受防护的虚拟机是由 Windows 服务器2016中 Microsoft 引入的唯一安全功能,已在 Windows 服务器2019版本中经历了大量增强。该博客主要是为了了解本功能的改进。
有关该功能的基本介绍和部署的详细步骤,请参阅以下链接:
证书方式
此功能最初支持两种证明模式-基于 Active Directory 的认证和基于 TPM 的认证。基于 TPM 的证明提供增强的安全保护,因为它使用 TPM 作为信任的硬件根目录,并且支持测量的引导和代码完整性。
密钥模式证明是新添加的基于 supplanting AD 的证明(它仍然存在,但弃用于从 Windows 服务器2019开始)。以下链接包含使用密钥模式证明设置 HGS (主机监护服务)节点的信息。
HGS 备份功能
由于 HGS 群集是受防护的虚拟机解决方案中的一个关键部分,Microsoft 提供了一项增强功能,可轻松地合并 HGS Url 的备份,因此即使主 HGS 服务器无响应,Hyper-V 受保护的主机都能证明并启动受防护的虚拟机,不会出现任何停机。这需要设置两个 HGS 服务器,在部署过程中,虚拟机独立 attested 两个服务器。以下命令用于启用两个 HGS 群集 attested 的虚拟机。
# 使用您自己的域名和协议替换 https://hgs.primary.com 和 https://hgs.backup.com
Set-HgsClientConfiguration-KeyProtectionServerUrl ' https://hgs.primary.com/KeyProtection '-AttestationServerUrl ' https://hgs.primary.com/Attestation '-FallbackKeyProtectionServerUrl ' https://hgs.backup.com/KeyProtection '-FallbackAttestationServerUrl "https://hgs.backup.com/Attestation"为了让 Hyper-V 主机通过主服务器和备用服务器传递证明,您需要确保您的证明信息与两个 HGS 群集都是最新的。
离线模式
这将再次成为 Microsoft 引入的特殊模式,即使在 HGS 节点无法访问时,也允许受防护的虚拟机开启。要为虚拟机启用此模式,我们需要在 HGS 节点上运行以下命令:
设置-HgsKeyProtectionConfiguration – AllowKeyMaterialCaching
完成此操作后,我们需要重新启动所有虚拟机以启用虚拟机的可缓存密钥保护程序。
注:本地计算机上的任何安全配置更改都将导致此离线模式变为无效。在重新打开离线模式之前,虚拟机将需要通过 HGS 服务器证明。
Linux 防护虚拟机
Microsoft 还扩展了对承载 Linux 为来宾操作系统的虚拟机的支持。有关可使用操作系统风格和版本的更多详细信息,请检查以下链接。
重要原则
在部署受防护的 Vm 时,请遵循以下重要原则:
在执行从 Windows 服务器2016到 Windows Server 2019 的升级时,我们需要清除所有安全配置,并在升级到 HGS 和受保护的主机后再次应用它们,以便解决方案无缝运行。
模板磁盘只能与安全受防护虚拟机资源调配进程配合使用。尝试使用模板磁盘引导常规(非屏蔽)虚拟机可能会导致停止错误(蓝屏)且不受支持。
Dell PowerEdge 13 & 14G 系统上支持 ROK-MEDIA-HOST-VIRTUAL-MACHINE 和2019中的所有选项。为获得最严格的安全性,建议使用基于 TPM 的证明以及 TPM 2.0。
本博客由 DELL 工程师 Pavan Kumar、Vinay Patkar 和 Shubhra Rana 编写
