跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

Améliorations apportées aux machines virtuelles protégées dans Windows Server 2019

摘要: Améliorations apportées aux machines virtuelles avec protection

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

症状


La machine virtuelle blindée est une fonctionnalité de sécurité unique introduite par Microsoft dans Windows Server 2016 et qui a fait l’objet de nombreuses améliorations dans l’édition Windows Server 2019. Ce blog vise principalement à souligner les améliorations apportées à la fonctionnalité.

Pour une présentation de base de la fonctionnalité et des étapes détaillées du déploiement, veuillez vous reporter aux liens suivants:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Attestation Modes

La fonctionnalité prenait initialement en charge deux modes d’attestation: l’attestation basée sur Active Directory et l’attestation basée sur le module TPM. L’attestation basée sur le module TPM fournit des protections de sécurité améliorées, car elle utilise le module TPM comme racine de confiance matérielle et prend en charge l’intégrité mesurée du démarrage et du code.

L’attestation du mode clé est le nouvel ajout, qui remplace l’attestation basée sur AD (qui est toujours présente, mais obsolète à partir de Windows Server 2019). Le lien suivant contient les informations permettant de configurer le nœud HGS (Host Guardian Service) à l’aide de Key Mode Attestation. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default L’attestation du mode clé est recommandée ou utilisée dans les scénarios où le matériel TPM n’est pas disponible pour l’utilisation. Il est plus facile à configurer, mais encore une fois il est associé à un ensemble de risques de sécurité, car il n’implique pas la racine de confiance matérielle.

Fonctionnalité de sauvegarde HGS

Étant donné que le cluster HGS est un élément essentiel de la solution de machine virtuelle blindée, Microsoft a apporté une amélioration pour intégrer facilement une sauvegarde pour les URL HGS de sorte que, même si le serveur HGS principal ne répond pas, les hôtes protégés par Hyper-V sont en mesure d’attester et de lancer les machines virtuelles blindées sans arrêt de service. Pour cela, deux serveurs HGS doivent être configurés, les machines virtuelles étant attestées de manière indépendante auprès des deux serveurs lors du déploiement. Les commandes suivantes sont utilisées pour permettre aux machines virtuelles d’être attestées par les deux clusters HGS.

 

# Remplacez https://hgs.primary.com et https://hgs.backup.com par vos propres noms de domaine et protocoles

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Pour que l’hôte Hyper-V réussisse l’attestation avec les serveurs principal et de retour arrière, vous devez vous assurer que vos informations d’attestation sont à jour avec les deux clusters HGS.

Mode hors ligne

Il s’agit là encore d’un mode spécial introduit par Microsoft qui permet aux machines virtuelles blindées de s’activer même lorsque le nœud HGS est inaccessible. Pour activer ce mode pour les machines virtuelles, nous devons exécuter la commande suivante sur le nœud HGS:

Set-HgsKeyProtectionConfiguration– AllowKeyMaterialCaching

Une fois cette opération effectuée, nous devons redémarrer toutes les machines virtuelles pour activer le protecteur de clé mise en cache pour les machines virtuelles.

Remarque :  Toute modification de la configuration de sécurité sur la machine locale entraînera l’invalidation de ce mode hors ligne. Les machines virtuelles doivent attester auprès du serveur HGS avant de réactiver le mode hors ligne.

Machine virtuelle protégé par Linux

Microsoft a également étendu la prise en charge de l’hébergement des machines virtuelles ayant Linux en tant que système d’exploitation invité. Pour plus d’informations sur la version et la version du système d’exploitation à utiliser, veuillez consulter le lien suivant.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Consignes importantes

Il existe quelques consignes importantes à suivre lorsque nous déployons des machines virtuelles blindées:

  1. Lors de la mise à niveau de Windows Server 2016 vers Windows Server 2019, nous devons effacer toutes les configurations de sécurité et les appliquer à nouveau après la mise à niveau sur le HGS et les hôtes protégés pour que la solution fonctionne de manière transparente.
  2. Les disques de modèle ne peuvent être utilisés qu’avec le processus de provisionnement sécurisé des machines virtuelles protégées. Toute tentative de démarrage d’une machine virtuelle standard (non pare-brise) à l’aide d’un disque de modèle entraîne probablement une erreur d’arrêt (écran bleu) et n’est pas prise en charge.

Support DELL

Toutes les options des modèles WS2016 et 2019 sont prises en charge sur les systèmes Dell PowerEdge 13 et 14G. Pour des raisons de sécurité les plus strictes, il est recommandé d’utiliser l’attestation basée sur le module TPM avec un module TPM 2.0.


Ce blog a été rédigé par les ingénieurs DELL Pcré Kumar, Vinay Patkar et Shubhra Rana

原因

 

解决方案

 
文章属性
文章编号: 000175495
文章类型: Solution
上次修改时间: 19 7月 2024
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。