Microsoft Windows：在 Windows Server 2019 中有屏蔽 VM 的增強功能

受防護的虛擬機器是 Microsoft 在 Windows Server 2016 中推出的獨特安全性功能。它在Windows Server 2019中經歷了許多增強功能。本文討論該功能的改進。有關該功能的介紹和部署的詳細步驟，請參閱以下連結：  

證明模式

此功能最初支援兩種證明模式：Active Directory 型證明和 TPM 型證明。TPM 式證明使用可信賴平台模組 （TPM） 作為硬體根信任，因此提供更為安全保護。它支援測量的啟動和代碼完整性。金鑰模式證明是一項新增功能，取代 AD 型證明，但從 Windows Server 2019 開始已淘汰。以下連結包含有關使用金鑰模式證明設置主機保護者服務 （HGS） 節點的資訊：
https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default
當 TPM 硬體不可用時，首選密鑰模式證明。它較易於配置，但會帶來一些安全風險，因為它不涉及硬體根信任。為了獲得最嚴格的安全性，建議使用基於 TPM 的證明和 TPM 2.0 晶片。
 

HGS 備份功能

由於 HGS 群集是受防護的 VM 解決方案的關鍵部分，因此 Microsoft 提供了合併第二組 HGS URL 的增強功能。如果主 HGS 伺服器無回應，則 Hyper-V 受保護的主機可以證明並啟動受防護的 VM，而不會出現任何停機時間。這需要設置兩個 HGS 伺服器，並在部署期間向這兩個伺服器獨立證明 VM。以下命令用於使 VM 能夠由兩個 HGS 群集進行證明。
 

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

要使 Hyper-V 主機通過主伺服器和回退伺服器的證明，兩個 HGS 群集上的證明信息必須是最新的。
 

離線模式

離線模式允許受防護的 VM 啟動，即使無法訪問 HGS 群集也是如此。若要啟用此模式，請在 HGS 節點上運行以下命令：

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching:$true

執行命令後，請重新啟動所有 VM 以啟用可快取的金鑰保護程式。  

Linux 受保護的 VM

Microsoft 支援將 Linux 作為客體作業系統執行的受防護 VM。有關可以使用哪些 Linux 發行版和版本的更多詳細資訊，請參閱以下連結：
https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

重要準則

部署受防護的 VM 時，需要遵循一些重要準則：

1. 從 Windows Server 2016 升級至 Windows Server 2019 時，請清除所有安全性組態。升級后，在 HGS 和受保護的主機上再次應用它們，以使解決方案完美運行。
2. 範本磁碟只能與安全防護的 VM 預配過程一起使用。嘗試使用範本磁碟啟動一般 （未受防護） 虛擬機器可能會導致停止錯誤 （藍色畫面），且此錯誤不受支援。