Erstellen eines Vorlagendatenträgers für abgeschirmte Windows-VMs

Gilt für: Windows Server 2022, Windows Server 2016, Windows Server 2019

Wie bei gewöhnlichen VMs können Sie eine VM-Vorlage erstellen (z. B. eine VM-Vorlage in Virtual Machine Manager (VMM)), um Mandanten und Administrator*innen mithilfe eines Vorlagendatenträgers das Bereitstellen neuer VMs im Fabric zu erleichtern. Da abgeschirmte VMs sicherheitsrelevante Ressourcen sind, sind zum Erstellen einer VM-Vorlage, die die Abschirmung unterstützt, zusätzliche Schritte nötig. In diesem Artikel werden die Schritte zum Erstellen eines abgeschirmten Vorlagendatenträgers und einer VM-Vorlage in VMM behandelt.

Informationen zur Relevanz dieses Themas für den allgemeinen Prozess der Bereitstellung abgeschirmter virtueller Computer finden Sie unter Deploy shielded VMs (Bereitstellen abgeschirmter virtueller Computer).

Vorbereiten einer VHDX für das Betriebssystem

Bereiten Sie zunächst einen Betriebssystemdatenträger vor, den Sie dann über den Assistenten zum Erstellen von abgeschirmten Vorlagendatenträgern ausführen. Dieser Datenträger wird als Datenträger für das Betriebssystem auf den VMs Ihres Mandanten verwendet. Sie können alle vorhandenen Tools zum Erstellen dieses Datenträgers verwenden, z. B. Microsoft Desktop Image Service Manager (DISM), oder manuell einen virtuellen Computer mit einer leeren VHDX einrichten und das Betriebssystem auf diesem Datenträger installieren. Beim Einrichten des Datenträgers müssen die folgenden Anforderungen erfüllt sein, die für VMs der 2. Generation und/oder abgeschirmte VMs gelten:

Anforderung für die VHDX	`Reason`
Muss eine GUID-Partitionstabelle (GPT) sein	Erforderlich für VMs der 2. Generation zur Unterstützung von UEFI.
Der Datenträgertyp muss Basis, nicht Dynamisch sein. Hinweis: Dies bezieht sich auf den logischen Datenträgertyp, nicht auf das von Hyper-V unterstützte Feature einer „dynamisch erweiterbaren“ VHDX.	BitLocker unterstützt KEINE dynamischen Datenträger.
Der Datenträger verfügt über mindestens zwei Partitionen. Eine Partition muss das Laufwerk enthalten, auf dem Windows installiert ist. Dies ist das Laufwerk, das BitLocker verschlüsselt. Die andere Partition ist die aktive Partition, die den Bootloader enthält und unverschlüsselt bleibt, damit der Computer gestartet werden kann.	Ist für BitLocker erforderlich.
Das Dateisystem ist NTFS.	Ist für BitLocker erforderlich.
Eines der folgenden Betriebssysteme ist auf der VHDX installiert: – Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 – Windows 10, Windows 8.1 oder Windows 8	Ist zur Unterstützung von VMs der 2. Generation und der Microsoft-Vorlage für sicheren Start erforderlich.
Das Betriebssystem muss generalisiert sein (Ausführen von sysprep.exe).	Das Bereitstellen von Vorlagen beinhaltet die spezielle Einrichtung von VMs für die Workload eines bestimmten Mandanten.

Hinweis

Wenn Sie VMM verwenden, kopieren Sie den Vorlagendatenträger in dieser Phase nicht in die VMM-Bibliothek.

Ausführen von Windows Update auf dem Vorlagenbetriebssystem

Überprüfen Sie, ob auf dem Vorlagendatenträger alle aktuellen Windows-Updates für das Betriebssystem installiert sind. Kürzlich veröffentlichte Updates verbessern die Zuverlässigkeit des umfassenden Abschirmungsprozesses – ein Prozess, der möglicherweise nicht abgeschlossen werden kann, wenn das Vorlagenbetriebssystem nicht auf dem neuesten Stand ist.

Vorbereiten und Schützen der VHDX mit dem Vorlagendatenträger-Assistenten

Wenn Sie einen Vorlagendatenträger mit abgeschirmten VMs verwenden möchten, müssen Sie den Datenträger mithilfe des Assistenten zum Erstellen von Datenträgern für abgeschirmte Vorlagen mit BitLocker vorbereiten und verschlüsseln. Dieser Assistent generiert einen Hash für den Datenträger und fügt diesen einem Volumesignaturkatalog (VSC) hinzu. Der Volumesignaturkatalog wird mit einem von Ihnen angegebenen Zertifikat signiert und während der Bereitstellung verwendet, um sicherzustellen, dass der für einen Mandanten bereitgestellte Datenträger nicht geändert oder durch einen nicht vertrauenswürdigen Datenträger ersetzt wurde. Schließlich wird BitLocker auf dem Betriebssystem des Datenträgers installiert (sofern noch nicht vorhanden), um den Datenträger für die Verschlüsselung während der VM-Bereitstellung vorzubereiten.

Hinweis

Der Vorlagendatenträger-Assistent ändert den von Ihnen angegebenen Vorlagendatenträger direkt. Erstellen Sie eine Kopie der ungeschützten VHDX, bevor Sie den Assistenten ausführen, um den Datenträger zu einem späteren Zeitpunkt zu aktualisieren. Sie können keinen Datenträger ändern, der mit dem Vorlagendatenträger-Assistenten geschützt wurde.

Führen Sie die folgenden Schritte auf einem Computer unter Windows Server 2016, Windows 10 (mit installierten Remoteserver-Verwaltungstools, RSAT) oder höher aus (muss kein überwachter Host oder VMM-Server sein):

1. Kopieren Sie die generalisierte VHDX auf den Server, die unter Vorbereiten einer VHDX für das Betriebssystem erstellt wurde, sofern sie noch nicht vorhanden ist.

2. Um den Server lokal zu verwalten, installieren Sie das Feature Abgeschirmte VM-Tools der Remoteserver-Verwaltungstools auf dem Server.

   Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
   

   Sie können den Server auch über einen Clientcomputer verwalten, auf dem Sie die Remoteserver-Verwaltungstools für Windows 10 installiert haben.

3. Rufen Sie ein Zertifikat ab, um den VSC für die VHDX zu signieren, die zum Vorlagendatenträger für neue abgeschirmte VMs wird, oder erstellen Sie eines. Details zu diesem Zertifikat werden den Mandanten angezeigt, wenn diese ihre geschützten Datendatei erstellen und vertrauenswürdige Datenträger autorisieren. Daher ist es wichtig, dieses Zertifikat von einer Zertifizierungsstelle zu erhalten, der sowohl Sie als auch Ihre Mandanten vertrauen. In Unternehmensszenarios, in denen Sie sowohl Host als auch Mandant sind, sollten Sie in Erwägung ziehen, dieses Zertifikat von Ihrer PKI auszustellen.

   Wenn Sie eine Testumgebung einrichten und nur ein selbstsigniertes Zertifikat zum Vorbereiten des Vorlagendatenträgers verwenden möchten, führen Sie einen Befehl ähnlich dem folgenden aus:

   New-SelfSignedCertificate -DnsName publisher.fabrikam.com
   

4. Starten Sie den Vorlagendatenträger-Assistenten im Ordner Verwaltungstools im Startmenü oder indem Sie TemplateDiskWizard.exe in eine Eingabeaufforderung eingeben.

5. Klicken Sie auf der Seite Zertifikat auf Durchsuchen, um eine Liste mit Zertifikaten anzuzeigen. Wählen Sie das Zertifikat aus, mit dem die Datenträgervorlage vorbereitet werden soll. Klicken Sie auf OK und anschließend auf Weiter.

6. Klicken Sie auf der Seite Virtueller Datenträger auf Durchsuchen, um die von Ihnen vorbereitete VHDX auszuwählen, und klicken Sie dann auf Weiter.

7. Geben Sie auf der Seite Signaturkatalog einen Anzeigedatenträgernamen und eine Version an. Diese Felder sind zum Identifizieren des Datenträgers nach der Vorbereitung gedacht.

   Als Datenträgername könnten Sie beispielsweise WS2016 und als Version1.0.0.0 eingeben.

8. Überprüfen Sie Ihre Auswahl auf der Assistenten-Seite „Einstellungen überprüfen“. Wenn Sie auf Generieren klicken, aktiviert der Assistent BitLocker auf dem Vorlagendatenträger, berechnet den Hash des Datenträgers und erstellt den Volumesignaturkatalog, der in den VHDX-Metadaten gespeichert ist.

   Warten Sie, bis der Vorbereitungsprozess abgeschlossen ist, bevor Sie versuchen, den Vorlagendatenträger einzubinden oder zu verschieben. Dieser Vorgang kann je nach Größe Ihres Datenträgers eine Weile dauern.

   Wichtig

   Vorlagendatenträger können nur mit dem sicheren, abgeschirmten VM-Bereitstellungsprozess verwendet werden. Der Versuch, eine reguläre, nicht abgeschirmte VM mithilfe eines Vorlagendatenträgers zu starten, führt wahrscheinlich zu einem Abbruchfehler (BlueScreen) und wird nicht unterstützt.

9. Auf der Seite Zusammenfassung werden Informationen zur Datenträgervorlage, zum Zertifikat, das zum Signieren des VSC verwendet wird, und zum Zertifikataussteller angezeigt. Klicken Sie auf Schließen, um den Assistenten zu beenden.

Wenn Sie VMM verwenden, führen Sie die Schritte in den verbleibenden Abschnitten in diesem Artikel aus, um einen Vorlagendatenträger mit einer abgeschirmten VM-Vorlage in VMM zu integrieren.

Kopieren des Vorlagendatenträgers in die VMM-Bibliothek

Wenn Sie VMM verwenden, müssen Sie einen Vorlagendatenträger nach dem Erstellen in eine VMM-Bibliotheksfreigabe kopieren, sodass Hosts den ihn herunterladen und für die Bereitstellung neuer VMs verwenden können. Verwenden Sie das folgende Verfahren, um den Vorlagendatenträger in die VMM-Bibliothek zu kopieren und dann die Bibliothek zu aktualisieren.

1. Kopieren Sie die VHDX-Datei in den VMM-Bibliotheksfreigabeordner. Wenn Sie die VMM-Standardkonfiguration verwendet haben, kopieren Sie den Vorlagendatenträger in \<\vmmserver>\MSSCVMMLibrary\VHDs.

2. Aktualisieren Sie den Bibliotheksserver. Öffnen Sie den Arbeitsbereich Bibliothek, erweitern Sie Bibliotheksserver, klicken Sie mit der rechten Maustaste auf den Bibliotheksserver, den Sie aktualisieren möchten, und klicken Sie auf Aktualisieren.

3. Stellen Sie als Nächstes Informationen zum Betriebssystem, das auf dem Vorlagendatenträger installiert ist, für VMM bereit:

   a. Suchen Sie Ihren neu importierten Vorlagendatenträger auf Ihrem Bibliotheksserver im Arbeitsbereich Bibliothek.

   b. Klicken Sie mit der rechten Maustaste auf den Datenträger, und klicken Sie dann auf Eigenschaften.

   c. Erweitern Sie für das Betriebssystem die Liste, und wählen Sie das Betriebssystem aus, das auf dem Datenträger installiert wurde. Wenn Sie ein Betriebssystem auswählen, bedeutet das für VMM, dass die VHDX nicht leer ist.

   d. Klicken Sie auf OK.

Das kleine Schildsymbol neben dem Datenträgernamen kennzeichnet den Datenträger als vorbereiteten Vorlagendatenträger für abgeschirmte VMs. Sie können auch mit der rechten Maustaste auf die Spaltenüberschriften klicken und die Spalte Abgeschirmt umschalten, um eine Textdarstellung anzuzeigen, die angibt, ob ein Datenträger für reguläre oder abgeschirmte VM-Bereitstellungen vorgesehen ist.

Erstellen der abgeschirmten VM-Vorlage in VMM mithilfe des vorbereiteten Vorlagendatenträgers

Mit einem vorbereiteten Vorlagendatenträger in Ihrer VMM-Bibliothek können Sie eine VM-Vorlage für abgeschirmte VMs erstellen. VM-Vorlagen für abgeschirmte VMs unterscheiden sich dahingehend geringfügig von herkömmlichen VM-Vorlagen, dass bestimmte Einstellungen korrigiert wurden (VM der 2. Generation, UEFI und sicherer Start aktiviert usw.) und andere nicht verfügbar sind (Mandantenanpassung ist auf einige wenige beschränkt, ausgewählte Eigenschaften des virtuellen Computers). Führen Sie zum Erstellen der VM-Vorlage die folgenden Schritte aus:

1. Klicken Sie im Arbeitsbereich Bibliothek oben auf der Registerkarte Start auf VM-Vorlage erstellen.

2. Klicken Sie auf der Seite Quelle auswählen auf Vorhandene VM-Vorlage oder in der Bibliothek gespeicherte virtuelle Festplatte verwenden und dann auf Durchsuchen.

3. Wählen Sie im daraufhin angezeigten Fenster einen vorbereiteten Vorlagendatenträger aus der VMM-Bibliothek aus. Klicken Sie mit der rechten Maustaste auf eine Spaltenüberschrift, und aktivieren Sie die Spalte Abgeschirmt, um leichter zu ermitteln, welche Datenträger vorbereitet sind. Klicken Sie auf OK und dann auf Weiter.

4. Geben Sie einen Namen für die VM-Vorlage und optional eine Beschreibung an, und klicken Sie dann auf Weiter.

5. Geben Sie auf der Seite Hardware konfigurieren die Funktionen von VMs an, die mit dieser Vorlage erstellt wurden. Stellen Sie sicher, dass mindestens eine NIC für die VM-Vorlage verfügbar und konfiguriert ist. Die einzige Möglichkeit für einen Mandanten, eine Verbindung mit einer abgeschirmten VM herzustellen, ist eine Remotedesktopverbindung, die Windows-Remoteverwaltung oder andere vorkonfigurierte Remoteverwaltungstools, die über Netzwerkprotokolle funktionieren.

   Wenn Sie statische IP-Pools in VMM nutzen möchten, anstatt einen DHCP-Server im Mandantennetzwerk auszuführen, müssen Sie Ihre Mandanten auf diese Konfiguration aufmerksam machen. Wenn ein Mandant seine Abschirmungsdatendatei bereitstellt, die die unbeaufsichtigte Datei für die VMM enthält, muss er spezielle Platzhalterwerte für die Informationen des statischen IP-Pools bereitstellen. Weitere Informationen zu VMM-Platzhaltern in unbeaufsichtigten Mandantendateien finden Sie unter Erstellen einer Antwortdatei.

6. Auf der Seite Betriebssystem konfigurieren zeigt VMM nur wenige Optionen für abgeschirmte VMs an, einschließlich Product Key, Zeitzone und Computername. Einige sichere Informationen, z. B. das Administratorkennwort und der Domänenname, werden vom Mandanten über eine abschirmende Datendatei (.PDK-Datei) angegeben.

   Hinweis

   Wenn Sie auf dieser Seite einen Product Key angeben möchten, stellen Sie sicher, dass er für das Betriebssystem auf dem Vorlagendatenträger gültig ist. Wenn ein falscher Product Key verwendet wird, tritt bei der VM-Erstellung ein Fehler auf.

Nachdem die Vorlage erstellt wurde, können Mandanten sie verwenden, um neue virtuelle Computer zu erstellen. Sie müssen überprüfen, ob die VM-Vorlage eine der Ressourcen ist, die der Mandantenadministrator-Benutzerrolle zur Verfügung stehen. In VMM befinden sich Benutzerrollen im Arbeitsbereich Einstellungen.

Vorbereiten und Schützen der VHDX mithilfe von PowerShell

Alternativ zum Ausführen des Vorlagendatenträger-Assistenten können Sie den Vorlagendatenträger und das Zertifikat auf einen Computer mit RSAT kopieren und Protect-TemplateDisk ausführen, um den Signaturvorgang zu initiieren. Im folgenden Beispiel werden der Name und die Versionsinformationen verwendet, die durch die Parameter TemplateName und Version angegeben sind. Die VHDX, die Sie für den Parameter -Path angeben, wird mit dem aktualisierten Vorlagendatenträger überschrieben. Stellen Sie daher sicher, dass Sie vor dem Ausführen des Befehls eine Kopie erstellen.

# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT

Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0

Ihr Vorlagendatenträger kann jetzt zum Bereitstellen von abgeschirmten VMs verwendet werden. Wenn Sie zum Bereitstellen Ihres virtuellen Computers System Center Virtual Machine Manager verwenden, können Sie die VHDX jetzt in Ihre VMM-Bibliothek kopieren.

Sie können auch den Volumesignaturkatalog aus der VHDX extrahieren. Diese Datei wird verwendet, um VM-Besitzern, die Ihre Vorlage verwenden möchten, Informationen über das Signaturzertifikat, den Datenträgernamen und die Version bereitzustellen. Sie müssen diese Datei in den Assistenten für geschützte Datendateien importieren, um Sie als Vorlagenautor, der im Besitz des Signaturzertifikats ist, zu autorisieren, diese und zukünftige Vorlagendatenträger für sie zu erstellen.

Führen Sie zum Extrahieren des Volumesignaturkatalogs den folgenden Befehl in PowerShell aus:

Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'

Nächster Schritt

Erstellen einer abschirmenden Datendatei

Weitere Verweise

• Geschützte Hosts und abgeschirmte VMs: Konfigurationsschritte für Hosting-Anbieter
• Geschütztes Fabric und abgeschirmte VMs