Mulai cepat untuk penyebaran fabric yang dijaga

Artikel
25/08/2023
Berlaku untuk:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Topik ini menjelaskan apa itu fabric yang dijaga, persyaratannya, dan ringkasan proses penyebaran. Untuk langkah-langkah penyebaran terperinci, lihat Menyebarkan Layanan Wali Host untuk host yang dijaga dan VM terlindungi.

Lebih suka video? Lihat kursus Microsoft Virtual Academy Menyebarkan VM Terlindungi dan Guarded Fabric dengan Windows Server 2016.

Apa itu kain yang dijaga

Fabric yang dijaga adalah fabric Hyper-V Windows Server 2016 yang mampu melindungi beban kerja penyewa dari inspeksi, pencurian, dan perusakan dari malware yang berjalan di host, serta dari administrator sistem. Beban kerja penyewa virtual ini—dilindungi baik saat tidak aktif maupun dalam penerbangan—disebut VM terlindungi.

Apa persyaratan untuk kain yang dijaga

Persyaratan untuk fabric yang dijaga meliputi:

Tempat untuk menjalankan VM terlindungi yang bebas dari perangkat lunak berbahaya.

Ini disebut host yang dijaga. Host yang dijaga adalah host Hyper-V edisi Pusat Data Windows Server 2016 yang dapat menjalankan VM terlindungi hanya jika mereka dapat membuktikan bahwa mereka berjalan dalam status tepercaya yang diketahui ke otoritas eksternal yang disebut Host Guardian Service (HGS). HGS adalah peran server baru di Windows Server 2016, dan biasanya disebarkan sebagai kluster tiga node.
Cara untuk memverifikasi bahwa host dalam keadaan sehat.

HGS melakukan pengesahan, di mana ia mengukur kesehatan host yang dijaga.
Proses untuk melepaskan kunci dengan aman ke host yang sehat.

HGS melakukan perlindungan kunci dan rilis kunci, di mana ia merilis kunci kembali ke host yang sehat.
Alat manajemen untuk mengotomatiskan provisi dan hosting aman VM terlindungi.

Secara opsional, Anda dapat menambahkan alat manajemen ini ke fabric yang dijaga:
- System Center 2016 Virtual Machine Manager (VMM). VMM direkomendasikan karena menyediakan alat manajemen tambahan di luar apa yang Anda dapatkan dari hanya menggunakan cmdlet PowerShell yang dilengkapi dengan Hyper-V dan beban kerja fabric yang dijaga).
- System Center 2016 Service Provider Foundation (SPF). Ini adalah lapisan API antara Windows Azure Pack dan VMM, dan prasyarat untuk menggunakan Windows Azure Pack.
- Windows Azure Pack menyediakan antarmuka web grafis yang baik untuk mengelola fabric yang dijaga dan VM terlindungi.

Dalam praktiknya, satu keputusan harus dibuat di depan: mode pengesahan yang digunakan oleh kain yang dijaga. Ada dua cara—dua mode yang saling eksklusif—yang dengannya HGS dapat mengukur bahwa host Hyper-V sehat. Saat menginisialisasi HGS, Anda perlu memilih mode:

Pengesahan kunci host, atau mode kunci, kurang aman tetapi lebih mudah diadopsi
Pengesahan berbasis TPM, atau mode TPM, lebih aman tetapi memerlukan konfigurasi yang lebih dan perangkat keras tertentu

Jika perlu, Anda dapat menyebarkan dalam mode kunci menggunakan host Hyper-V yang ada yang telah ditingkatkan ke edisi Pusat Data Windows Server 2019, lalu mengonversi ke mode TPM yang lebih aman saat mendukung perangkat keras server (termasuk TPM 2.0) tersedia.

Sekarang setelah Anda tahu apa potongan-potongannya, mari kita telusuri contoh model penyebaran.

Cara mendapatkan dari fabric Hyper-V saat ini ke fabric yang dijaga

Mari kita bayangkan skenario ini—Anda memiliki fabric Hyper-V yang ada, seperti Contoso.com dalam gambar berikut, dan Anda ingin membangun fabric yang dijaga Windows Server 2016.

Fabric Hyper-V yang ada

Langkah 1: Sebarkan host Hyper-V yang menjalankan Windows Server 2016

Host Hyper-V perlu menjalankan edisi Pusat Data Windows Server 2016 atau yang lebih baru. Jika Anda meningkatkan host, Anda dapat meningkatkan dari edisi Standar ke edisi Pusat Data.

Meningkatkan host Hyper-V

Langkah 2: Menyebarkan Host Guardian Service (HGS)

Kemudian instal peran server HGS dan sebarkan sebagai kluster tiga node, seperti contoh relecloud.com dalam gambar berikut. Ini memerlukan tiga cmdlet PowerShell:

Untuk menambahkan peran HGS, gunakan Install-WindowsFeature
Untuk menginstal HGS, gunakan Install-HgsServer
Untuk menginisialisasi HGS dengan mode pengesahan yang Anda pilih, gunakan Initialize-HgsServer

Jika server Hyper-V Anda yang ada tidak memenuhi prasyarat untuk mode TPM (misalnya, mereka tidak memiliki TPM 2.0), Anda dapat menginisialisasi HGS menggunakan pengesahan berbasis Admin (mode AD), yang memerlukan kepercayaan Direktori Aktif dengan domain fabric.

Dalam contoh kami, katakanlah Contoso awalnya disebarkan dalam mode AD untuk segera memenuhi persyaratan kepatuhan, dan berencana untuk mengonversi ke pengesahan berbasis TPM yang lebih aman setelah perangkat keras server yang sesuai dapat dibeli.

Menginstal HGS

Langkah 3: Mengekstrak identitas, garis besar perangkat keras, dan kebijakan integritas kode

Proses untuk mengekstrak identitas dari host Hyper-V tergantung pada mode pengesahan yang digunakan.

Untuk mode AD, ID host adalah akun komputer yang bergabung dengan domainnya, yang harus menjadi anggota grup keamanan yang ditunjuk di domain fabric. Keanggotaan dalam grup yang ditunjuk adalah satu-satunya penentuan apakah host sehat atau tidak.

Dalam mode ini, admin fabric bertanggung jawab penuh untuk memastikan kesehatan host Hyper-V. Karena HGS tidak berperan dalam memutuskan apa yang atau tidak diizinkan untuk dijalankan, malware dan debugger akan berfungsi seperti yang dirancang.

Namun, debugger yang mencoba melampirkan langsung ke proses (seperti WinDbg.exe) diblokir untuk VM terlindungi karena proses pekerja VM (VMWP.exe) adalah lampu proses yang dilindungi (PPL). Teknik penelusuran kesalahan alternatif, seperti yang digunakan oleh LiveKd.exe, tidak diblokir. Tidak seperti VM terlindungi, proses pekerja untuk VM yang didukung enkripsi tidak berjalan sebagai PPL sehingga debugger tradisional seperti WinDbg.exe akan terus berfungsi secara normal.

Dinyatakan dengan cara lain, langkah validasi ketat yang digunakan untuk mode TPM tidak digunakan untuk mode AD dengan cara apa pun.

Untuk mode TPM, diperlukan tiga hal:

Kunci dukungan publik (atau EKpub) dari TPM 2.0 pada masing-masing dan setiap host Hyper-V. Untuk menangkap EKpub, gunakan Get-PlatformIdentifier.
Garis besar perangkat keras. Jika masing-masing host Hyper-V Anda identik, maka satu garis besar adalah yang Anda butuhkan. Jika tidak, Anda akan memerlukannya untuk setiap kelas perangkat keras. Garis besar dalam bentuk logfile Grup Komputasi Tepercaya, atau TCGlog. TCGlog berisi semua yang dilakukan host, dari firmware UEFI, melalui kernel, hingga tempat host sepenuhnya di-boot. Untuk menangkap garis besar perangkat keras, instal peran Hyper-V dan fitur Dukungan Hyper-V Host Guardian dan gunakan Get-HgsAttestationBaselinePolicy.
Kebijakan Integritas Kode. Jika masing-masing host Hyper-V Anda identik, maka satu kebijakan CI adalah semua yang Anda butuhkan. Jika tidak, Anda akan memerlukannya untuk setiap kelas perangkat keras. Windows Server 2016 dan Windows 10 keduanya memiliki bentuk penegakan baru untuk kebijakan CI, yang disebut Hypervisor-enforced Code Integrity (HVCI). HVCI memberikan penegakan yang kuat dan memastikan bahwa host hanya diizinkan untuk menjalankan biner yang telah diizinkan oleh admin tepercaya untuk dijalankan. Instruksi tersebut dibungkus dalam kebijakan CI yang ditambahkan ke HGS. HGS mengukur kebijakan CI setiap host sebelum diizinkan untuk menjalankan VM terlindungi. Untuk mengambil kebijakan CI, gunakan New-CIPolicy. Kebijakan kemudian harus dikonversi ke formulir binernya menggunakan ConvertFrom-CIPolicy.

Mengekstrak identitas, garis besar, dan kebijakan CI

Itu saja—kain yang dijaga dibangun, dalam hal infrastruktur untuk menjalankannya. Sekarang Anda dapat membuat disk templat VM terlindungi dan file data perisai sehingga VM terlindungi dapat disediakan dengan sederhana dan aman.

Langkah 4: Buat templat untuk VM terlindungi

Templat VM terlindungi melindungi disk templat dengan membuat tanda tangan disk pada titik waktu yang dapat dipercaya yang diketahui. Jika disk templat nantinya terinfeksi oleh malware, tanda tangannya akan berbeda dengan templat asli yang akan terdeteksi oleh proses provisi VM terlindung aman. Disk templat terlindungi dibuat dengan menjalankan Wizard Pembuatan Disk Templat Terlindungi atau Protect-TemplateDisk terhadap disk templat biasa.

Masing-masing disertakan dengan fitur Alat VM Terlindungi di Alat Administrasi Server Jarak Jauh untuk Windows 10. Setelah Anda mengunduh RSAT, jalankan perintah ini untuk menginstal fitur Alat VM Terlindungi:

PowerShell

Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart

Administrator yang dapat dipercaya, seperti administrator fabric atau pemilik VM, akan memerlukan sertifikat (sering disediakan oleh Penyedia Layanan Hosting) untuk menandatangani disk templat VHDX.

Wizard disk templat terlindungi

Tanda tangan disk dihitung melalui partisi OS disk virtual. Jika ada perubahan pada partisi OS, tanda tangan juga akan berubah. Ini memungkinkan pengguna untuk sangat mengidentifikasi disk mana yang mereka percayai dengan menentukan tanda tangan yang sesuai.

Tinjau persyaratan disk templat sebelum Anda memulai.

Langkah 5: Membuat file data perisai

File data perisai, juga dikenal sebagai file .pdk, menangkap informasi sensitif tentang komputer virtual, seperti kata sandi Administrator.

Melindungi data

File data perisai juga mencakup pengaturan kebijakan keamanan untuk VM terlindungi. Anda harus memilih salah satu dari dua kebijakan keamanan saat membuat file data perisai:

Terlindung

Opsi paling aman, yang menghilangkan banyak vektor serangan administratif.
Enkripsi didukung

Tingkat perlindungan yang lebih rendah yang masih memberikan manfaat kepatuhan untuk dapat mengenkripsi VM, tetapi memungkinkan admin Hyper-V untuk melakukan hal-hal seperti menggunakan koneksi konsol VM dan PowerShell Direct.

Anda dapat menambahkan bagian manajemen opsional seperti VMM atau Windows Azure Pack. Jika Anda ingin membuat VM tanpa menginstal potongan-potongan tersebut, lihat Langkah demi langkah - Membuat VM Terlindungi tanpa VMM.

Langkah 6: Membuat VM terlindungi

Membuat komputer virtual terlindungi sangat sedikit berbeda dari komputer virtual biasa. Di Windows Azure Pack, pengalaman ini bahkan lebih mudah daripada membuat VM biasa karena Anda hanya perlu menyediakan nama, melindungi file data (berisi informasi spesialisasi lainnya), dan jaringan VM.

VM terlindung baru di Windows Azure Pack

Langkah selanjutnya

Prasyarat HGS

Sumber Daya Tambahan:

Dokumentasi

Panduan Perencanaan VM Guarded Fabric dan Shielded untuk Penyewa

Menyediakan panduan untuk melindungi fabric dan perencanaan VM terlindungi untuk pemilik VM yang perlu melindungi komputer virtual mereka.
Merencanakan fabric yang dijaga dan VM terlindungi

Pelajari selengkapnya tentang: Merencanakan Guarded Fabric
Panduan Perencanaan Guarded Fabric dan Shielded VM untuk Hoster

Menjelaskan dua keputusan utama yang diperlukan untuk mengaktifkan komputer virtual terlindung pada pengaturan fabric Hyper-V.
Menerapkan Layanan Perlindungan Host

Pelajari selengkapnya tentang: Menyebarkan Layanan Wali Host
Perangkat keras yang kompatibel dengan perlindungan Integritas Kode berbasis Virtualisasi Windows Server

Pelajari selengkapnya tentang: Perangkat keras yang kompatibel dengan perlindungan Integritas Kode berbasis Virtualisasi Windows Server
Mengelola Guarded Fabric

Pelajari selengkapnya tentang: Mengelola Guarded Fabric
Sebarkan Layanan Penjaga Host

Pelajari selengkapnya tentang: Menyebarkan Host Guardian Service (HGS)
Tinjau prasyarat HGS

Pelajari selengkapnya tentang: Meninjau prasyarat untuk Layanan Wali Host

Pelatihan

Modul

Mengamankan beban kerja Hyper-V - Training

Mengamankan beban kerja Hyper-V

Sertifikasi

Microsoft Certified: Azure Virtual Desktop Specialty - Certifications

Rencanakan, berikan, kelola, dan pantau pengalaman desktop virtual dan aplikasi jarak jauh di Microsoft Azure untuk perangkat apa pun.

Acara

Windows Server Summit

29 Apr, 14 - 30 Apr, 19

Bergabunglah dengan acara virtual Windows Server utama 29-30 April untuk sesi teknis mendalam dan tanya jawab langsung dengan teknisi Microsoft.

Daftar sekarang

Bagikan melalui