, moeten we alle beveiligingsconfiguraties wissen en deze opnieuw toepassen na de upgrade op de HGS en de bewaakte hosts om de oplossing naadloos te laten werken.
  2. Sjabloonschijven kunnen alleen worden gebruikt met het beveiligde afgeschermde VM-provisioningproces. Als u probeert een normale (niet-afgeschermde) VM op te starten met behulp van een sjabloonschijf, zal dit waarschijnlijk resulteren in een stopfout (blauw scherm) en wordt deze niet ondersteund.

Dell support

Alle opties van WS2016 en 2019 worden ondersteund op Dell PowerEdge 13- en 14G-systemen. Voor de meest strikte beveiliging wordt het gebruik van een TPM-attest samen met een TPM 2.0 aanbevolen.


Deze blog is geschreven door DELL Engineers Pavan Kumar,Vinay Patkar en Shubcun Rana

원인

 

해결

 
문서 속성
문서 번호: 000175495
문서 유형: Solution
마지막 수정 시간: 19 7월 2024
버전:  6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.