跳转至主要内容
  • 快速、轻松地下订单
  • 查看订单并跟踪您的发货状态
  • 创建并访问您的产品列表

「Windows サーバー2019でのシールドされる VM の機能拡張」

摘要: シールドされたVMの機能拡張

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。

症状


シールドされたVMは、Windows Server 2016でMicrosoftによって導入された独自のセキュリティ機能であり、Windows Server 2019エディションで多くの機能拡張が行われ、このブログは主に、この機能の改善点を説明することを目的としています。

この機能の基本的な概要と導入の詳細な手順については、次のリンクを参照してください。

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

認証モード

この機能は当初、Active Directoryベースの認証とTPMベースの証明という2つの認証モードをサポートしました。TPMベースの証明は、ハードウェアルートオブトラストとしてTPMを使用し、測定されたブートとコードの整合性をサポートするため、強化されたセキュリティ保護を提供します。

キー モードの証明は、ADベースのアテステーションに代わられた新しい追加です(現在は存在しますが、Windows Server 2019以降では廃止されています)。次のリンクには、キー モード認証を使用して HGS(Host Guardian サービス)ノードをセットアップするための情報が含まれています。 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-defaultTPMハードウェアを使用できない場合は、キー モードの証明が推奨されるか、使用されます。構成は簡単ですが、ハードウェアルートオブトラストを伴わない一連のセキュリティリスクが伴います。

HGSバックアップ機能

HGSクラスターはシールドされたVMソリューションの重要な要素であるため、Microsoftは、HGS URLのバックアップを簡単に組み込む機能拡張を提供しています。これにより、プライマリHGSサーバーが応答しない場合でも、Hyper-V保護されたホストはダウンタイムなしでシールドされたVMを証明して起動することができます。これには、2台の HGS サーバをセットアップする必要があります。VM は、導入時に両方のサーバで個別に証明されます。次のコマンドを使用して、両方の HGS クラスタによって VM を証明できるようにします。

 

# https://hgs.primary.com と https://hgs.backup.com を独自のドメイン名とプロトコルに置き換えます

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Hyper-Vホストがプライマリ サーバとフォールバック サーバの両方で認証を渡すには、認証情報が両方の HGS クラスタで最新であることを確認する必要があります。

オフライン モード

これはMicrosoftによって導入された特別なモードで、HGSノードにアクセスできない場合でも、シールドされたVMをオンにすることができます。VMでこのモードを有効にするには、HGSノードで次のコマンドを実行する必要があります。

Set-HgsKeyProtectionConfiguration –AllowKey、お客様の

これが完了したら、すべての仮想マシンを再起動して、仮想マシンのキャッシュ可能なキー保護機能を有効にする必要があります。

注:  ローカル マシンでセキュリティ構成を変更すると、このオフライン モードが無効になります。VMは、オフライン モードを再度オンにする前に、HGSサーバーで証明する必要があります。

LinuxシールドVM

Microsoftは、LinuxをゲストOSとして持つVMをホストするためのサポートも拡張しました。使用できるOSフレーバーとバージョンの詳細については、次のリンクを参照してください。

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

重要なガイドライン

シールドされたVMを導入する際には、次の重要なガイドラインに従う必要があります。

  1. Windows Server 2016からWindows Server 2019へのアップグレードを実行する際には、すべてのセキュリティ構成をクリアし、HGSおよび保護されたホストでアップグレード後に再度適用して、ソリューションをシームレスに動作させる必要があります。
  2. テンプレート ディスクは、セキュア シールドされたVMプロビジョニング プロセスでのみ使用できます。テンプレート ディスクを使用して通常の(シールドされていない)VMを起動しようとすると、STOPエラー(ブルー スクリーン)が発生する可能性があり、サポートされていません。

Dellサポート

WS2016および2019のすべてのオプションは、Dell PowerEdge 13および14Gシステムでサポートされています。最も厳格なセキュリティを確保するために、TPMベースの認証とTPM 2.0を使用することをお勧めします。


このブログは、デルのエンジニア、Pavan Kumar、Vinay Patkar、Shubhra Ranaによって作成されています。

原因

 

解决方案

 
文章属性
文章编号: 000175495
文章类型: Solution
上次修改时间: 19 7月 2024
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。