메인 콘텐츠로 이동
  • 빠르고 간편하게 주문
  • 주문 보기 및 배송 상태 추적
  • 제품 목록을 생성 및 액세스

Улучшения экранированной виртуальной машины в Windows Server 2019

요약: Усовершенствования экранной виртуальной машины

이 문서는 다음에 적용됩니다. 이 문서는 다음에 적용되지 않습니다. 이 문서는 특정 제품과 관련이 없습니다. 모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.

증상


Экранная виртуальная машина — это уникальная функция безопасности, представленная Microsoft в Windows Server 2016 и внося множество улучшений в выпуск Windows Server 2019. В основном, этот блог направлен на то, чтобы прозябать об улучшениях этой функции.

Основные сведения о функции и подробные инструкции по развертыванию см. по следующим ссылкам:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Режимы аттестации

Изначально эта функция поддерживает два режима аттестации: аттестацию на основе Active Directory и аттестацию на основе TPM. Аттестация на основе TPM обеспечивает повышенную защиту безопасности, поскольку использует TPM в качестве аппаратного корня доверия и поддерживает измеряемую загрузку и целостность кода.

Аттестация в режиме ключа — это новое добавление, заменяемое аттестацией на основе AD (которое все еще присутствует, но не поддерживается с Windows Server 2019 и более поздних). Следующая ссылка содержит информацию о настройке узла HGS (Host Guardian Service) с помощью аттестации режима ключа. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default Аттестация в режиме ключа является предпочтительной или используется в сценариях, когда оборудование TPM недоступно для использования. Ее проще настроить, но это сопряжено с набором рисков безопасности, так как не предполагает аппаратного корня доверия.

Функция резервного копирования HGS

Поскольку кластер HGS является критически важным компонентом в экранируемом решении для ВМ, корпорация Microsoft предоставила усовершенствование для простоя включения резервного копирования URL-адресов HGS. Благодаря таким образом, даже если основной сервер HGS не отвечает, заблокированные хосты Hyper-V могут тестировать и запускать экранированные виртуальные машины без простоев. Для этого необходимо настроить два сервера HGS, при этом виртуальные машины независимо протестированные с обоими серверами во время развертывания. Для проверки виртуальных машин обоими кластерами HGS используются следующие команды.

 

# Замените https://hgs.primary.com и https://hgs.backup.com на собственные доменные имена и протоколы

Set-HgsClientConfiguration -KeyProtectionServerUrl "https://hgs.primary.com/KeyProtection" -AttestationServerUrl "https://hgs.primary.com/Attestation" -FallbackKeyProtectionServerUrl "https://hgs.backup.com/KeyProtection" -FallbackAttestationServerUrl "https://hgs.backup.com/Attestation"

 

Чтобы хост Hyper-V прошел аттестацию как с основными, так и с серверами резервного копирования, необходимо убедиться, что ваша информация о аттестации находится в актуальном состоянии с обоими кластерами HGS.

Автономный режим

Это также специальный режим, представленный корпорацией Microsoft, который позволяет включать экранированные виртуальные машины даже в том случае, если узел HGS недоступен. Чтобы включить этот режим для виртуальных машин, необходимо выполнить следующую команду на узле HGS:

Set-HgsKeyProtectionConfiguration — AllowKeyMaterialCaching

После этого необходимо перезапустить все виртуальные машины, чтобы включить защиту ключей кэш-памяти для виртуальных машин.

Примечание.  Любые изменения конфигурации безопасности на локальном компьютере приведут к тому, что этот автономный режим станет недействительным. Прежде чем снова включить автономный режим, виртуальным машинам необходимо выполнить проверку с помощью сервера HGS.

ВМ с экраном Linux

Корпорация Microsoft также расширяет поддержку размещения виртуальных машин с Ос Linux в качестве гостевой ОС. Для получения дополнительной информации о том, какой версию и версию ОС можно использовать, перейдите по следующей ссылке.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Важные рекомендации

При развертывании экранных виртуальных машин необходимо соблюдать несколько важных инструкций:

  1. При выполнении обновления с Windows Server 2016 до Windows Server 2019 нам необходимо очистить все конфигурации безопасности и применить их снова после модернизации в HGS и на серверах с безопасностью, чтобы решение смогло бесперебойно работать.
  2. Диски шаблонов можно использовать только с процессом выделения ресурсов безопасной защищенной виртуальной машины. Попытка загрузки обычной (незакрепливаемой) виртуальной машины с помощью диска шаблона, скорее всего, приведет к stop-ошибке (синий экран) и не будет поддерживается.

Поддержка Dell

Все варианты wS2016 и 2019 поддерживаются в системах Dell PowerEdge 13 и 14G. Для обеспечения самого строгого уровня безопасности рекомендуется использовать аттестацию на основе TPM вместе с TPM 2.0.


Этот блог был написан инженерами DELL Паваном Кумаром (Pavan Kumar),Вини Пакаром (Vinay Patkar) и Джабхра Рана (Bmbhra Rana)

원인

 

해결

 
문서 속성
문서 번호: 000175495
문서 유형: Solution
마지막 수정 시간: 19 7월 2024
버전:  6
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.