Terapkan VM terlindung

  • 12 menit

Sebagai administrator Windows Server, Anda perlu menyelidiki dan memastikan Anda memahami langkah-langkah yang terlibat untuk membuat dan menyebarkan VM terlindungi.

Menerapkan VM terlindungi

Berikut ini adalah langkah-langkah tingkat tinggi yang diperlukan untuk menerapkan VM terlindungi. Langkah-langkahnya mencakup beberapa langkah yang terkait dengan VMM.

Tugas 1: Menginstal dan mengonfigurasi HGS

  1. Periksa prasyarat HGS dan siapkan lingkungan Anda untuk penyebaran HGS:

    1. Pastikan perangkat keras dan OS Anda memenuhi persyaratan prasyarat HGS, mencatat bahwa:

      • HGS dapat dijalankan pada komputer fisik atau virtual, tetapi komputer fisik direkomendasikan.
      • Jika Anda ingin menjalankan HGS sebagai kluster fisik 3 node, Anda harus memiliki 3 server fisik.
      • Persyaratan pengesahan:
        • Pengesahan Kunci Host memerlukan edisi Standard atau Datacenter Windows Server 2019 yang berjalan untuk pengesahan versi 2.
        • Pengesahan berbasis TPM memerlukan Windows Server 2019 atau Windows Server 2016, edisi Standar atau Pusat Data.

    2. Instal peran server HGS yang sesuai dan konfigurasikan domain fabric (host) Anda untuk memungkinkan penerusan DNS antara domain fabric dan domain HGS.

    Nota

    Saat menyebarkan HGS, Anda akan diminta untuk memberikan sertifikat penandatanganan dan enkripsi yang digunakan untuk melindungi informasi sensitif yang diperlukan untuk memulai Mesin Virtual yang terlindungi. Disarankan untuk menggunakan otoritas sertifikat tepercaya untuk mendapatkan dua sertifikat ini; namun, dimungkinkan untuk menggunakan sertifikat yang ditandatangani sendiri. Kedua sertifikat ini selalu tetap berada di host HGS.

  2. Konfigurasikan simpul HGS pertama:

    • Pilih apakah akan memasang HGS di forest AD DS yang dipisahkan atau di forest bastion yang ada.

  3. Konfigurasikan simpul HGS tambahan sesuai dengan lingkungan Anda:

    1. Setiap node HGS akan memerlukan akses ke penandatanganan dan sertifikat enkripsi yang sama. Kelola dengan memilih salah satu dari dua opsi berikut:

      • Ekspor sertifikat Anda ke file PFX dengan kata sandi dan izinkan HGS mengelola sertifikat untuk Anda.
      • Pasang sertifikat ke dalam penyimpanan sertifikat komputer lokal pada setiap simpul HGS dan berikan sidik jari tersebut ke HGS.

      Salah satu opsi valid tetapi akan memerlukan langkah-langkah yang sedikit berbeda selama penambahan node.

    2. Tambahkan simpul tambahan dengan menggunakan salah satu dari dua skenario berikut:

      • Tambahkan simpul HGS ke hutan HGS yang baru dan khusus.

        • Untuk menambahkan simpul HGS ke forest HGS yang baru dan khusus dengan sertifikat Pertukaran Informasi Pribadi (PFX):

          1. Promosikan simpul HGS ke pengendali domain.
          2. Menginisialisasi server HGS.

        • Untuk menambahkan simpul HGS ke hutan HGS khusus baru dengan thumbprint sertifikat:

          1. Promosikan simpul HGS ke pengendali domain.
          2. Menginisialisasi server HGS.
          3. Instal kunci privat untuk sertifikat.

      • Tambahkan simpul HGS ke forest bastion yang ada.

        • Untuk menambahkan node HGS ke bastion forest yang ada dengan sertifikat PFX:

          1. Gabungkan simpul ke domain yang ada.
          2. Berikan hak komputer untuk mengambil kata sandi Akun Layanan Terkelola (MSA) dan jalankan Install-ADServiceAccount.
          3. Menginisialisasi server HGS.

        • Untuk menambahkan simpul HGS ke forest bastion yang ada dengan sidik jari sertifikat.

          1. Gabungkan simpul ke domain yang ada.
          2. Berikan hak komputer untuk mengambil kata sandi MSA dan jalankan Install-ADServiceAccount.
          3. Menginisialisasi server HGS.
          4. Instal kunci privat untuk sertifikat.

    Nota

    HGS menggunakan akun layanan terkelola grup (gMSA) sebagai identitas akun untuk mengambil dan menggunakan sertifikatnya melalui beberapa simpul.

    Penting

    Di lingkungan produksi, HGS harus disiapkan dalam kluster ketersediaan tinggi untuk memastikan bahwa Mesin Virtual yang terlindungi dapat diaktifkan bahkan jika node HGS tidak aktif.

  4. Konfigurasikan DNS fabric agar host yang dilindungi dapat menyelesaikan kluster HGS.

  5. Verifikasi prasyarat untuk pengesahan pada host:

    1. Tinjau prasyarat host untuk mode pengesahan yang telah Anda pilih: mode TPM, Kunci, atau Admin.
    2. Tambahkan host ke HGS.

  6. Buat kunci host (Mode Kunci) atau kumpulkan informasi host (Mode TPM).

    • Untuk menyiapkan host Hyper-V menjadi host terlindungi menggunakan pengesahan Kunci Host (Mode kunci), buat pasangan kunci host (atau gunakan sertifikat yang ada), lalu tambahkan bagian publik dari kunci ke HGS.

    • Untuk menyiapkan host Hyper-V menjadi host yang terlindungi menggunakan pengesahan mode-TPM (mode kunci), ambil pengidentifikasi TPM host (kunci pengesahan), patokan TPM, dan kebijakan CI.

  7. Tambahkan kunci host (Mode kunci) atau informasi TPM (mode TPM) ke konfigurasi HGS.

  8. Pastikan bahwa HGS mengesahkan host sebagai host yang dijaga aman.

  9. (Opsional) Konfigurasikan infrastruktur komputasi VMM untuk menyebarkan dan mengelola host terlindungi Hyper-V dan VM yang dilindungi.

Tugas 2: Menyiapkan file OS .vhdx

  1. Siapkan disk OS (file.vhdx) dengan menggunakan salah satu opsi berikut:

    • Gunakan utilitas Hyper-V, Windows PowerShell , atau Microsoft Desktop Image Service Manager (DISM).
    • Siapkan VM secara manual dengan file .vhdx kosong dan instal OS ke disk tersebut.

  2. Instal pembaruan terbaru pada disk OS dengan menjalankan Windows Update.

Tugas 3: Membuat disk templat VM terlindungi di VMM

  1. Siapkan dan lindungi file .vhdx dengan menggunakan Wizard Pembuatan Disk Templat Terlindungi.

    • Untuk menggunakan disk templat dengan VM terlindungi, Anda harus menyiapkan disk dan mengenkripsinya dengan BitLocker dengan menggunakan Wizard Pembuatan Disk Templat Terlindungi.

  2. Salin template disk ke Pustaka VMM.

    • Jika Anda menggunakan VMM, setelah Anda membuat disk template, salin ke pustaka berbagi VMM sehingga host dapat mengunduh dan menggunakan disk saat menyediakan VM terlindung baru.

Tugas 4: Membuat file data perisai

  1. Bersiaplah untuk membuat file data pelindung (PDK):

    1. Dapatkan sertifikat untuk Sambungan Desktop Jarak Jauh.
    2. Buat file jawaban.
    3. Dapatkan file katalog tanda tangan volume.
    4. Atur kain tepercaya.

  2. Buat file data pelindung.

  3. Tambahkan wali yang diizinkan untuk menggunakan file data perlindungan.

Tugas 5: Menyebarkan VM terlindungi

  1. Sebarkan VM terlindungi dengan menggunakan Windows Azure Pack atau VMM:

    1. Unggah file data perisai sesuai dengan persyaratan untuk metode penyebaran yang Anda pilih, seperti Windows Azure Pack atau VMM.
    2. Menyediakan VM terlindung baru.

Tugas 6: Memulai VM terlindungi

Proses untuk memulai VM terlindungi adalah sebagai berikut:

  1. Pengguna meminta untuk memulai VM terlindungi.

  2. Layanan Pengesahan HGS memvalidasi kredensial host yang dijaga dan mengirim sertifikat pengesahan ke host yang dijaga.

  3. Host yang dijaga mengirimkan sertifikat pengesahan dan KP-nya ke KPS dan meminta kunci untuk membuka kunci VM yang dilindungi.

  4. KPS menentukan validitas sertifikat pengesahan, mendekripsi KP, mengambil kunci untuk membuka kunci VM terlindungi dan mengirim kunci ke host yang dijaga.

  5. Host terpagar menggunakan kunci untuk membuka dan memulai VM yang dilindungi.

    Nota

    > mencakup Wizard Pembuatan Disk Template Terlindungi, yang dapat diakses dari menu Alat di Manajer Server.