Membuat disk templat VM terlindungi Windows
Seperti halnya VM reguler, Anda dapat membuat templat VM (misalnya, templat VM di Virtual Machine Manager (VMM)) untuk memudahkan penyewa dan administrator untuk menyebarkan VM baru pada fabric menggunakan disk templat. Karena VM terlindungi adalah aset yang sensitif terhadap keamanan, ada langkah tambahan untuk membuat templat VM yang mendukung perisai. Topik ini mencakup langkah-langkah untuk membuat disk templat terlindungi dan templat VM di VMM.
Untuk memahami bagaimana topik ini cocok dalam proses keseluruhan penyebaran VM terlindungi, lihat Langkah-langkah konfigurasi penyedia layanan hosting untuk host yang dijaga dan VM terlindungi.
Menyiapkan sistem operasi VHDX
Pertama-tama siapkan disk OS yang kemudian akan Anda jalankan melalui Wizard Pembuatan Disk Templat Terlindungi. Disk ini akan digunakan sebagai disk OS di VM penyewa Anda. Anda dapat menggunakan alat yang ada untuk membuat disk ini, seperti Microsoft Desktop Image Service Manager (DISM), atau menyiapkan VM secara manual dengan VHDX kosong dan menginstal OS ke disk tersebut. Saat menyiapkan disk, disk harus mematuhi persyaratan berikut yang khusus untuk VM generasi 2 dan/atau terlindungi:
Persyaratan untuk VHDX | Alasan |
---|---|
Harus berupa disk GUID Partition Table (GPT) | Diperlukan untuk komputer virtual generasi 2 untuk mendukung UEFI |
Jenis disk harus Dasar dibandingkan dengan Dinamis. Catatan: Ini mengacu pada jenis disk logis, bukan fitur VHDX "memperluas secara dinamis" yang didukung oleh Hyper-V. |
BitLocker TIDAK mendukung disk dinamis. |
Disk memiliki setidaknya dua partisi. Satu partisi harus menyertakan drive tempat Windows diinstal. Ini adalah drive yang akan dienkripsi BitLocker. Partisi lainnya adalah partisi aktif, yang berisi bootloader dan tetap tidak terenkripsi sehingga komputer dapat dimulai. | Diperlukan untuk BitLocker |
Sistem file adalah NTFS | Diperlukan untuk BitLocker |
Sistem operasi yang diinstal pada VHDX adalah salah satu hal berikut: - Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, atau Windows Server 2012 - Windows 10, Windows 8.1, Windows 8 |
Diperlukan untuk mendukung komputer virtual generasi 2 dan templat Microsoft Secure Boot |
Sistem operasi harus digeneralisasi (jalankan sysprep.exe) | Provisi templat melibatkan spesialisasi VM untuk beban kerja penyewa tertentu |
Catatan
Jika Anda menggunakan VMM, jangan salin disk templat ke pustaka VMM pada tahap ini.
Menjalankan Windows Update pada sistem operasi templat
Pada disk templat, verifikasi bahwa sistem operasi telah menginstal semua pembaruan Windows terbaru. Pembaruan yang baru dirilis meningkatkan keandalan proses perisai end-to-end - proses yang mungkin gagal diselesaikan jika sistem operasi templat tidak diperbarui.
Menyiapkan dan melindungi VHDX dengan wizard disk templat
Untuk menggunakan disk templat dengan VM terlindungi, disk harus disiapkan dan dienkripsi dengan BitLocker dengan menggunakan Wizard Pembuatan Disk Templat Terlindungi. Wisaya ini akan menghasilkan hash untuk disk dan menambahkannya ke katalog tanda tangan volume (VSC). VSC ditandatangani menggunakan sertifikat yang Anda tentukan dan digunakan selama proses provisi untuk memastikan disk yang disebarkan untuk penyewa belum diubah atau diganti dengan disk yang tidak dipercaya penyewa. Akhirnya, BitLocker diinstal pada sistem operasi disk (jika belum ada) untuk menyiapkan disk untuk enkripsi selama provisi VM.
Catatan
Wizard disk templat akan mengubah disk templat yang Anda tentukan di tempat. Anda mungkin ingin membuat salinan VHDX yang tidak terlindungi sebelum menjalankan wizard untuk membuat pembaruan pada disk di lain waktu. Anda tidak akan dapat mengubah disk yang telah dilindungi dengan wizard disk templat.
Lakukan langkah-langkah berikut pada komputer yang menjalankan Windows Server 2016, Windows 10 (dengan Alat Manajemen Server Jarak Jauh, RSAT terinstal) atau yang lebih baru (tidak perlu menjadi host yang dijaga atau server VMM):
Salin VHDX umum yang dibuat di Menyiapkan sistem operasi VHDX ke server, jika belum ada.
Untuk mengelola server secara lokal, instal fitur Alat VM Terlindungi dari Alat Administrasi Server Jarak Jauh di server.
Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
Anda juga dapat mengelola server dari komputer klien tempat Anda menginstal Alat Administrasi Server Jarak Jauh Windows 10.
Dapatkan atau buat sertifikat untuk menandatangani VSC untuk VHDX yang akan menjadi disk templat untuk VM terlindung baru. Detail tentang sertifikat ini akan ditampilkan kepada penyewa ketika mereka membuat file data perisai mereka dan mengotorisasi disk yang mereka percayai. Oleh karena itu, penting untuk mendapatkan sertifikat ini dari otoritas sertifikat yang saling dipercaya oleh Anda dan penyewa Anda. Dalam skenario perusahaan di mana Anda adalah host dan penyewa, Anda mungkin mempertimbangkan untuk mengeluarkan sertifikat ini dari PKI Anda.
Jika Anda menyiapkan lingkungan pengujian dan hanya ingin menggunakan sertifikat yang ditandatangani sendiri untuk menyiapkan disk templat Anda, jalankan perintah yang mirip dengan yang berikut ini:
New-SelfSignedCertificate -DnsName publisher.fabrikam.com
Mulai Wizard Disk Templat dari folder Alat Administratif di menu Mulai atau dengan mengetik TemplateDiskWizard.exe ke dalam perintah.
Pada halaman Sertifikat , klik Telusuri untuk menampilkan daftar sertifikat. Pilih sertifikat untuk menyiapkan templat disk. Klik OK lalu klik Berikutnya.
Pada halaman Disk Virtual, klik Telusuri untuk memilih VHDX yang telah Anda siapkan, lalu klik Berikutnya.
Pada halaman Katalog Tanda Tangan, berikan nama dan versi disk yang mudah diingat. Bidang ini ada untuk membantu Anda mengidentifikasi disk setelah disiapkan.
Misalnya, untuk nama disk, Anda dapat mengetik WS2016 dan untuk Versi, 1.0.0.0
Tinjau pilihan Anda di halaman Tinjau Pengaturan wizard. Saat Anda mengklik Buat, wizard akan mengaktifkan BitLocker pada disk templat, menghitung hash disk, dan membuat Katalog Tanda Tangan Volume, yang disimpan dalam metadata VHDX.
Tunggu hingga proses persiapan selesai sebelum mencoba memasang atau memindahkan disk templat. Proses ini mungkin perlu waktu cukup lama untuk diselesaikan, tergantung pada ukuran disk Anda.
Penting
Disk templat hanya dapat digunakan dengan proses provisi VM terlindungi yang aman. Mencoba mem-boot VM reguler (tanpa kaca) menggunakan disk templat kemungkinan akan mengakibatkan kesalahan berhenti (layar biru) dan tidak didukung.
Pada halaman Ringkasan , informasi tentang templat disk, sertifikat yang digunakan untuk menandatangani VSC, dan penerbit sertifikat ditampilkan. Klik Tutup untuk keluar dari wizard.
Jika Anda menggunakan VMM, ikuti langkah-langkah di bagian yang tersisa dalam topik ini untuk menggabungkan disk templat ke dalam templat VM terlindungi di VMM.
Salin disk templat ke Pustaka VMM
Jika Anda menggunakan VMM, setelah membuat disk templat, Anda perlu menyalinnya ke berbagi pustaka VMM sehingga host dapat mengunduh dan menggunakan disk saat menyediakan VM baru. Gunakan prosedur berikut untuk menyalin disk templat ke pustaka VMM lalu refresh pustaka.
Salin file VHDX ke folder berbagi pustaka VMM. Jika Anda menggunakan konfigurasi VMM default, salin disk templat ke \<\vmmserver>\MSSCVMMLibrary\VHDs.
Refresh server pustaka. Buka ruang kerja Pustaka, perluas Server Pustaka, klik kanan pada server pustaka yang ingin Anda refresh, dan klik Refresh.
Selanjutnya, berikan informasi kepada VMM tentang sistem operasi yang diinstal pada disk templat:
a. Temukan disk templat yang baru diimpor di server pustaka Anda di ruang kerja Pustaka .
b. Klik kanan disk, lalu klik Properti.
c. Untuk sistem operasi, perluas daftar dan pilih sistem operasi yang diinstal pada disk. Memilih sistem operasi menunjukkan ke VMM bahwa VHDX tidak kosong.
d. Ketika Anda telah memperbarui properti, klik OK.
Ikon perisai kecil di samping nama disk menunjukkan disk sebagai disk templat yang disiapkan untuk VM terlindungi. Anda juga dapat mengklik kanan header kolom dan mengalihkan kolom Terlindungi untuk melihat representasi tekstual yang menunjukkan apakah disk dimaksudkan untuk penyebaran VM reguler atau terlindungi.
Membuat templat VM terlindungi di VMM menggunakan disk templat yang disiapkan
Dengan disk templat yang disiapkan di pustaka VMM Anda, Anda siap untuk membuat templat VM untuk VM terlindungi. Templat VM untuk VM terlindungi sedikit berbeda dari templat VM tradisional dalam pengaturan tertentu diperbaiki (VM generasi 2, UEFI dan Boot Aman diaktifkan, dan sebagainya) dan yang lain tidak tersedia (penyesuaian penyewa terbatas pada beberapa, pilih properti VM). Untuk membuat templat VM, lakukan langkah-langkah berikut:
Di ruang kerja Pustaka, klik Buat Templat VM pada tab beranda di bagian atas.
Pada halaman Pilih Sumber , klik Gunakan templat VM yang ada atau hard disk virtual yang disimpan di pustaka, lalu klik Telusuri.
Di jendela yang muncul, pilih disk templat yang disiapkan dari pustaka VMM. Untuk lebih mudah mengidentifikasi disk mana yang disiapkan, klik kanan header kolom dan aktifkan kolom Terlindungi . Klik OK lalu Berikutnya.
Tentukan nama templat VM dan deskripsi opsional, lalu klik Berikutnya.
Pada halaman Konfigurasi Perangkat Keras , tentukan kemampuan VM yang dibuat dari templat ini. Pastikan setidaknya satu NIC tersedia dan dikonfigurasi pada templat VM. Satu-satunya cara bagi penyewa untuk terhubung ke VM terlindungi adalah melalui Koneksi Desktop Jarak Jauh, Manajemen Jarak Jauh Windows, atau alat manajemen jarak jauh pra-konfigurasi lainnya yang berfungsi melalui protokol jaringan.
Jika Anda memilih untuk memanfaatkan kumpulan IP statis di VMM alih-alih menjalankan server DHCP di jaringan penyewa, Anda harus memperingatkan penyewa Anda ke konfigurasi ini. Ketika penyewa memasok file data perisai mereka, yang berisi file tanpa pengawas untuk VMM, mereka harus memberikan nilai tempat penampung khusus untuk informasi kumpulan IP statis. Untuk informasi selengkapnya tentang tempat penampung VMM dalam file tanpa pengawas penyewa, lihat Membuat file jawaban.
Pada halaman Konfigurasi Sistem Operasi, VMM hanya akan menampilkan beberapa opsi untuk VM terlindungi, termasuk kunci produk, zona waktu, dan nama komputer. Beberapa informasi aman, seperti kata sandi administrator dan nama domain, ditentukan oleh penyewa melalui file data perisai (. File PDK).
Catatan
Jika Anda memilih untuk menentukan kunci produk di halaman ini, pastikan kunci tersebut valid untuk sistem operasi pada disk templat. Jika kunci produk yang salah digunakan, pembuatan VM akan gagal.
Setelah templat dibuat, penyewa dapat menggunakannya untuk membuat komputer virtual baru. Anda perlu memverifikasi bahwa templat VM adalah salah satu sumber daya yang tersedia untuk peran pengguna Administrator Penyewa (di VMM, peran pengguna berada di ruang kerja Pengaturan ).
Menyiapkan dan melindungi VHDX menggunakan PowerShell
Sebagai alternatif untuk menjalankan Wizard Disk Templat, Anda dapat menyalin disk templat dan sertifikat Anda ke komputer yang menjalankan RSAT dan menjalankan Protect-TemplateDisk untuk memulai proses penandatanganan.
Contoh berikut menggunakan nama dan informasi versi yang ditentukan oleh parameter TemplateName dan Version .
VHDX yang Anda berikan ke -Path
parameter akan ditimpa dengan disk templat yang diperbarui, jadi pastikan untuk membuat salinan sebelum menjalankan perintah.
# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT
Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0
Disk templat Anda sekarang siap digunakan untuk memprovisikan VM terlindungi. Jika Anda menggunakan System Center Virtual Machine Manager untuk menyebarkan VM, Anda sekarang dapat menyalin VHDX ke pustaka VMM Anda.
Anda mungkin juga ingin mengekstrak katalog tanda tangan volume dari VHDX. File ini digunakan untuk memberikan informasi tentang sertifikat penandatanganan, nama disk, dan versi kepada pemilik VM yang ingin menggunakan templat Anda. Mereka perlu mengimpor file ini ke Wizard File Data Perisai untuk mengotorisasi Anda, pembuat templat yang memiliki sertifikat penandatanganan, untuk membuat disk templat ini dan di masa mendatang untuk mereka.
Untuk mengekstrak katalog tanda tangan volume, jalankan perintah berikut di PowerShell:
Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'