Implementace chráněného virtuálního počítače

  • 12 min

Jako správce Windows Serveru musíte prošetřit a zajistit, abyste porozuměli krokům potřebným k vytvoření a nasazení stíněného virtuálního počítače.

Implementace stíněných virtuálních počítačů

Následují základní kroky potřebné k implementaci stíněných virtuálních počítačů. Kroky zahrnují některé kroky související s nástrojem VMM.

Úloha 1: Instalace a konfigurace služby HGS

  1. Zkontrolujte požadavky služby HGS a připravte prostředí pro nasazení služby HGS:

    1. Ujistěte se, že váš hardware a operační systém splňují požadavky HGS, a nezapomeňte, že:

      • Služba HGS se dá spouštět na fyzických nebo virtuálních počítačích, ale doporučuje se fyzické počítače.
      • Pokud chcete spustit HGS jako fyzický cluster se 3 uzly, musíte mít 3 fyzické servery.
      • Požadavky na ověření identity:
        • Ověření hostitelského klíče vyžaduje Windows Server 2019 Standard nebo Datacenter Edition funkční pro ověření v2.
        • Ověření identity založené na čipu TPM vyžaduje edici Windows Server 2019 nebo Windows Server 2016, Standard nebo Datacenter.

    2. Nainstalujte příslušné role serveru HGS a nakonfigurujte vaši doménu hostitelů tak, aby umožňovala předávání DNS mezi doménou hostitelů a doménou HGS.

    Poznámka:

    Když nasadíte službu HGS, zobrazí se výzva k poskytnutí podpisových a šifrovacích certifikátů, které slouží k ochraně citlivých informací potřebných ke spuštění stíněného virtuálního počítače. K získání těchto dvou certifikátů se doporučuje použít důvěryhodnou certifikační autoritu; Certifikáty podepsané svým držitelem je však možné použít. Tyto dva certifikáty vždy zůstávají na hostiteli HGS.

  2. Nakonfigurujte první uzel HGS:

    • Vyberte, zda chcete nainstalovat službu HGS do vlastní vyhrazené doménové struktury AD DS, nebo do existujícího lesu bastion.

  3. Nakonfigurujte další uzly HGS podle vašeho prostředí:

    1. Každý uzel HGS bude vyžadovat přístup ke stejným podpisům a šifrovacím certifikátům. Spravujte je tak, že zvolíte jednu z následujících dvou možností:

      • Exportujte certifikáty do souboru PFX s heslem a povolte službě HGS spravovat certifikáty za vás.
      • Nainstalujte certifikáty do úložiště certifikátů místního počítače na každý uzel HGS a poskytněte kryptografický otisk službě HGS.

      Obě možnosti jsou platné, ale během přidávání uzlu budou vyžadovat trochu jiné kroky.

    2. Přidejte další uzly pomocí jednoho z následujících dvou možných scénářů:

      • Přidejte uzly HGS do nové, vyhrazené lesní domény HGS.

        • Chcete-li přidat uzly HGS do nového vyhrazeného lesu HGS s certifikáty Personal Information Exchange (PFX), postupujte takto:

          1. Povýšit uzel HGS na řadič domény.
          2. Inicializace serveru HGS

        • Přidání uzlů HGS do nové vyhrazené doménové struktury HGS s kryptografickými otisky certifikátů:

          1. Povýšit uzel HGS na řadič domény.
          2. Inicializace serveru HGS
          3. Nainstalujte privátní klíče pro certifikáty.

      • Přidejte uzly HGS do existující lesa Bastion.

        • Chcete-li přidat uzly HGS do existující doménové struktury bastionu s certifikáty PFX:

          1. Připojte uzel k existující doméně.
          2. Udělte počítačům práva k načtení hesla účtu spravované služby (MSA) a spuštění Install-ADServiceAccount.
          3. Inicializace serveru HGS

        • Chcete-li přidat uzly HGS do existující doménové struktury bastionu pomocí kryptografických otisků certifikátů:

          1. Připojte uzel k existující doméně.
          2. Udělte počítačům práva k načtení hesla MSA a spuštění Install-ADServiceAccount.
          3. Inicializace serveru HGS
          4. Nainstalujte privátní klíče pro certifikáty.

    Poznámka:

    Služba HGS používá skupinový účet spravovaných služeb (gMSA) jako identitu účtu pro získávání a používání svých certifikátů na více uzlech.

    Důležité

    V produkčních prostředích by se služba HGS měla nastavit v clusteru s vysokou dostupností, aby se zajistilo, že chráněné virtuální počítače můžou být zapnuté i v případě, že dojde k výpadku uzlu HGS.

  4. Nakonfigurujte DNS síťové infrastruktury tak, aby stráženým hostitelům umožnily překládání clusteru HGS.

  5. Ověřte požadavky na ověření identity na hostitelích:

    1. Zkontrolujte požadavky hostitele na režim ověření identity, který jste zvolili: TPM, klíč nebo režim správce.
    2. Přidejte hostitele do služby HGS.

  6. Vytvořte klíč hostitele (režim klíče) nebo shromážděte informace o hostiteli (režim TPM):

    • Pokud chcete připravit Hyper-V hostitele, aby se stali stráženými hostiteli pomocí ověření klíče hostitele (režim klíče), vytvořte pár klíčů hostitele (nebo použijte existující certifikát) a pak přidejte veřejnou polovinu klíče do služby HGS.

    • Pokud chcete připravit Hyper-V hostitele, aby se stali chráněnými hostiteli pomocí ověření identity v režimu TPM (režim klíčů), zaznamenejte identifikátor TPM (ověřovací klíč), základní linie TPM a zásadu CI.

  7. Do konfigurace HGS přidejte klíče hostitele (režim klíče) nebo informace o TPM (režim TPM).

  8. Ověřte, že služba HGS ověřuje hostitele jako chráněné hostitele.

  9. (Volitelné) Nakonfigurujte výpočetní infrastrukturu VMM pro nasazení a správu Hyper-V chráněných hostitelů a chráněných virtuálních počítačů.

Úkol 2: Příprava souboru .vhdx operačního systému

  1. Připravte disk s operačním systémem (soubor .vhdx) pomocí jedné z následujících možností:

    • Použijte Hyper-V, Windows PowerShell nebo nástroj Microsoft Desktop Image Service Manager (DISM).
    • Ručně nastavte virtuální počítač s prázdným souborem .vhdx a nainstalujte na tento disk operační systém.

  2. Nainstalujte nejnovější aktualizace na disk s operačním systémem spuštěním služby Windows Update.

Úloha 3: Vytvoření šablony disku stíněného virtuálního počítače ve VMM

  1. Připravte a ochraňte soubor .vhdx pomocí průvodce vytvořením chráněného disku šablony.

    • Chcete-li použít disk šablony se stíněnými VM, musíte disk připravit a zašifrovat pomocí Nástroje BitLocker s použitím Průvodce vytvořením chráněného disku šablony.

  2. Zkopírujte disk šablony do knihovny VMM.

    • Pokud použijete nástroj VMM, zkopírujte ho po vytvoření disku šablony do sdílené složky knihovny VMM, aby hostitelé mohli při zřizování nových stíněných virtuálních počítačů disk stáhnout a používat.

Úkol 4: Vytvořit datový soubor pro stínění

  1. Příprava k vytvoření souboru dat o stínění (PDK):

    1. Získejte certifikát pro připojení ke vzdálené ploše.
    2. Vytvořte soubor odpovědí.
    3. Získejte soubor katalogu podpisů svazku.
    4. Nastavte důvěryhodné sítě.

  2. Vytvořte datový soubor stínění.

  3. Přidejte opatrovníky, kteří mají oprávnění používat soubor dat o stínění.

Úloha 5: Nasazení stíněného virtuálního počítače

  1. Nasaďte stíněný virtuální počítač pomocí sady Windows Azure Pack nebo VMM:

    1. Nahrajte soubor dat o stínění podle požadavků na zvolenou metodu nasazení, například Windows Azure Pack nebo VMM.
    2. Zřízení nového stíněného virtuálního počítače

Úkol 6: Spuštění chráněného virtuálního počítače

Proces spuštění stíněného virtuálního počítače je následující:

  1. Uživatel požádá o spuštění stíněného virtuálního počítače.

  2. Služba ověření identity služby HGS ověřuje přihlašovací údaje strážených hostitelů a odesílá certifikát ověření identity stráženému hostiteli.

  3. Strážený hostitel odešle certifikát ověření identity a KP do KPS a požádá o klíč k odemknutí chráněného virtuálního počítače.

  4. KPS určuje platnost certifikátu ověření identity, dešifruje KP, načte klíč pro odemknutí chráněného virtuálního počítače a odešle klíč stráženému hostiteli.

  5. Strážený hostitel používá klíč k odemknutí a spuštění stíněného virtuálního počítače.

    Poznámka:

    >, včetně Průvodce vytvořením chráněného disku šablony, který je přístupný z nabídky Nástroje ve Správci serveru.