Megosztás a következőn keresztül:

Védett Windows rendszerű virtuálisgép-sablonlemez létrehozása

A hagyományos virtuális gépekhez hasonlóan létrehozhat egy virtuálisgép-sablont (például egy virtuálisgép-sablont a Virtual Machine Managerben (VMM)), hogy a bérlők és a rendszergazdák egyszerűen üzembe helyezhessenek új virtuális gépeket a hálón sablonlemez használatával. Mivel a védett virtuális gépek biztonsági szempontból érzékeny objektumok, további lépések is szükségesek a védelem használatát támogató virtuálisgép-sablon létrehozásához. Ez a témakör a védett sablonlemez és a VMM virtuálisgép-sablon létrehozásának lépéseit ismerteti.

Ha szeretné megérteni, hogyan illeszkedik ez a témakör a védett virtuális gépek üzembe helyezésének teljes folyamatába, tekintse meg a védett gazdagépek és védett virtuális gépek konfigurációs lépéseit.

Operációs rendszer VHDX-ének előkészítése

Először készítsen elő egy operációsrendszer-lemezt, amelyet a védett sablonlemez létrehozása varázslóval fog futtatni. A rendszer ezt a lemezt fogja használni a bérlő virtuális gépeinek operációsrendszer-lemezeként. Bármilyen meglévő eszközzel létrehozhatja ezt a lemezt, például a Microsoft Desktop Image Service Managert (DISM), vagy manuálisan állíthat be egy üres VHDX-et tartalmazó virtuális gépet, és telepítheti az operációs rendszert a lemezre. A lemez beállításakor meg kell felelnie a következő, a 2. generációs és/vagy védett virtuális gépekre vonatkozó követelményeknek:

A VHDX követelménye Reason
A lemeznek GUID partíciótábla (GPT) szerintinek kell lennie. A 2. generációs virtuális gépekhez szükséges az UEFI támogatása.
Disk type must be Basic as opposed to Dynamic.
Megjegyzés: Ez a logikai lemeztípusra vonatkozik, nem a Hyper-V által támogatott "dinamikusan bővülő" VHDX-funkcióra.		 A BitLocker nem támogatja a dinamikus lemezeket.
A lemez legalább két partícióval rendelkezik. Egy partíciónak tartalmaznia kell azt a meghajtót, amelyre a Windows telepítve van. Ez az a meghajtó, amelyet a BitLocker titkosít. A másik partíció az aktív partíció, amely tartalmazza a rendszerindítót, és titkosítatlan marad, hogy a számítógép elindítható legyen. A BitLockerhez szükséges
A fájlrendszer NTFS A BitLockerhez szükséges
A VHDX-en telepített operációs rendszer az alábbiak egyike:
– Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 vagy Windows Server 2012
- Windows 10, Windows 8.1, Windows 8		 A 2. generációs virtuális gépek és a Microsoft Secure Boot-sablon támogatásához szükséges
Az operációs rendszert általánosítottnak kell lennie (futtassa sysprep.exe) A sablonkiépítés magában foglalja a virtuális gépek specializálását egy adott bérlő számítási feladatához

Note

Ha VMM-et használ, ebben a szakaszban ne másolja a sablonlemezt a VMM-tárba.

A Windows Update futtatása a sablon operációs rendszerén

A sablonlemezen ellenőrizze, hogy az operációs rendszer telepítette-e a Windows összes legújabb frissítését. A nemrég kiadott frissítések javítják a végpontok közötti védelmi folyamat megbízhatóságát – ez a folyamat sikertelen lehet, ha a sablon operációs rendszere nem up-to-date.

A VHDX előkészítése és védelme a sablonlemez varázslóval

Ha védett virtuális gépeket tartalmazó sablonlemezt szeretne használni, a lemezt a Védett sablonlemez létrehozása varázslóval kell előkészíteni és titkosítani a BitLockerrel. Ez a varázsló létrehoz egy kivonatot a lemezhez, és hozzáadja azt egy kötetaláírás-katalógushoz (VSC). A VSC egy megadott tanúsítvánnyal van aláírva, és a kiépítési folyamat során arra szolgál, hogy a bérlő számára üzembe helyezett lemezt ne módosítsa vagy cserélje le olyan lemezre, amelyben a bérlő nem bízik meg. Végül a BitLocker telepítve van a lemez operációs rendszerére (ha még nincs telepítve), hogy előkészítse a lemezt a titkosításra a virtuális gépek kiépítése során.

Note

A sablonlemez varázsló helyben módosítja a megadott sablonlemezt. Előfordulhat, hogy a varázsló futtatása előtt másolatot szeretne készíteni a nem védett VHDX-ről, hogy később frissítse a lemezt. Nem fogja tudni módosítani a sablonlemez varázslóval védett lemezt.

Hajtsa végre a következő lépéseket a Windows Server 2016, Windows 10 (távoli kiszolgálókezelési eszközökkel, RSAT telepítve) vagy újabb rendszert futtató számítógépen (nem kell védett gazdagépnek vagy VMM-kiszolgálónak lennie):

  1. Másolja a az operációs rendszer előkészítésével létrehozott általános VHDX-et a kiszolgálóra, ha még nincs ott.

  2. A kiszolgáló helyi felügyeletéhez telepítse a Shielded VM Tools funkciót a Remote Server Administration Tools csomagból a kiszolgálóra.

    Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart

    A kiszolgálót olyan ügyfélszámítógépről is felügyelheti, amelyre telepítette a Windows 10 távoli kiszolgáló felügyeleti eszközeit.

  3. Szerezzen be vagy hozzon létre egy tanúsítványt a VSC aláírásához a VHDX-hez, amely az új védett virtuális gépek sablonlemezévé válik. A tanúsítvány részletei megjelennek a bérlők számára, amikor létrehozzák a védett adatfájlokat, és engedélyezik a megbízható lemezeket. Ezért fontos, hogy ezt a tanúsítványt az Ön és a bérlői által kölcsönösen megbízható hitelesítésszolgáltatótól szerezze be. Olyan vállalati helyzetekben, ahol Ön egyszerre gazdagép és bérlő, érdemes lehet ezt a tanúsítványt a saját PKI-jából kibocsátani.

    Ha tesztkörnyezetet állít be, és csak önaláírt tanúsítványt szeretne használni a sablonlemez előkészítéséhez, futtassa a következőhöz hasonló parancsot:

    New-SelfSignedCertificate -DnsName publisher.fabrikam.com

  4. Indítsa el a Sablonlemez varázsló a Start menü Felügyeleti eszközök mappájából, vagy írja be a TemplateDiskWizard.exe egy parancssorba.

  5. On the Certificate page, click Browse to display a list of certificates. Válassza ki azt a tanúsítványt, amellyel előkészítheti a lemezsablont. Click OK and then click Next.

  6. On the Virtual Disk page, click Browse to select the VHDX that you have prepared, then click Next.

  7. On the Signature Catalog page, provide a friendly disk name and version. These fields are present to help you identify the disk once it has been prepared.

    For example, for disk name you could type WS2016 and for Version, 1.0.0.0

  8. Tekintse át a beállításokat a varázsló Beállítások áttekintése lapján. When you click Generate, the wizard will enable BitLocker on the template disk, compute the hash of the disk, and create the Volume Signature Catalog, which is stored in the VHDX metadata.

    Várjon, amíg az előkészítési folyamat befejeződik, mielőtt megpróbálná csatlakoztatni vagy áthelyezni a sablonlemezt. Ez a folyamat a lemez méretétől függően eltarthat egy ideig.

    Important

    A sablonlemezek csak a biztonságos védelemmel ellátott virtuális gépek kiépítési folyamatával használhatók. Ha sablonlemez használatával próbál elindítani egy normál (nem árnyékolt) virtuális gépet, az valószínűleg leállási hibát (kék képernyőt) eredményez, és nem támogatott.

  9. On the Summary page, information about the disk template, the certificate used to sign the VSC, and the certificate issuer is shown. Click Close to exit the wizard.

Ha VMM-et használ, kövesse a jelen témakör többi szakaszának lépéseit, hogy egy sablonlemezt beépítsen egy védett virtuálisgép-sablonba a VMM-ben.

A sablonlemez másolása a VMM-tárba

Ha a VMM-et használja, a sablonlemez létrehozása után át kell másolnia egy VMM-tármegosztásba, hogy a gazdagépek le tudják tölteni és használni tudják a lemezt új virtuális gépek kiépítésekor. Az alábbi eljárással másolja a sablonlemezt a VMM-tárba, majd frissítse a tárat.

  1. Másolja a VHDX-fájlt a VMM-tár megosztási mappájába. Ha az alapértelmezett VMM-konfigurációt használta, másolja a sablonlemezt a \<\vmmserver>\MSSCVMMLibrary\VHDs.

  2. Frissítse az erőforrástár-kiszolgálót. Open the Library workspace, expand Library Servers, right-click on the library server that you want to refresh, and click Refresh.

  3. Ezután adja meg a VMM-nek a sablonlemezre telepített operációs rendszer adatait:

    a. Find your newly imported template disk on your library server in the Library workspace.

    b. Right-click the disk and then click Properties.

    c. For operating system, expand the list and select the operating system installed on the disk. Az operációs rendszer kiválasztása azt jelzi a VMM-nek, hogy a VHDX nem üres.

    d. When you have updated the properties, click OK.

A lemez neve melletti kis pajzs ikon a védett virtuális gépek előkészített sablonlemezeként jelöli a lemezt. You can also right click the column headers and toggle the Shielded column to see a textual representation indicating whether a disk is intended for regular or shielded VM deployments.

védett virtuális gép-sablonlemez

A védett virtuálisgép-sablon létrehozása a VMM-ben az előkészített sablonlemez használatával

A VMM-kódtárban előkészített sablonlemezzel készen áll arra, hogy virtuálisgép-sablont hozzon létre védett virtuális gépekhez. A védett virtuális gépek virtuális gép-sablonjai némileg eltérnek a hagyományos virtuális gép-sablonoktól, mivel bizonyos beállítások rögzítve vannak (2. generációs virtuális gép, UEFI és Secure Boot engedélyezve stb.), és mások nem elérhetők (a felhasználó testreszabása csak néhány kiválasztott tulajdonság módosítására korlátozódik a virtuális gépen). A virtuálisgép-sablon létrehozásához hajtsa végre a következő lépéseket:

  1. In the Library workspace, click Create VM Template on the home tab at the top.

  2. On the Select Source page, click Use an existing VM template or a virtual hard disk stored in the library, and then click Browse.

  3. A megjelenő ablakban válasszon ki egy előkészített sablonlemezt a VMM-tárból. To more easily identify which disks are prepared, right-click a column header and enable the Shielded column. Click OK then Next.

  4. Specify a VM template name and optionally a description, and then click Next.

  5. On the Configure Hardware page, specify the capabilities of VMs created from this template. Győződjön meg arról, hogy legalább egy hálózati adapter elérhető és konfigurálva van a virtuálisgép-sablonon. A bérlők csak távoli asztali kapcsolaton, Windows távfelügyeleten vagy más előre konfigurált, hálózati protokollokon keresztül működő távfelügyeleti eszközökön keresztül csatlakozhatnak a védett virtuális gépekhez.

    Ha úgy dönt, hogy statikus IP-készleteket használ a VMM-ben ahelyett, hogy DHCP-kiszolgálót futtat a bérlői hálózaton, figyelmeztetnie kell a bérlőket erre a konfigurációra. Amikor egy bérlő biztosítja a VMM nem hitelesített fájlját tartalmazó védelmi adatfájlt, speciális helyőrző értékeket kell megadnia a statikus IP-készlet adataihoz. További információk a bérlői válaszfájlok VMM helyőrző elemeiről a következő helyen találhatók: Válaszfájl létrehozása.

  6. Az Operációs rendszer konfigurálása lapon a VMM csak néhány lehetőséget jelenít meg a védett virtuális gépekhez, beleértve a termékkulcsot, az időzónát és a számítógép nevét. A bérlő egy védett adatfájlon (például a rendszergazdai jelszón és a tartománynéven) keresztül határoz meg bizonyos biztonságos információkat. PDK-fájl).

    Note

    Ha úgy dönt, hogy megad egy termékkulcsot ezen a lapon, győződjön meg arról, hogy az érvényes a sablonlemez operációs rendszerére. Helytelen termékkulcs használata esetén a virtuális gép létrehozása sikertelen lesz.

A sablon létrehozása után a bérlők új virtuális gépeket hozhatnak létre. You will need to verify that the VM template is one of the resources available to the Tenant Administrator user role (in VMM, user roles are in the Settings workspace).

A VHDX előkészítése és védelme a PowerShell használatával

As an alternative to running the Template Disk Wizard, you can copy your template disk and certificate to a computer running RSAT and run Protect-TemplateDisk to initiate the signing process. The following example uses the name and version information specified by the TemplateName and Version parameters. A -Path paraméternek megadott VHDX felülíródik a frissített sablonlemezzel, ezért a parancs futtatása előtt mindenképpen készítsen másolatot.

# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT

Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0

A sablonlemez most már készen áll a védett virtuális gépek kiépítésére. Ha a System Center Virtual Machine Managert használja a virtuális gép üzembe helyezéséhez, most már átmásolhatja a VHDX-et a VMM-tárba.

Lehet, hogy a kötet aláírási katalógusát is ki szeretné nyerni a VHDX-ből. Ez a fájl az aláíró tanúsítványra, a lemeznévre és a verzióra vonatkozó információk megadására szolgál a sablont használni kívánt virtuálisgép-tulajdonosok számára. Be kell importálniuk ezt a fájlt a Védelmi adatfájl varázslóba, hogy ön, mint az aláíró tanúsítvány birtokában lévő sablonszerző, jogosultságot kapjon arra, hogy most és a jövőben is sablonlemezeket hozzon létre számukra.

A kötet aláírási katalógusának kinyeréséhez futtassa a következő parancsot a PowerShellben:

Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'

Next step

Védelmi adatfájl létrehozása

Additional References