Védett virtuális gép implementálása

  • 12 perc

Windows Server-rendszergazdaként meg kell vizsgálnia és meg kell győződnie arról, hogy tisztában van a védett virtuális gépek létrehozásának és üzembe helyezésének lépéseivel.

Védett virtuális gépek implementálása

Az alábbiakban a védett virtuális gépek implementálásához szükséges magas szintű lépéseket követjük. A lépések a VMM-hez kapcsolódó néhány lépést tartalmaznak.

1. feladat: A HGS telepítése és konfigurálása

  1. Ellenőrizze a HGS előfeltételeit, és készítse elő a környezetet a HGS üzembe helyezéséhez:

    1. Győződjön meg arról, hogy a hardver és az operációs rendszer megfelel a HGS előfeltételeinek, a következőkkel:

      • A HGS fizikai vagy virtuális gépeken is futtatható, de a fizikai gépek használata ajánlott.
      • Ha a HGS-t 3 csomópontos fizikai fürtként szeretné futtatni, 3 fizikai kiszolgálóval kell rendelkeznie.
      • Igazolási követelmények:
        • A gazdagépkulcs-igazoláshoz a Windows Server 2019 Standard vagy Datacenter kiadás szükséges ahhoz, hogy a v2-igazolás működjön.
        • A TPM-alapú igazoláshoz Windows Server 2019 vagy Windows Server 2016, Standard vagy Datacenter kiadás szükséges.

    2. Telepítse a megfelelő HGS-kiszolgálói szerepköröket, és konfigurálja a háló (gazdagép) tartományát, hogy lehetővé tegye a DNS-továbbítást a hálótartomány és a HGS-tartomány között.

    Megjegyzés:

    A HGS üzembe helyezésekor a rendszer arra kéri, hogy adjon meg aláírási és titkosítási tanúsítványokat, amelyek a védett virtuális gépek indításához szükséges bizalmas információk védelmére szolgálnak. Javasoljuk, hogy megbízható hitelesítésszolgáltatóval szerezze be ezt a két tanúsítványt; azonban önaláírt tanúsítványokat is használhat. Ez a két tanúsítvány mindig a HGS-gazdagépen marad.

  2. Az első HGS-csomópont konfigurálása:

    • Válassza ki, hogy a HGS-t saját dedikált AD DS-erdőbe vagy egy meglévő megerősített erdőbe szeretné-e telepíteni.

  3. Konfiguráljon további HGS-csomópontokat a környezetének megfelelően:

    1. Minden HGS-csomópontnak hozzá kell férnie ugyanazokhoz az aláíró és titkosítási tanúsítványokhoz. Az alábbi két lehetőség egyikének kiválasztásával kezelheti őket:

      • Exportálja a tanúsítványokat egy PFX-fájlba jelszóval, és lehetővé teszi a HGS számára a tanúsítványok kezelését.
      • Telepítse a tanúsítványokat a helyi gép tanúsítványtárolójába minden HGS-csomóponton, és adja meg az ujjlenyomatot a HGS-nek.

      Bármelyik lehetőség érvényes, de a csomópont hozzáadásakor kissé eltérő lépéseket igényel.

    2. Adjon hozzá további csomópontokat az alábbi két lehetséges forgatókönyv egyikével:

      • HGS-csomópontok hozzáadása egy új, dedikált HGS-erdőhöz.

        • HGS-csomópontok hozzáadása egy új dedikált HGS-erdőhöz személyes adatcsere (PFX) tanúsítványokkal:

          1. HGS-csomópontot előléptetni tartományvezérlővé.
          2. Inicializálja a HGS-kiszolgálót.

        • HGS-csomópontok hozzáadása egy új dedikált HGS-erdőhöz tanúsítvány-ujjlenyomatokkal:

          1. HGS-csomópontot előléptetni tartományvezérlővé.
          2. Inicializálja a HGS-kiszolgálót.
          3. Telepítse a tanúsítványok titkos kulcsait.

      • HGS-csomópontok hozzáadása meglévő megerősített erdőhöz.

        • HGS-csomópontok hozzáadása meglévő megerősített erdőhöz PFX-tanúsítványokkal:

          1. Csatlakoztassa a csomópontot a meglévő tartományhoz.
          2. Adjon meg a gépnek jogosultságot a felügyelt szolgáltatásfiók (MSA) jelszavának lekéréséhez és futtatásához Install-ADServiceAccount.
          3. Inicializálja a HGS-kiszolgálót.

        • HGS-csomópontok hozzáadása meglévő megerősített erdőhöz tanúsítvány-ujjlenyomatokkal:

          1. Csatlakoztassa a csomópontot a meglévő tartományhoz.
          2. Adja meg a gépnek az MSA-jelszó lekérésére és futtatására Install-ADServiceAccountvonatkozó jogosultságokat.
          3. Inicializálja a HGS-kiszolgálót.
          4. Telepítse a tanúsítványok titkos kulcsait.

    Megjegyzés:

    A HGS egy csoport által felügyelt szolgáltatásfiókot (gMSA) használ fiókidentitásként a tanúsítványainak több csomóponton történő lekéréséhez és használatához.

    Fontos

    Éles környezetben a HGS-t magas rendelkezésre állású fürtön kell beállítani, hogy a védett virtuális gépek akkor is bekapcsolhatók legyenek, ha egy HGS-csomópont leáll.

  4. Konfigurálja a hálózati infrastruktúra DNS-beállításait, hogy a védett gazdagépek elérjék a HGS-fürtöt.

  5. Ellenőrizze a gazdagépeken a hitelesítés előfeltételeit:

    1. Tekintse át a kiválasztott igazolási mód állomáselőfeltételeit: TPM, Kulcs vagy Rendszergazda mód.
    2. Adja hozzá a gazdagépeket a HGS-hez.

  6. Hozzon létre egy gazdagépkulcsot (Kulcs mód), vagy gyűjtse össze a gazdagép adatait (TPM mód):

    • Ha fel szeretné készíteni a Hyper-V gazdagépeket, hogy védett gazdagépekké váljanak a gazdagépkulcs hitelesítést (Kulcs mód) használva, hozzon létre egy gazdagépkulcs-párt (vagy használjon egy meglévő tanúsítványt), majd adja hozzá a kulcs nyilvános részét a HGS-hez.

    • Ha elő szeretné készíteni Hyper-V gazdagépeket, hogy TPM-módú hitelesítéssel (Kulcs mód) védett gazdagépekké váljanak, rögzítse a gazdagépek TPM-azonosítóját (jóváhagyó kulcsot), a TPM kiindulási alapértékét és a CI-szabályzatot.

  7. Adjon hozzá gazdagépkulcsokat (Kulcs mód) vagy TPM-információkat (TPM mód) a HGS-konfigurációhoz.

  8. Győződjön meg arról, hogy a HGS védett gazdagépként igazolja a gazdagépeket.

  9. (Nem kötelező) Konfigurálja a VMM számítási környezetet Hyper-V védett gazdagépeket és védett virtuális gépeket üzembe helyezéséhez és kezeléséhez.

2. feladat: Operációs rendszer .vhdx-fájl előkészítése

  1. Készítsen elő egy operációsrendszer-lemezt (.vhdx-fájlt) az alábbi lehetőségek egyikével:

    • Használja a Hyper-V, a Windows PowerShell vagy a Microsoft Desktop Image Service Manager (DISM) segédprogramot.
    • Állítson be manuálisan egy virtuális gépet egy üres .vhdx fájllal, és telepítse az operációs rendszert a lemezre.

  2. Telepítse a legújabb frissítéseket az operációsrendszer-lemezre a Windows Update futtatásával.

3. feladat: Védett virtuálisgép-sablonlemez létrehozása a VMM-ben

  1. Készítse elő és védje a .vhdx fájlt a Védett sablonlemez létrehozása varázslóval.

    • Ha védett virtuális gépekkel rendelkező sablonlemezt szeretne használni, a Védett sablonlemez létrehozása varázslóval kell előkészítenie és titkosítania a BitLockerrel.

  2. Másolja a sablonlemezt a VMM-tárba.

    • Ha VMM-et használ, a sablonlemez létrehozása után másolja azt egy VMM-erőforrástár-megosztásba, hogy a gazdagépek letölthessenek és használhassák a lemezt új védett virtuális gépek kiépítésekor.

4. feladat: A védelmi adatfájl létrehozása

  1. Készüljön fel a védelmi adatok (PDK) fájljának létrehozására:

    1. Tanúsítvány beszerzése távoli asztali kapcsolathoz.
    2. Hozzon létre egy válaszfájlt.
    3. Kérje le a mennyiségi aláírás katalógusfájlt.
    4. Állítsa be a megbízható szöveteket.

  2. Hozza létre a védelmi adatfájlt.

  3. A védelmi adatfájl használatára jogosult gondviselők hozzáadása.

5. feladat: Védett virtuális gép üzembe helyezése

  1. Védett virtuális gép üzembe helyezése Windows Azure Pack vagy VMM használatával:

    1. Töltse fel a védett adatfájlt a választott üzembehelyezési módszer követelményei szerint, például a Windows Azure Pack vagy a VMM számára.
    2. Új védett virtuális gép kiépítése.

6. feladat: Védett virtuális gép indítása

A védett virtuális gépek indításának folyamata a következő:

  1. A felhasználó a védett virtuális gép indítását kéri.

  2. A HGS tanúsítási szolgáltatás ellenőrzi a védett gazdagép hitelesítő adatait, és hitelességi tanúsítványt küld a védett gazdagépnek.

  3. A védett gazdagép elküldi igazolási tanúsítványát és KP-jét a KPS-nek, és egy kulcsot kér a védett virtuális gép zárolásának feloldásához.

  4. A KPS meghatározza az igazolási tanúsítvány érvényességét, visszafejti a KP-t, lekéri a kulcsot a védett virtuális gép zárolásának feloldásához, és elküldi a kulcsot a védett gazdagépnek.

  5. A védett gazdagép a kulccsal oldja fel és indítja el a védett virtuális gépet.

    Megjegyzés:

    Távoli kiszolgálófelügyeleti eszközök > A védett virtuálisgép-eszközök tartalmazzák a Védett sablonlemez létrehozása varázslót, amely a Kiszolgálókezelő Eszközök menüjéből érhető el.