تنفيذ الجهاز الظاهري المحمي

  • 12 دقائق

بصفتك مسؤول Windows Server، تحتاج إلى التحقيق والتأكد من فهم الخطوات المتضمنة لإنشاء جهاز ظاهري محمي ونشره.

تنفيذ الأجهزة الظاهرية المحمية

فيما يلي الخطوات عالية المستوى اللازمة لتنفيذ الأجهزة الظاهرية المحمية. تتضمن الخطوات بعض الخطوات المتعلقة ب VMM.

المهمة 1: تثبيت خدمة حماية المضيف وتكوينها

  1. تحقق من المتطلبات الأساسية لخدمة حماية المضيف وإعداد بيئتك لتوزيع خدمة حماية المضيف:

    1. تأكد من أن أجهزتك ونظام التشغيل يفيان بمتطلبات المتطلبات الأساسية لخدمة حماية المضيف، مع ملاحظة ما يلي:

      • يمكن تشغيل خدمة حماية المضيف على الأجهزة المادية أو الظاهرية، ولكن يوصى بالأجهزة الفعلية.
      • إذا كنت ترغب في تشغيل خدمة حماية المضيف ك نظام مجموعة فعلية مكونة من 3 عقد، يجب أن يكون لديك 3 خوادم فعلية.
      • متطلبات التصديق:
        • يتطلب إثبات مفتاح المضيف إصدار Windows Server 2019 Standard أو Datacenter الذي يعمل لإثبات الإصدار 2.
        • يتطلب التصديق المستند إلى TPM إصدار Windows Server 2019 أو Windows Server 2016 أو Standard أو Datacenter.

    2. قم بتثبيت أدوار خادم خدمة حماية المضيف المناسبة وتكوين مجال النسيج الخاص بك (المضيف) للسماح بإعادة توجيه DNS بين مجال النسيج ومجال خدمة حماية المضيف.

    إشعار

    عند نشر خدمة حماية المضيف، ستتم مطالبتك بتوفير شهادات التوقيع والتشفير المستخدمة لحماية المعلومات الحساسة اللازمة لبدء تشغيل جهاز ظاهري محمي. يوصى باستخدام مرجع مصدق موثوق به للحصول على هاتين الشهادتين؛ ومع ذلك، من الممكن استخدام الشهادات الموقعة ذاتيا. تظل هاتان الشهادتان دائما على مضيف خدمة حماية المضيف.

  2. تكوين عقدة خدمة حماية المضيف الأولى:

    • حدد ما إذا كنت تريد تثبيت خدمة حماية المضيف في غابة AD DS المخصصة الخاصة بها أو في غابة bastion موجودة.

  3. تكوين عقد خدمة حماية المضيف الإضافية وفقا للبيئة الخاصة بك:

    1. ستتطلب كل عقدة خدمة حماية المضيف الوصول إلى نفس شهادات التوقيع والتشفير. قم بإدارتها عن طريق اختيار أحد الخيارين التاليين:

      • تصدير شهاداتك إلى ملف PFX باستخدام كلمة مرور والسماح لخدمة حماية المضيف بإدارة الشهادات نيابة عنك.
      • تثبيت الشهادات في مخزن شهادات الجهاز المحلي على كل عقدة خدمة حماية المضيف وتوفير بصمة الإبهام إلى خدمة حماية المضيف.

      أي من الخيارين صالح ولكن سيتطلب خطوات مختلفة قليلا أثناء إضافة عقدة.

    2. أضف عقدا إضافية باستخدام أحد السيناريوهين المحتملين التاليين:

      • إضافة عقد خدمة حماية المضيف إلى غابة خدمة حماية المضيف جديدة ومخصصة.

        • لإضافة عقد خدمة حماية المضيف إلى غابة خدمة حماية المضيف المخصصة الجديدة مع شهادات تبادل المعلومات الشخصية (PFX):

          1. ترقية عقدة خدمة حماية المضيف إلى وحدة تحكم بالمجال.
          2. تهيئة خادم خدمة حماية المضيف.

        • لإضافة عقد خدمة حماية المضيف إلى غابة خدمة حماية المضيف المخصصة الجديدة مع بصمات إبهام الشهادة:

          1. ترقية عقدة خدمة حماية المضيف إلى وحدة تحكم بالمجال.
          2. تهيئة خادم خدمة حماية المضيف.
          3. تثبيت المفاتيح الخاصة للشهادات.

      • إضافة عقد خدمة حماية المضيف إلى غابة bastion موجودة.

        • لإضافة عقد خدمة حماية المضيف إلى غابة bastion موجودة مع شهادات PFX:

          1. ضم العقدة إلى المجال الموجود.
          2. امنح حقوق الجهاز لاسترداد كلمة مرور حساب الخدمة المدارة (MSA) وتشغيل Install-ADServiceAccount.
          3. تهيئة خادم خدمة حماية المضيف.

        • لإضافة عقد خدمة حماية المضيف إلى غابة bastion موجودة مع بصمات إبهام الشهادة:

          1. ضم العقدة إلى المجال الموجود.
          2. امنح حقوق الجهاز لاسترداد كلمة مرور MSA وتشغيل Install-ADServiceAccount.
          3. تهيئة خادم خدمة حماية المضيف.
          4. تثبيت المفاتيح الخاصة للشهادات.

    إشعار

    تستخدم خدمة حماية المضيف حساب خدمة مدارة من قبل مجموعة (gMSA) كهوية حساب لاسترداد الشهادات واستخدامها عبر عقد متعددة.

    هام

    في بيئات الإنتاج، يجب إعداد خدمة حماية المضيف في مجموعة قابلية وصول عالية لضمان إمكانية تشغيل الأجهزة الظاهرية المحمية حتى في حالة تعطل عقدة خدمة حماية المضيف.

  4. قم بتكوين DNS للنسيج للسماح للمضيفين المحميين بحل مجموعة خدمة حماية المضيف.

  5. تحقق من المتطلبات الأساسية للمصادقة على المضيفين:

    1. راجع المتطلبات الأساسية للمضيف لوضع التصديق الذي اخترته: وضع TPM أو المفتاح أو المسؤول.
    2. إضافة المضيفين إلى خدمة حماية المضيف.

  6. إنشاء مفتاح مضيف (وضع المفتاح) أو جمع معلومات المضيف (وضع TPM):

    • لإعداد Hyper-V المضيفين ليصبحوا مضيفين محميين باستخدام إثبات مفتاح المضيف (وضع المفتاح)، قم بإنشاء زوج مفاتيح مضيف (أو استخدام شهادة موجودة)، ثم أضف النصف العام من المفتاح إلى خدمة حماية المضيف.

    • لإعداد Hyper-V المضيفين ليصبحوا مضيفين محميين باستخدام إثبات وضع TPM (وضع المفتاح)، قم بالتقاط معرف TPM الخاص بالمضيفين (مفتاح المصادقة) وأساس TPM ونهج CI.

  7. إضافة مفاتيح المضيف (وضع المفتاح) أو معلومات TPM (وضع TPM) إلى تكوين خدمة حماية المضيف.

  8. تأكد من أن خدمة حماية المضيف تشهد على المضيفين كمضيفين محميين.

  9. (اختياري) تكوين نسيج حساب VMM لنشر وإدارة المضيفين المحميين Hyper-V والأجهزة الظاهرية المحمية.

المهمة 2: إعداد ملف OS .vhdx

  1. إعداد قرص نظام التشغيل (ملف vhdx.) باستخدام أحد الخيارات التالية:

    • استخدم Hyper-V أو Windows PowerShell أو الأداة المساعدة Microsoft Desktop Image Service Manager (DISM).
    • إعداد جهاز ظاهري يدويا مع ملف .vhdx فارغ وتثبيت نظام التشغيل على هذا القرص.

  2. قم بتثبيت آخر التحديثات على قرص نظام التشغيل عن طريق تشغيل Windows Update.

المهمة 3: إنشاء قرص قالب جهاز ظاهري محمي في VMM

  1. قم بإعداد ملف .vhdx وحمايته باستخدام معالج إنشاء قرص القالب المحمي.

    • لاستخدام قرص قالب مع الأجهزة الظاهرية المحمية، يجب إعداد القرص وتشفيره باستخدام BitLocker باستخدام معالج إنشاء قرص القالب المحمي.

  2. انسخ قرص القالب إلى مكتبة VMM.

    • إذا كنت تستخدم VMM، بعد إنشاء قرص قالب، انسخه إلى مشاركة مكتبة VMM بحيث يمكن للمضيفين تنزيل القرص واستخدامه عند توفير أجهزة ظاهرية محمية جديدة.

المهمة 4: إنشاء ملف بيانات محمي

  1. الاستعداد لإنشاء ملف البيانات المحمية (PDK):

    1. الحصول على شهادة لاتصال سطح المكتب البعيد.
    2. إنشاء ملف إجابة.
    3. احصل على ملف كتالوج توقيع وحدة التخزين.
    4. تعيين الأقمشة الموثوق بها.

  2. إنشاء ملف بيانات محمي.

  3. أضف أولياء الأمور المصرح لهم باستخدام ملف البيانات المحمي.

المهمة 5: نشر جهاز ظاهري محمي

  1. نشر جهاز ظاهري محمي باستخدام Windows Azure Pack أو VMM:

    1. قم بتحميل ملف البيانات المحمي وفقا لمتطلبات أسلوب النشر الذي اخترته، مثل Windows Azure Pack أو VMM.
    2. توفير جهاز ظاهري محمي جديد.

المهمة 6: بدء تشغيل جهاز ظاهري محمي

عملية بدء تشغيل جهاز ظاهري محمي كما يلي:

  1. يطلب المستخدم بدء تشغيل الجهاز الظاهري المحمي.

  2. تتحقق خدمة إثبات خدمة حماية المضيف من صحة بيانات اعتماد المضيف المحمي وترسل شهادة إثبات إلى المضيف المحمي.

  3. يقدم المضيف المحمي شهادة التصديق الخاصة به وKP إلى KPS ويطلب مفتاحا لإلغاء تأمين الجهاز الظاهري المحمي.

  4. يحدد KPS صلاحية شهادة التصديق، ويفك تشفير KP، ويسترد المفتاح لإلغاء تأمين الجهاز الظاهري المحمي ويرسل المفتاح إلى المضيف المحمي.

  5. يستخدم المضيف المحمي المفتاح لإلغاء تأمين الجهاز الظاهري المحمي وبدء تشغيله.

    إشعار

    أدوات > إدارة الخادم البعيد تتضمن أدوات الجهاز الظاهري المحميةمعالج إنشاء قرص القالب المحمي، والذي يمكن الوصول إليه من القائمة أدوات في إدارة الخادم.