之前介绍了新建一台受保护的虚拟机,那么对于目前已经在使用的非受保护的虚拟机是否也可以进行保护和防护起来呢?当然是可以的,但防护现有虚拟机是对现有虚拟机有要求的:

https://docs.microsoft.com/zh-cn/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-vm-shielding-helper-vhd

  • 来宾操作系统是Windows Server 2012,2012 R2,2016或半年度频道发布。现有的Linux VM无法转换为受保护的VM。

  • VM是第2代VM(UEFI固件)

  • VM不为其操作系统卷使用差异磁盘。

首先我在SCVMM2016上创建一台传统不受保护的虚拟机WinSrv2012R2

clip_image001

待会就会把这台作为现有的VM来进行防护

clip_image002

桌面放一个TEST文本,记录一些内容用作测试,开启远程桌面以及防火墙远程桌面的端口

clip_image003

接下来准备防护帮助VHD文件

按照传统的方式利用空白磁盘安装一台Windows Server 2016的系统shieldingHelper,此VM不受防护,必须运行具有桌面体验的服务器核心或服务器

备注:防护帮助VHD文件不能与HGS的模板磁盘有任何关联

clip_image004

clip_image005

选择系统版本

clip_image006

安装好以后关闭该虚拟机

clip_image007

从Hyper-V01服务器上把该虚拟机的VHDX文件拷贝到SCVMM2016服务器的C盘根目录下

clip_image008

在SCVMM2016上用Powershell执行

Initialize-VMShieldingHelperVHD -Path 'C:\shieldingHelper.vhdx'

clip_image009

然后就可以删除shieldinghelper虚拟机了

clip_image010

接着把C:\shieldingHelper.vhdx剪切到VMM库的VHDs文件夹里

clip_image011

设置该vhdx的操作系统和虚拟化平台

clip_image012

在主机保护者服务设置中的防护帮助程序VHD指定ShieldingHelper.vhdx文件

clip_image013

接下来在SCVMM2016创建受保护的PDK数据文件,同样的创建一个仅加密的,一个既加密又防护的PDK文件

clip_image014

选择所有者和保护者(监护域(人))

clip_image015

添加rdpCert.pfx文件

clip_image016

生成

clip_image017

关闭

clip_image018

接着再创建一个对现有VM仅加密保护的PDK数据文件

clip_image019

选择所有者和保护者(监护域(人))

clip_image020

添加rdpCert.pfx文件

clip_image021

生成

clip_image022

关闭

clip_image023

导入这2个PDK数据文件进VM防护数据里

clip_image024

接下来把传统的WinSrv2012R2虚拟机关闭,然后右键选择防护(只有关机状态下才能看到防护选项)

注意:在做之前一定要确保该虚拟机的远程桌面端口和选项是打开的,否则转换后就无法连接上去了哟

clip_image025

选择防护的PDK文件,是仅加密还是加密和防护,这里我选择ShiledOldVM

clip_image026

选择后确定就开始作业了

clip_image027

完成作业,成功

clip_image028

看看虚拟机的配置已经开启了加密支持和防护

clip_image029

启动看看系统里,原来这台可以在控制台看状态,现在一样看不了了

clip_image030

远程桌面连上去看该系统,C盘被加密了,桌面的TEST文档依然存在,数据依然在

clip_image031

OK,到这里就完成了对现有或者以前的系统进行加密且保护了。