Bagikan melalui

VM terlindungi untuk penyewa - Membuat data perisai untuk menentukan VM terlindungi

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

File data perisai (juga disebut file data provisi atau file PDK) adalah file terenkripsi yang dibuat oleh penyewa atau pemilik VM untuk melindungi informasi konfigurasi VM penting, seperti kata sandi administrator, RDP dan sertifikat terkait identitas lainnya, kredensial gabungan domain, dan sebagainya. Topik ini menyediakan informasi tentang cara membuat file data perisai. Sebelum dapat membuat file, Anda harus mendapatkan disk templat dari penyedia layanan hosting Anda, atau membuat disk templat seperti yang dijelaskan dalam VM Terlindungi untuk penyewa - Membuat disk templat (opsional).

Untuk daftar dan diagram konten file data perisai, lihat Apa itu melindungi data dan mengapa diperlukan?.

Penting

Langkah-langkah di bagian ini harus diselesaikan pada mesin tepercaya terpisah di luar fabric yang dijaga. Biasanya, pemilik VM (penyewa) akan membuat data perisai untuk VM mereka, bukan administrator fabric.

Untuk bersiap membuat file data perisai, lakukan langkah-langkah berikut:

Kemudian Anda dapat membuat file data perisai:

(Opsional) Mendapatkan sertifikat untuk Koneksi desktop jarak jauh

Karena penyewa hanya dapat terhubung ke VM terlindungi mereka menggunakan Koneksi desktop jarak jauh atau alat manajemen jarak jauh lainnya, penting untuk memastikan bahwa penyewa dapat memverifikasi bahwa mereka terhubung ke titik akhir yang tepat (yaitu, tidak ada "orang di tengah" yang mencegat koneksi).

Salah satu cara untuk memverifikasi bahwa Anda tersambung ke server yang dimaksudkan adalah dengan menginstal dan mengonfigurasi sertifikat untuk Layanan Desktop Jauh untuk disajikan saat Anda memulai koneksi. Komputer klien yang terhubung ke server akan memeriksa apakah ia mempercayai sertifikat dan menunjukkan peringatan jika tidak. Umumnya, untuk memastikan klien yang menghubungkan mempercayai sertifikat, sertifikat RDP dikeluarkan dari PKI penyewa. Informasi selengkapnya tentang Menggunakan sertifikat di Layanan Desktop Jauh dapat ditemukan di TechNet.

Untuk membantu Anda memutuskan apakah Anda perlu mendapatkan sertifikat RDP kustom, pertimbangkan hal berikut:

  • Jika Anda hanya menguji VM terlindung di lingkungan lab, Anda tidak memerlukan sertifikat RDP kustom.
  • Jika VM Anda dikonfigurasi untuk bergabung dengan domain Direktori Aktif, sertifikat komputer biasanya akan dikeluarkan oleh otoritas sertifikat organisasi Anda secara otomatis dan digunakan untuk mengidentifikasi komputer selama koneksi RDP. Anda tidak memerlukan sertifikat RDP kustom.
  • Jika VM Anda tidak bergabung dengan domain tetapi Anda ingin cara memverifikasi bahwa Anda tersambung ke komputer yang benar saat menggunakan Desktop Jauh, Anda harus mempertimbangkan untuk menggunakan sertifikat RDP kustom.

Tip

Saat memilih sertifikat RDP untuk disertakan dalam file data perisai Anda, pastikan untuk menggunakan sertifikat kartubebas. Satu file data perisai dapat digunakan untuk membuat jumlah VM yang tidak terbatas. Karena setiap VM akan berbagi sertifikat yang sama, sertifikat kartubebas memastikan sertifikat akan valid terlepas dari nama host VM.

Membuat file jawaban

Karena disk templat yang ditandatangani di VMM digeneralisasi, penyewa diharuskan untuk menyediakan file jawaban untuk mengkhususkan VM terlindungi mereka selama proses provisi. File jawaban (sering disebut file tanpa pengawasan) dapat mengonfigurasi VM untuk peran yang dimaksudkan - yaitu, dapat menginstal fitur Windows, mendaftarkan sertifikat RDP yang dibuat pada langkah sebelumnya, dan melakukan tindakan kustom lainnya. Ini juga akan menyediakan informasi yang diperlukan untuk penyiapan Windows, termasuk kata sandi administrator default dan kunci produk.

Untuk informasi tentang mendapatkan dan menggunakan fungsi New-ShieldingDataAnswerFile untuk menghasilkan file jawaban (file Unattend.xml) untuk membuat VM terlindungi, lihat Membuat file jawaban dengan menggunakan fungsi New-ShieldingDataAnswerFile. Dengan menggunakan fungsi ini, Anda dapat dengan lebih mudah menghasilkan file jawaban yang mencerminkan pilihan seperti berikut:

  • Apakah VM dimaksudkan untuk bergabung dengan domain di akhir proses inisialisasi?
  • Apakah Anda akan menggunakan lisensi volume atau kunci produk tertentu per VM?
  • Apakah Anda menggunakan DHCP atau IP statis?
  • Apakah Anda akan menggunakan sertifikat Protokol Desktop Jauh (RDP) kustom yang akan digunakan untuk membuktikan bahwa VM milik organisasi Anda?
  • Ingin menjalankan skrip di akhir inisialisasi?

File jawaban yang digunakan dalam melindungi file data akan digunakan pada setiap VM yang dibuat menggunakan file data perisai tersebut. Oleh karena itu, Anda harus memastikan bahwa Anda tidak mengkodekan secara permanen informasi khusus VM apa pun ke dalam file jawaban. VMM mendukung beberapa string substitusi (lihat tabel di bawah) dalam file tanpa pengawasan untuk menangani nilai spesialisasi yang dapat berubah dari VM ke VM. Anda tidak diharuskan untuk menggunakan ini; namun, jika ada VMM akan memanfaatkannya.

Saat membuat file unattend.xml untuk VM terlindungi, ingatlah batasan berikut:

  • Jika Anda menggunakan VMM untuk mengelola pusat data Anda, file tanpa pengawasan harus mengakibatkan VM dimatikan setelah dikonfigurasi. Hal ini untuk memungkinkan VMM mengetahui kapan VMM harus melaporkan ke penyewa bahwa VM selesai menyediakan dan siap digunakan. VMM akan secara otomatis menyalakan kembali VM setelah mendeteksi VM telah dimatikan selama provisi.

  • Pastikan untuk mengaktifkan RDP dan aturan firewall yang sesuai sehingga Anda dapat mengakses VM setelah dikonfigurasi. Anda tidak dapat menggunakan konsol VMM untuk mengakses VM terlindungi, sehingga Anda memerlukan RDP untuk terhubung ke VM Anda. Jika Anda lebih suka mengelola sistem Anda dengan jarak jauh Windows PowerShell, pastikan WinRM diaktifkan juga.

  • Satu-satunya string substitusi yang didukung dalam file tanpa pengawasan VM terlindungi adalah sebagai berikut:

    Elemen yang Dapat Diganti String Substitusi
    ComputerName @ComputerName@
    TimeZone @TimeZone@
    ProductKey @ProductKey@
    IPAddr4-1 @IP4Addr-1@
    IPAddr6-1 @IP6Addr-1@
    MACAddr-1 @MACAddr-1@
    Awalan-1-1 @Prefix-1-1@
    NextHop-1-1 @NextHop-1-1@
    Awalan-1-2 @Prefix-1-2@
    NextHop-1-2 @NextHop-1-2@

    Jika Anda memiliki lebih dari satu NIC, Anda dapat menambahkan beberapa string substitusi untuk konfigurasi IP dengan menambahkan digit pertama. Misalnya, untuk mengatur alamat IPv4, subnet, dan gateway untuk 2 NIC, Anda akan menggunakan string substitusi berikut:

    String Substitusi Contoh penggantian
    @IP4Addr-1@ 192.168.1.10/24
    @MACAddr-1@ Ethernet
    @Prefix-1-1@ 24
    @NextHop-1-1@ 192.168.1.254
    @IP4Addr-2@ 10.0.20.30/24
    @MACAddr-2@ Ethernet 2
    @Prefix-2-1@ 24
    @NextHop-2-1@ 10.0.20.1

Saat menggunakan string substitusi, penting untuk memastikan bahwa string akan diisi selama proses provisi VM. Jika string seperti @ProductKey@ tidak disediakan pada waktu penyebaran, membiarkan <simpul ProductKey> dalam file tanpa pengawasan kosong, proses spesialisasi akan gagal dan Anda tidak akan dapat terhubung ke VM Anda.

Selain itu, perhatikan bahwa string substitusi terkait jaringan menjelang akhir tabel hanya digunakan jika Anda memanfaatkan Kumpulan Alamat IP Statis VMM. Penyedia layanan hosting Anda harus dapat memberi tahu Anda apakah string pengganti ini diperlukan. Untuk informasi selengkapnya tentang alamat IP statis dalam templat VMM, lihat yang berikut ini dalam dokumentasi VMM:

Terakhir, penting untuk dicatat bahwa proses penyebaran VM terlindungi hanya akan mengenkripsi drive OS. Jika Anda menyebarkan VM terlindungi dengan satu atau beberapa drive data, sangat disarankan agar Anda menambahkan perintah tanpa pengawasan atau pengaturan Kebijakan Grup di domain penyewa untuk mengenkripsi drive data secara otomatis.

Mendapatkan file katalog tanda tangan volume

Melindungi file data juga berisi informasi tentang disk templat yang dipercaya penyewa. Penyewa memperoleh tanda tangan disk dari disk templat tepercaya dalam bentuk file katalog tanda tangan volume (VSC). Tanda tangan ini kemudian divalidasi saat VM baru disebarkan. Jika tidak ada tanda tangan dalam file data perisai yang cocok dengan disk templat yang mencoba disebarkan dengan VM (yaitu dimodifikasi atau ditukar dengan disk yang berbeda dan berpotensi berbahaya), proses provisi akan gagal.

Penting

Meskipun VSC memastikan bahwa disk belum dirusak, masih penting bagi penyewa untuk mempercayai disk di tempat pertama. Jika Anda adalah penyewa dan disk templat disediakan oleh hoster Anda, sebarkan VM pengujian menggunakan disk templat tersebut dan jalankan alat Anda sendiri (antivirus, pemindai kerentanan, dan sebagainya) untuk memvalidasi disk, pada kenyataannya, dalam keadaan yang Anda percayai.

Ada dua cara untuk memperoleh VSC disk templat:

  1. Hoster (atau penyewa, jika penyewa memiliki akses ke VMM) menggunakan cmdlet PowerShell VMM untuk menyimpan VSC dan memberikannya ke penyewa. Ini dapat dilakukan pada komputer apa pun dengan konsol VMM diinstal dan dikonfigurasi untuk mengelola lingkungan VMM fabric hosting. Cmdlet PowerShell untuk menyimpan VSC adalah:

    $disk = Get-SCVirtualHardDisk -Name "templateDisk.vhdx"

$vsc = Get-SCVolumeSignatureCatalog -VirtualHardDisk $disk

$vsc.WriteToFile(".\templateDisk.vsc")

  2. Penyewa memiliki akses ke file disk templat. Ini mungkin terjadi jika penyewa membuat disk templat untuk diunggah ke penyedia layanan hosting atau jika penyewa dapat mengunduh disk templat hoster. Dalam hal ini, tanpa VMM dalam gambar, penyewa akan menjalankan cmdlet berikut (diinstal dengan fitur Alat VM Terlindungi, bagian dari Alat Administrasi Server Jarak Jauh):

    Save-VolumeSignatureCatalog -TemplateDiskPath templateDisk.vhdx -VolumeSignatureCatalogPath templateDisk.vsc

Pilih fabric tepercaya

Komponen terakhir dalam file data perisai berkaitan dengan pemilik dan wali VM. Wali digunakan untuk menunjuk pemilik VM terlindungi dan kain yang dijaga di mana ia berwenang untuk dijalankan.

Untuk mengotorisasi fabric hosting untuk menjalankan VM terlindungi, Anda harus mendapatkan metadata wali dari Host Guardian Service penyedia layanan hosting. Seringkali, penyedia layanan hosting akan memberi Anda metadata ini melalui alat manajemen mereka. Dalam skenario perusahaan, Anda mungkin memiliki akses langsung untuk mendapatkan metadata sendiri.

Anda atau penyedia layanan hosting Anda dapat memperoleh metadata wali dari HGS dengan melakukan salah satu tindakan berikut:

  • Dapatkan metadata wali langsung dari HGS dengan menjalankan perintah Windows PowerShell berikut, atau telusuri ke situs web dan simpan file XML yang ditampilkan:

    Invoke-WebRequest 'http://hgs.bastion.local/KeyProtection/service/metadata/2014-07/metadata.xml' -OutFile .\RelecloudGuardian.xml

  • Dapatkan metadata wali dari VMM menggunakan cmdlet PowerShell VMM:

    $relecloudmetadata = Get-SCGuardianConfiguration
$relecloudmetadata.InnerXml | Out-File .\RelecloudGuardian.xml -Encoding UTF8

Dapatkan file metadata wali untuk setiap fabric yang dijaga yang ingin Anda otorisasi VM terlindungi untuk dijalankan sebelum melanjutkan.

Membuat file data perisai dan menambahkan wali menggunakan wizard Shielding Data File

Jalankan wizard Shielding Data File untuk membuat file shielding data (PDK). Di sini, Anda akan menambahkan sertifikat RDP, file tanpa pengawas, katalog tanda tangan volume, wali pemilik, dan metadata wali yang diunduh yang diperoleh pada langkah sebelumnya.

  1. Instal Alat Administrasi Administrasi > Server Jarak Jauh Alat > Administrasi Fitur Alat VM Terlindungi di komputer Anda menggunakan Manajer Server atau perintah Windows PowerShell berikut:

    Install-WindowsFeature RSAT-Shielded-VM-Tools

  2. Buka Wizard File Data Perisai dari bagian Alat Administrator di menu Mulai Anda atau dengan menjalankan C:\Windows\System32\ShieldingDataFileWizard.exe berikut.

  3. Pada halaman pertama, gunakan kotak pemilihan file kedua untuk memilih lokasi dan nama file untuk file data perisai Anda. Biasanya, Anda akan memberi nama file data perisai setelah entitas yang memiliki VM apa pun yang dibuat dengan data perisai tersebut (misalnya, SDM, IT, Keuangan) dan peran beban kerja yang dijalankannya (misalnya, server file, server web, atau apa pun yang dikonfigurasi oleh file tanpa pengawasan). Biarkan tombol radio diatur ke Melindungi data untuk templat Terlindungi.

    Catatan

    Dalam Wizard File Data Perisai, Anda akan melihat dua opsi di bawah ini:

    • Melindungi data untuk templat Terlindungi
    • Melindungi data untuk VM dan templat non-Perisai yang ada
      Opsi pertama digunakan saat membuat VM terlindung baru dari templat terlindungi. Opsi kedua memungkinkan Anda membuat data perisai yang hanya dapat digunakan saat mengonversi VM yang ada atau membuat VM terlindung dari templat yang tidak terlindungi.

    Shielding Data File Wizard, file selection

    Selain itu, Anda harus memilih apakah VM yang dibuat menggunakan file data perisai ini akan benar-benar terlindungi atau dikonfigurasi dalam mode "didukung enkripsi". Untuk informasi selengkapnya tentang kedua opsi ini, lihat Apa saja jenis komputer virtual yang dapat dijalankan oleh kain yang dijaga?.

    Penting

    Perhatikan dengan cermat langkah berikutnya karena mendefinisikan pemilik VM terlindungi Anda dan fabric mana yang membuat VM terlindung Anda akan diotorisasi untuk dijalankan.
    Kepemilikan wali pemilik diperlukan untuk kemudian mengubah VM terlindung yang ada dari Shielded ke Encryption Didukung atau sebaliknya.

  4. Tujuan Anda dalam langkah ini adalah dua kali lipat:

    • Membuat atau memilih wali pemilik yang mewakili Anda sebagai pemilik VM

    • Impor wali yang Anda unduh dari Layanan Wali Host penyedia hosting (atau Anda sendiri) di langkah sebelumnya

    Untuk menunjuk wali pemilik yang ada, pilih wali yang sesuai dari menu drop-down. Hanya wali yang diinstal pada komputer lokal Anda dengan kunci privat yang utuh yang akan muncul dalam daftar ini. Anda juga dapat membuat wali pemilik Anda sendiri dengan memilih Kelola Wali Lokal di sudut kanan bawah dan mengklik Buat dan selesaikan wizard.

    Selanjutnya, kami mengimpor metadata wali yang diunduh sebelumnya lagi menggunakan halaman Pemilik dan Wali . Pilih Kelola Wali Lokal dari sudut kanan bawah. Gunakan fitur Impor untuk mengimpor file metadata wali. Klik OK setelah Anda mengimpor atau menambahkan semua wali yang diperlukan. Sebagai praktik terbaik, nama wali setelah penyedia layanan hosting atau pusat data perusahaan yang mereka wakili. Terakhir, pilih semua wali yang mewakili pusat data tempat VM terlindungi Anda berwenang untuk dijalankan. Anda tidak perlu memilih wali pemilik lagi. Klik Berikutnya setelah selesai.

    Shielding Data File Wizard, owner and guardians

  5. Pada halaman Pengualifikasi ID Volume, klik Tambahkan untuk mengotorisasi disk templat yang ditandatangani di file data perisai Anda. Saat Anda memilih VSC dalam kotak dialog, itu akan menampilkan informasi tentang nama, versi, dan sertifikat disk yang digunakan untuk menandatanganinya. Ulangi proses ini untuk setiap disk templat yang ingin Anda otorisasi.

  6. Pada halaman Nilai Spesialisasi, klik Telusuri untuk memilih file unattend.xml Anda yang akan digunakan untuk mengkhususkan VM Anda.

    Gunakan tombol Tambahkan di bagian bawah untuk menambahkan file tambahan apa pun ke PDK yang diperlukan selama proses spesialisasi. Misalnya, jika file tanpa pengawasan Anda menginstal sertifikat RDP ke VM (seperti yang dijelaskan dalam Membuat file jawaban dengan menggunakan fungsi New-ShieldingDataAnswerFile), Anda harus menambahkan file PFX sertifikat RDP dan skrip RDPCertificateConfig.ps1 di sini. Perhatikan bahwa setiap file yang Anda tentukan di sini akan secara otomatis disalin ke C:\temp\ pada VM yang dibuat. File tanpa pengawas Anda seharusnya mengharapkan file berada di folder tersebut saat merujuknya menurut jalur.

  7. Tinjau pilihan Anda di halaman berikutnya, lalu klik Hasilkan.

  8. Tutup panduan setelah selesai.

Membuat file data perisai dan menambahkan wali menggunakan PowerShell

Sebagai alternatif untuk wizard Shielding Data File, Anda dapat menjalankan New-ShieldingDataFile untuk membuat file data perisai.

Semua file data perisai perlu dikonfigurasi dengan sertifikat pemilik dan wali yang benar untuk mengotorisasi VM terlindungi Anda untuk dijalankan pada fabric yang dijaga. Anda dapat memeriksa apakah Anda memiliki wali yang diinstal secara lokal dengan menjalankan Get-HgsGuardian. Wali pemilik memiliki kunci privat sementara wali untuk pusat data Anda biasanya tidak.

Jika Anda perlu membuat wali pemilik, jalankan perintah berikut:

New-HgsGuardian -Name "Owner" -GenerateCertificates

Perintah ini membuat sepasang sertifikat penandatanganan dan enkripsi di penyimpanan sertifikat komputer lokal di bawah folder "Sertifikat Lokal VM Terlindungi". Anda akan memerlukan sertifikat pemilik dan kunci privat yang sesuai untuk melepaskan kaca komputer virtual, jadi pastikan sertifikat ini dicadangkan dan dilindungi dari pencurian. Penyerang dengan akses ke sertifikat pemilik dapat menggunakannya untuk memulai komputer virtual Anda yang terlindungi atau mengubah konfigurasi keamanannya.

Jika Anda perlu mengimpor informasi wali dari fabric yang dijaga tempat Anda ingin menjalankan komputer virtual (pusat data utama, pusat data cadangan, dll.), jalankan perintah berikut untuk setiap file metadata yang diambil dari fabric yang dijaga.

Import-HgsGuardian -Name 'EAST-US Datacenter' -Path '.\EastUSGuardian.xml'

Tip

Jika Anda menggunakan sertifikat yang ditandatangani sendiri atau sertifikat yang terdaftar di HGS kedaluwarsa, Anda mungkin perlu menggunakan -AllowUntrustedRoot bendera dan/atau -AllowExpired dengan perintah Import-HgsGuardian untuk melewati pemeriksaan keamanan.

Anda juga perlu mendapatkan katalog tanda tangan volume untuk setiap disk templat yang ingin Anda gunakan dengan file data perisai ini dan file jawaban data perisai untuk memungkinkan sistem operasi menyelesaikan tugas spesialisasinya secara otomatis. Terakhir, putuskan apakah Anda ingin VM Anda sepenuhnya terlindungi atau hanya mendukung vTPM. Gunakan -Policy Shielded untuk VM yang sepenuhnya terlindungi atau -Policy EncryptionSupported untuk VM yang diaktifkan vTPM yang memungkinkan koneksi konsol dasar dan PowerShell Direct.

Setelah semuanya siap, jalankan perintah berikut untuk membuat file data perisai Anda:

$viq = New-VolumeIDQualifier -VolumeSignatureCatalogFilePath 'C:\temp\marketing-ws2016.vsc' -VersionRule Equals
New-ShieldingDataFile -ShieldingDataFilePath "C:\temp\Marketing-LBI.pdk" -Policy EncryptionSupported -Owner 'Owner' -Guardian 'EAST-US Datacenter' -VolumeIDQualifier $viq -AnswerFile 'C:\temp\marketing-ws2016-answerfile.xml'

Tip

Jika Anda menggunakan sertifikat RDP kustom, kunci SSH, atau file lain yang perlu disertakan dengan file data perisai Anda, gunakan -OtherFile parameter untuk menyertakannya. Anda dapat memberikan daftar jalur file yang dipisahkan koma, seperti -OtherFile "C:\source\myRDPCert.pfx", "C:\source\RDPCertificateConfig.ps1"

Dalam perintah di atas, wali bernama "Pemilik" (diperoleh dari Get-HgsGuardian) akan dapat mengubah konfigurasi keamanan VM di masa mendatang, sementara 'Pusat Data EAST-US' dapat menjalankan VM tetapi tidak mengubah pengaturannya. Jika Anda memiliki lebih dari satu wali, pisahkan nama wali dengan koma seperti 'EAST-US Datacenter', 'EMEA Datacenter'. Kualifikasi ID volume menentukan apakah Anda hanya mempercayai versi yang tepat (Sama) dari disk templat atau versi mendatang (GreaterThanOrEquals) juga. Nama disk dan sertifikat penandatanganan harus sama persis dengan perbandingan versi yang dipertimbangkan pada waktu penyebaran. Anda dapat mempercayai lebih dari satu disk templat dengan menyediakan daftar kualifikasi ID volume yang dipisahkan koma ke -VolumeIDQualifier parameter . Terakhir, jika Anda memiliki file lain yang perlu menyertai file jawaban dengan VM, gunakan -OtherFile parameter dan berikan daftar jalur file yang dipisahkan koma.

Lihat dokumentasi cmdlet untuk New-ShieldingDataFile dan New-VolumeIDQualifier untuk mempelajari cara tambahan untuk mengonfigurasi file data perisai Anda.

Referensi Tambahan