之前介绍了新建一台受保护的虚拟机,那么对于目前已经在使用的非受保护的虚拟机是否也可以进行保护和防护起来呢?当然是可以的,但防护现有虚拟机是对现有虚拟机有要求的: https://docs.microsoft.com/zh-cn/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-vm-shielding-helper-
打开SCVMM控制台,从库选项卡里导入防护数据,就是之前创建好的2个PDK文件 定义好区别的名称 导入完毕 确定每一个VM防护文件可以看到所有者和保护者(监护域(人)) 创建受保护的虚拟机了 选择之前做好的虚拟机模板 定义新虚拟机的名称 定义新虚拟机的硬件参数 设置好新虚拟机的计算机名 选择防护级别是仅加密还是加密又防护,这里是加密又防护 指定好后,下一步 下一步 下一步
运行受保护的数据文件向导创建屏蔽数据(PDK)文件。在这里需要将添加RDP证书,无人值守文件,卷签名目录,所有者监护域(人)以及下载的监护域(人)元数据。 将之前申请好的rdpCert.pfx文件拷贝到SCVMM2016服务器C盘根目录下 在SCVMM2016服务器上,打开防护数据文件向导 用于受防护的模板的防护数据:用于从受保护的模板创建新的受保护的VM,可以是加密的也可以是既加密又防护的。
受保护的数据文件(PDK)还包含有关使用者信任的模板磁盘的信息。使用者以卷签名目录(VSC)文件的形式从可信模板磁盘获取磁盘签名。然后在部署新VM时验证这些签名。如果尝试与VM一起部署的模板磁盘时受保护的数据文件中的任何签名都不匹配(即:它已被修改或与不同的潜在恶意磁盘交换),则配置过程将失败。 在SCVMM服务器上使用SCVMM Powershell来获取VSC 执行 $disk = Get-
由于VMM中已签名的模板磁盘(比如EncryptionWinSrv2012R2.vhdx)是通用的,因此需要提供应答文件在配置过程中个性化受保护的VM。应答文件(通常称为无人值守文件)可以将VM配置为其预期角色 - 也就是说,它可以安装Windows功能,注册之前创建的RDP证书(rdpCert.pfx),以及执行其他自定义操作。它还将提供Windows安装所需的信息,包括默认管理员密码和产品
由于使用者只能使用远程桌面连接或其他远程管理工具连接到屏蔽虚拟机,因此确保使用者可以验证他们是否连接到正确的虚拟机目标,即没有“中间人”或 “拦截连接” 验证您是否正在连接到目标服务器的一种方法是安装和配置远程桌面服务的证书,以便在您启动连接时显示。连接到服务器的客户端计算机将检查它是否信任证书,如果不信任则显示警告。 选择要包含在受保护的数据文件(PDK)中的RDP证书时,请务必使用通配符证书。
首先也在SCVMM 2016服务器安装Guarded Fabric Tools PowerShell模块 Install-Module GuardedFabricTools -Repository PSGallery -MinimumVersion 1.0.0 接下来继续配置SCVMM 2016服务器 配置全局HGS设置 在相应字段中输入证明和密钥保护 URL。 此时不需要配置代码完整性策略
Hyper-V第二代虚拟机支持哪些系统可以参看: https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/plan/should-i-create-a-generation-1-or-2-virtual-machine-in-hyper-v 受保护的虚拟机主要有2部分构成: VHDx通过“模板磁盘向导”将进行签名
配置受保护的Hyper-V主机也主要是三种方式,一种是基于TPM的可信证明,一种是对于基于主机密钥的证明(仅支持Windows Server 2019),一种是基于AD的信任证明(在Windows Server 2019中淡化不再推荐和支持) 在这里我准备了一台带TPM2.0的Hyper-V主机 初始部署需要一台Hyper-V主机。要测试屏蔽虚拟机的Hyper-V实时迁移,您必须至少拥有两台主机
在之前介绍了Windows Server 2016的新功能受保护的Hyper-V环境和受保护的虚拟机,对工作机制和如何保护进行了阐述,下面就开始正式给大家介绍整个部署配置的过程,当然涉及的知识点很多,我不能面面俱到给大家讲解,调核心的步骤给大家演示即可,这里模拟生产环境是basehome.com.cn域,具体的拓扑结构如下: 部署企业内部CA服务器,这里我用DC安装CA角色 添加角色服务 指
无论是企业内部还是托管在IDC或云服务商的虚拟机,如何保障运行的环境是安全的,虚拟机是安全的(虚拟机文件里的数据以及看到的监视器画面)成为此篇文章和大家探讨研究的。 比如您正在运行的虚拟机,管理员是可以通过虚拟化平台通过监视器看到您的系统并操作的,比如关机,开启,重启等等操作,其次如果有别有用心的管理员或者不法分子在拿到您虚拟机的虚拟磁盘文件后拷贝到自己的电脑展开查看等,那么虚拟机里的数据一览无遗
当我们重启电脑忘记了开机的PIN码时怎么办呢?只要是加域的客户端,自然我们的恢复密钥存放在MBAM数据库中,我们有2种方式进行恢复,一种是自助查询门户,一种是后台管理员门户。自然面向的对象不样了,这里我先给大家介绍用户自助查询么户吧当我们输入错密码后会出现:提示按Esc进行恢复选项出现了一组恢复密钥ID,我们就可以另外找台可以到桌面用的同事电脑上进行自助查询恢复密钥吧(如果身边没有可用的电脑可以电
根据部署 Microsoft BitLocker 管理和监控客户端软件时,您可以启用 BitLocker 驱动器加密计算机上您的组织中最终用户获得的计算机之前或之后通过配置组策略并使用企业软件部署系统部署 MBAM 客户端软件。将 MBAM 客户端部署到台式机或便携式计算机配置组策略设置后,您可以使用企业软件部署系统产品如 Microsoft System Center 2012 配置管理器或 A
若要部署 MBAM,您必须设置定义 MBAM BitLocker 驱动器加密的实现设置的组策略设置。若要完成此任务,必须将 MBAM 组策略模板复制到服务器或工作站上可以运行组策略管理控制台 (GPMC) 或高级组策略管理 (AGPM),然后编辑设置。重要 ︰不要更改的BitLocker 驱动器加密节点中的组策略设置或 MBAM 将无法正常运行。MDOP MBAM (BitLocker 管理)节点
接下来是配置WEB应用程序,在MBAM服务器上添加强烈推荐使用证书可以编辑写出自己公司特色的帮助提示信息OK。下面就是验证一下我们的自助门户了在2.5SP1之前的版本呢,如果客户端无法上网,那么打开自助门户是会报错的,原因为无法下载到所需的JavaScript文件,在2.5SP1版本中,这些文件已经内置,所以不存在这个问题,那么在2.5sp1之前的版本如果您想内置,那么需要手动处理,把附件的文件复
接下来就是配置我们的数据库和报表了,在MBAMSQL服务器上安装
那么下面我们开始部署MBAM,MBAMSQL我已经安装就绪了MBAM管理和监控服务器首先要安装IIS:在MBAM服务器再安装上ADDS管理控制台和组策略方便后续的组策略配置接下来需要安装ASP.NET MVC 4.0https://www.microsoft.com/en-us/download/details.aspx?id=30683下面需要来配置安全证书,我申请了一个企业内部证书然后导入到M
部署独立模式架构,我准备了5台计算机,分别是DC、MBAMSQL、MBAM、2台Win8.1DC我就不多说了,域控角色,当然我的DC上也承载了我的CA角色第一部,我们需要在AD中创建如下用户和组:MBAMSQL是我的数据库角色,数据库我采用的是SQL2012,但需要注意的是必须安装采用 SQL_Latin1_General_CP1_CI_AS 排序规则,MBAMSQL所需权限:? SQL Serv
在之前的文章里,我给大家分享了《Bitlocker企业安全加密管理系列-1》和《Bitlocker企业安全加密管理系列-2》在这里我就不再给大家缀诉什么是MBAM了,在这里我主要给大家分享如何部署微软企业级加解密解决方案MBAM系列文章,在这里以MBAM2.5SP1为例,今天先给大家分享下架构: MBAM部署的模式有2种,一种是独立模式,一种是SCCM集成模式。2种架构图如下: 独立模式
本系列我先给大家介绍做出来的效果是怎样的吧,当我们的加域客户端安装了MBAM代理后,我们可以很好的利用组策略对客户端下发安全策略,例如强制设置最后必须加密磁盘的期限:当最后的期限到了后就必须强制加密了,否则这个框是不会消失的,哪怕重启这个提示框也会再次出现,我们还可以在下发策略的时候为用户启用密码复杂度以及密码使用期限,嘿嘿:当然加密的恢复密钥是保存在MBAM的数据中的,所以用户有没保存无所谓了,
对于企业来讲,设备值钱吗?值钱是肯定的,但有比设备更值钱的吗?当然那就是在设备上存储的数据了。在当今社会,我们国家提倡大众创业,万众创新的大环境下,当我们在计算机上创新您的高科技产品或者设计时,您是否担心这些设计的窃取或者遗失呢?如何保障这些数据的安全呢?接下来在我的《Bitlocker企业安全加密管理系列》中,我将带大家重新认识一下变化一新的企业安全加密是如何为您的数据安全保驾护航的。我们的系列
Microsoft Advanced Threat Analytics (ATA) 是微软新推出的威胁分析产品,主要对在后台运行,并自动分析,学习,并确定在网络上的正常行为,提醒您注意可能出现的安全问题
安全性是大家最关心的话题之一,尤其是企业用户。通过Windows 7,微软提供内置式安全功能,例如BitLocker,这是一种完全加密操作系统的功能,可帮助保护企业机构中的PC。 MBAM是MDOP 2011 R2中的新组件,并且在Windows 7中BitLocker功能的基础之上进行构建,并帮助简化BitLocker 配置和部署,降低成本的同时改进BitLocker的法规遵从和报告功能。
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
