Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Wie bei normalen virtuellen Computern können Sie eine VM-Vorlage (z. B. eine VM-Vorlage in Virtual Machine Manager (VMM)) erstellen, um Mandanten und Administratoren die Bereitstellung neuer VMs auf der Fabric mithilfe eines Vorlagendatenträgers zu vereinfachen. Da abgeschirmte VMs sicherheitsrelevante Ressourcen sind, sind zum Erstellen einer VM-Vorlage, die die Abschirmung unterstützt, zusätzliche Schritte nötig. In diesem Artikel werden die Schritte zum Erstellen eines abgeschirmten Vorlagendatenträgers und einer VM-Vorlage in VMM behandelt.
Informationen dazu, wie dieses Thema in den allgemeinen Prozess der Bereitstellung abgeschirmter VMs passt, finden Sie unter Konfigurationsschritte des Hostingdienstanbieters für geschützte Hosts und abgeschirmte VMs.
Vorbereiten einer VHDX für das Betriebssystem
Bereiten Sie zunächst einen Betriebssystemdatenträger vor, den Sie dann über den Assistenten zum Erstellen von abgeschirmten Vorlagendatenträgern ausführen. Dieser Datenträger wird als Datenträger für das Betriebssystem auf den VMs Ihres Mandanten verwendet. Sie können alle vorhandenen Tools zum Erstellen dieses Datenträgers verwenden, z. B. Microsoft Desktop Image Service Manager (DISM), oder manuell einen virtuellen Computer mit einer leeren VHDX einrichten und das Betriebssystem auf diesem Datenträger installieren. Beim Einrichten des Datenträgers müssen die folgenden Anforderungen erfüllt sein, die für VMs der 2. Generation und/oder abgeschirmte VMs gelten:
| Anforderung für die VHDX | `Reason` |
|---|---|
| Muss eine GUID-Partitionstabelle (GPT) sein | Erforderlich für VMs der 2. Generation zur Unterstützung von UEFI. |
| Der Datenträgertyp muss "Einfach " und nicht " Dynamisch" sein. Hinweis: Dies bezieht sich auf den logischen Datenträgertyp, nicht auf das von Hyper-V unterstützte Feature einer „dynamisch erweiterbaren“ VHDX. |
BitLocker unterstützt KEINE dynamischen Datenträger. |
| Der Datenträger verfügt über mindestens zwei Partitionen. Eine Partition muss das Laufwerk enthalten, auf dem Windows installiert ist. Dies ist das Laufwerk, das BitLocker verschlüsselt. Die andere Partition ist die aktive Partition, die den Bootloader enthält und unverschlüsselt bleibt, damit der Computer gestartet werden kann. | Ist für BitLocker erforderlich. |
| Das Dateisystem ist NTFS. | Ist für BitLocker erforderlich. |
| Eines der folgenden Betriebssysteme ist auf der VHDX installiert: – Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 – Windows 10, Windows 8.1 oder Windows 8 |
Ist zur Unterstützung von VMs der 2. Generation und der Microsoft-Vorlage für sicheren Start erforderlich. |
| Das Betriebssystem muss generalisiert sein (Ausführen von sysprep.exe). | Das Bereitstellen von Vorlagen beinhaltet die spezielle Einrichtung von VMs für die Workload eines bestimmten Mandanten. |
Hinweis
Wenn Sie VMM verwenden, kopieren Sie den Vorlagendatenträger in dieser Phase nicht in die VMM-Bibliothek.
Ausführen von Windows Update auf dem Vorlagenbetriebssystem
Überprüfen Sie, ob auf dem Vorlagendatenträger alle aktuellen Windows-Updates für das Betriebssystem installiert sind. Kürzlich veröffentlichte Updates verbessern die Zuverlässigkeit des umfassenden Abschirmungsprozesses – ein Prozess, der möglicherweise nicht abgeschlossen werden kann, wenn das Vorlagenbetriebssystem nicht auf dem neuesten Stand ist.
Vorbereiten und Schützen der VHDX mit dem Vorlagendatenträger-Assistenten
Wenn Sie einen Vorlagendatenträger mit abgeschirmten VMs verwenden möchten, müssen Sie den Datenträger mithilfe des Assistenten zum Erstellen von Datenträgern für abgeschirmte Vorlagen mit BitLocker vorbereiten und verschlüsseln. Dieser Assistent generiert einen Hash für den Datenträger und fügt diesen einem Volumesignaturkatalog (VSC) hinzu. Der Volumesignaturkatalog wird mit einem von Ihnen angegebenen Zertifikat signiert und während der Bereitstellung verwendet, um sicherzustellen, dass der für einen Mandanten bereitgestellte Datenträger nicht geändert oder durch einen nicht vertrauenswürdigen Datenträger ersetzt wurde. Schließlich wird BitLocker auf dem Betriebssystem des Datenträgers installiert (sofern noch nicht vorhanden), um den Datenträger für die Verschlüsselung während der VM-Bereitstellung vorzubereiten.
Hinweis
Der Vorlagendatenträger-Assistent ändert den von Ihnen angegebenen Vorlagendatenträger direkt. Erstellen Sie eine Kopie der ungeschützten VHDX, bevor Sie den Assistenten ausführen, um den Datenträger zu einem späteren Zeitpunkt zu aktualisieren. Sie können keinen Datenträger ändern, der mit dem Vorlagendatenträger-Assistenten geschützt wurde.
Führen Sie die folgenden Schritte auf einem Computer unter Windows Server 2016, Windows 10 (mit installierten Remoteserver-Verwaltungstools, RSAT) oder höher aus (muss kein überwachter Host oder VMM-Server sein):
Kopieren Sie die generalisierte VHDX, die in "Vorbereiten eines VHDX"-Betriebssystems erstellt wurde, auf den Server, falls sie noch nicht vorhanden ist.
Um den Server lokal zu verwalten, installieren Sie das Feature " Abgeschirmte VM-Tools " von Remoteserver-Verwaltungstools auf dem Server.
Install-WindowsFeature RSAT-Shielded-VM-Tools -RestartSie können den Server auch von einem Clientcomputer verwalten, auf dem Sie die Windows 10-Remoteserver-Verwaltungstools installiert haben.
Rufen Sie ein Zertifikat ab, um den VSC für die VHDX zu signieren, die zum Vorlagendatenträger für neue abgeschirmte VMs wird, oder erstellen Sie eines. Details zu diesem Zertifikat werden den Mandanten angezeigt, wenn diese ihre geschützten Datendatei erstellen und vertrauenswürdige Datenträger autorisieren. Daher ist es wichtig, dieses Zertifikat von einer Zertifizierungsstelle zu erhalten, der sowohl Sie als auch Ihre Mandanten vertrauen. In Unternehmensszenarios, in denen Sie sowohl Host als auch Mandant sind, sollten Sie in Erwägung ziehen, dieses Zertifikat von Ihrer PKI auszustellen.
Wenn Sie eine Testumgebung einrichten und nur ein selbstsigniertes Zertifikat zum Vorbereiten des Vorlagendatenträgers verwenden möchten, führen Sie einen Befehl ähnlich dem folgenden aus:
New-SelfSignedCertificate -DnsName publisher.fabrikam.comStarten Sie den Vorlagendatenträger-Assistenten aus dem Ordner " Verwaltungstools " im Startmenü, oder geben Sie TemplateDiskWizard.exe in eine Eingabeaufforderung ein.
Klicken Sie auf der Seite " Zertifikat " auf " Durchsuchen ", um eine Liste der Zertifikate anzuzeigen. Wählen Sie das Zertifikat aus, mit dem die Datenträgervorlage vorbereitet werden soll. Klicken Sie auf "OK ", und klicken Sie dann auf "Weiter".
Klicken Sie auf der Seite "Virtueller Datenträger" auf " Durchsuchen ", um das von Ihnen vorbereitete VHDX auszuwählen, und klicken Sie dann auf "Weiter".
Geben Sie auf der Seite "Signaturkatalog" einen benutzerfreundlichen Datenträgernamen und eine Version an. Diese Felder sind vorhanden, damit Sie den Datenträger identifizieren können, nachdem er vorbereitet wurde.
Beispielsweise können Sie für den DatenträgernamenWS2016 und für Version1.0.0.0 eingeben.
Überprüfen Sie Ihre Auswahl auf der Assistenten-Seite „Einstellungen überprüfen“. Wenn Sie auf "Generieren" klicken, aktiviert der Assistent BitLocker auf dem Vorlagendatenträger, berechnet den Hash des Datenträgers und erstellt den Volumesignaturkatalog, der in den VHDX-Metadaten gespeichert ist.
Warten Sie, bis der Vorbereitungsprozess abgeschlossen ist, bevor Sie versuchen, den Vorlagendatenträger einzubinden oder zu verschieben. Dieser Vorgang kann je nach Größe Ihres Datenträgers eine Weile dauern.
Wichtig
Vorlagendatenträger können nur mit dem sicheren, abgeschirmten VM-Bereitstellungsprozess verwendet werden. Der Versuch, eine reguläre, nicht abgeschirmte VM mithilfe eines Vorlagendatenträgers zu starten, führt wahrscheinlich zu einem Abbruchfehler (BlueScreen) und wird nicht unterstützt.
Auf der Seite "Zusammenfassung " werden Informationen zur Datenträgervorlage, zum Signieren des VSC verwendetes Zertifikat und der Zertifikataussteller angezeigt. Klicken Sie auf „Schließen“, um den Assistenten zu beenden.
Wenn Sie VMM verwenden, führen Sie die Schritte in den verbleibenden Abschnitten in diesem Artikel aus, um einen Vorlagendatenträger mit einer abgeschirmten VM-Vorlage in VMM zu integrieren.
Kopieren des Vorlagendatenträgers in die VMM-Bibliothek
Wenn Sie VMM verwenden, müssen Sie einen Vorlagendatenträger nach dem Erstellen in eine VMM-Bibliotheksfreigabe kopieren, sodass Hosts den ihn herunterladen und für die Bereitstellung neuer VMs verwenden können. Verwenden Sie das folgende Verfahren, um den Vorlagendatenträger in die VMM-Bibliothek zu kopieren und dann die Bibliothek zu aktualisieren.
Kopieren Sie die VHDX-Datei in den VMM-Bibliotheksfreigabeordner. Wenn Sie die Standard-VMM-Konfiguration verwendet haben, kopieren Sie den Vorlagendatenträger in \<\vmmserver>\MSSCVMMLibrary\VHDs.
Aktualisieren Sie den Bibliotheksserver. Öffnen Sie den Bibliotheksarbeitsbereich , erweitern Sie Bibliotheksserver, klicken Sie mit der rechten Maustaste auf den Bibliotheksserver, den Sie aktualisieren möchten, und klicken Sie auf "Aktualisieren".
Stellen Sie als Nächstes Informationen zum Betriebssystem, das auf dem Vorlagendatenträger installiert ist, für VMM bereit:
a) Suchen Sie den neu importierten Vorlagendatenträger auf Ihrem Bibliotheksserver im Bibliotheksarbeitsbereich .
b. Klicken Sie mit der rechten Maustaste auf den Datenträger, und klicken Sie dann auf "Eigenschaften".
Abschnitt c. Erweitern Sie für das Betriebssystem die Liste, und wählen Sie das auf dem Datenträger installierte Betriebssystem aus. Wenn Sie ein Betriebssystem auswählen, bedeutet das für VMM, dass die VHDX nicht leer ist.
d. Wenn Sie die Eigenschaften aktualisiert haben, klicken Sie auf "OK".
Das kleine Schildsymbol neben dem Datenträgernamen kennzeichnet den Datenträger als vorbereiteten Vorlagendatenträger für abgeschirmte VMs. Sie können auch mit der rechten Maustaste auf die Spaltenüberschriften klicken und die abgeschirmte Spalte umschalten, um eine Textdarstellung anzuzeigen, die angibt, ob ein Datenträger für normale oder abgeschirmte VM-Bereitstellungen vorgesehen ist.
Erstellen der abgeschirmten VM-Vorlage in VMM mithilfe des vorbereiteten Vorlagendatenträgers
Mit einem vorbereiteten Vorlagendatenträger in Ihrer VMM-Bibliothek können Sie eine VM-Vorlage für abgeschirmte VMs erstellen. VM-Vorlagen für abgeschirmte VMs unterscheiden sich dahingehend geringfügig von herkömmlichen VM-Vorlagen, dass bestimmte Einstellungen korrigiert wurden (VM der 2. Generation, UEFI und sicherer Start aktiviert usw.) und andere nicht verfügbar sind (Mandantenanpassung ist auf einige wenige beschränkt, ausgewählte Eigenschaften des virtuellen Computers). Führen Sie zum Erstellen der VM-Vorlage die folgenden Schritte aus:
Klicken Sie im Arbeitsbereich "Bibliothek" oben auf der Registerkarte "Start" auf " VM-Vorlage erstellen ".
Klicken Sie auf der Seite " Quelle auswählen " auf "Vorhandene VM-Vorlage verwenden" oder auf eine virtuelle Festplatte, die in der Bibliothek gespeichert ist, und klicken Sie dann auf "Durchsuchen".
Wählen Sie im daraufhin angezeigten Fenster einen vorbereiteten Vorlagendatenträger aus der VMM-Bibliothek aus. Wenn Sie leichter erkennen möchten, welche Datenträger vorbereitet sind, klicken Sie mit der rechten Maustaste auf eine Spaltenüberschrift, und aktivieren Sie die abgeschirmte Spalte. Klicken Sie auf "OK " und dann auf "Weiter".
Geben Sie den Namen einer VM-Vorlage und optional eine Beschreibung an, und klicken Sie dann auf "Weiter".
Geben Sie auf der Seite " Hardware konfigurieren " die Funktionen von virtuellen Computern an, die aus dieser Vorlage erstellt wurden. Stellen Sie sicher, dass mindestens eine NIC für die VM-Vorlage verfügbar und konfiguriert ist. Die einzige Möglichkeit für einen Mandanten, eine Verbindung mit einer abgeschirmten VM herzustellen, ist eine Remotedesktopverbindung, die Windows-Remoteverwaltung oder andere vorkonfigurierte Remoteverwaltungstools, die über Netzwerkprotokolle funktionieren.
Wenn Sie statische IP-Pools in VMM nutzen möchten, anstatt einen DHCP-Server im Mandantennetzwerk auszuführen, müssen Sie Ihre Mandanten auf diese Konfiguration aufmerksam machen. Wenn ein Mandant seine Abschirmungsdatendatei bereitstellt, die die unbeaufsichtigte Datei für die VMM enthält, muss er spezielle Platzhalterwerte für die Informationen des statischen IP-Pools bereitstellen. Weitere Informationen zu VMM-Platzhaltern in unbeaufsichtigten Mandantendateien finden Sie unter Erstellen einer Antwortdatei.
Auf der Seite "Betriebssystem konfigurieren" zeigt VMM nur einige Optionen für abgeschirmte virtuelle Computer an, einschließlich des Product Keys, der Zeitzone und des Computernamens. Einige sichere Informationen, z. B. das Administratorkennwort und der Domänenname, werden vom Mandanten über eine abschirmende Datendatei (.PDK-Datei) angegeben.
Hinweis
Wenn Sie auf dieser Seite einen Product Key angeben möchten, stellen Sie sicher, dass er für das Betriebssystem auf dem Vorlagendatenträger gültig ist. Wenn ein falscher Product Key verwendet wird, tritt bei der VM-Erstellung ein Fehler auf.
Nachdem die Vorlage erstellt wurde, können Mandanten sie verwenden, um neue virtuelle Computer zu erstellen. Sie müssen überprüfen, ob die VM-Vorlage eine der Ressourcen ist, die für die Benutzerrolle "Mandantenadministrator" verfügbar sind (in VMM befinden sich Benutzerrollen im Arbeitsbereich "Einstellungen ").
Vorbereiten und Schützen der VHDX mithilfe von PowerShell
Alternativ zum Ausführen des Vorlagendatenträger-Assistenten können Sie den Vorlagendatenträger und das Zertifikat auf einen Computer kopieren, auf dem RSAT ausgeführt wird, und Protect-TemplateDisk ausführen, um den Signaturvorgang zu initiieren.
Im folgenden Beispiel werden der Name und die Versionsinformationen verwendet, die durch die Parameter TemplateName und Version angegeben werden.
Die VHDX, die Sie für den Parameter -Path angeben, wird mit dem aktualisierten Vorlagendatenträger überschrieben. Stellen Sie daher sicher, dass Sie vor dem Ausführen des Befehls eine Kopie erstellen.
# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT
Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0
Ihr Vorlagendatenträger kann jetzt zum Bereitstellen von abgeschirmten VMs verwendet werden. Wenn Sie zum Bereitstellen Ihres virtuellen Computers System Center Virtual Machine Manager verwenden, können Sie die VHDX jetzt in Ihre VMM-Bibliothek kopieren.
Sie können auch den Volumesignaturkatalog aus der VHDX extrahieren. Diese Datei wird verwendet, um VM-Besitzern, die Ihre Vorlage verwenden möchten, Informationen über das Signaturzertifikat, den Datenträgernamen und die Version bereitzustellen. Sie müssen diese Datei in den Assistenten für geschützte Datendateien importieren, um Sie als Vorlagenautor, der im Besitz des Signaturzertifikats ist, zu autorisieren, diese und zukünftige Vorlagendatenträger für sie zu erstellen.
Führen Sie zum Extrahieren des Volumesignaturkatalogs den folgenden Befehl in PowerShell aus:
Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'