Microsoft Windows：Windows Server 2019 中的受防护的 VM 增强功能

受防护的虚拟机是 Microsoft 在 Windows Server 2016 中引入的独特安全功能。它在 Windows Server 2019 中进行了大量增强。本文讨论对该功能的改进。有关该功能的简介和详细的部署步骤，请参阅以下链接：  

证明模式

该功能最初支持两种证明模式：基于 Active Directory 的证明和基于 TPM 的证明。基于 TPM 的认证使用受信任的平台模块 （TPM） 作为硬件信任根，因此可提供增强的安全保护。它支持测量启动和代码完整性。密钥模式证明是一项新增功能，取代了基于 AD 的证明，后者仍然存在，但从 Windows Server 2019 开始已弃用。以下链接包含有关使用密钥模式证明设置主机保护者服务 （HGS） 节点的信息：
https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default
当 TPM 硬件不可用时，首选密钥模式证明。它更易于配置，但由于不涉及硬件信任根，因此存在一些安全风险。为了实现最严格的安全性，建议使用基于 TPM 的认证以及 TPM 2.0 芯片。
 

HGS 备份功能

由于 HGS 群集是受防护的 VM 解决方案的关键部分，因此 Microsoft 提供了增强功能以合并第二组 HGS URL。如果主 HGS 服务器无响应，受 Hyper-V 保护的主机可以证明并启动受防护的 VM，而不会造成任何停机。这需要设置两台 HGS 服务器，并在部署期间使用两台服务器独立地证明 VM。以下命令用于使 VM 能够由两个 HGS 群集证明。
 

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

要使 Hyper-V 主机通过主服务器和回退服务器的证明，两个 HGS 群集上的证明信息必须是最新的。
 

离线模式

脱机模式允许受防护的 VM 启动，即使 HGS 群集无法访问也是如此。要启用此模式，请在 HGS 节点上运行以下命令：

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching:$true

运行该命令后，重新启动所有虚拟机以启用可缓存密钥保护程序。  

Linux 受防护虚拟机

Microsoft 支持将运行 Linux 作为来宾操作系统的受防护虚拟机。有关可以使用哪些 Linux 发行版和版本的更多详细信息，请参阅以下链接：
https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

重要准则

部署受防护的 VM 时，需要遵循一些重要准则：There are a few important guidelines to be follow when deploying shielded VMs：

1. 从 Windows Server 2016 升级到 Windows Server 2019 时，清除所有安全配置。在 HGS 和受保护的主机上升级后再次应用它们，以使解决方案完美运行。
2. 模板磁盘只能与安全防护虚拟机资源调配过程配合使用。尝试使用模板磁盘启动常规（非屏蔽）虚拟机可能会导致停止错误（蓝屏），并且不受支持。