VM terlindungi untuk penyewa - Membuat disk templat (opsional)
Untuk membuat VM terlindung baru, Anda harus menggunakan disk templat yang disiapkan dan ditandatangani secara khusus. Metadata dari disk templat yang ditandatangani membantu memastikan bahwa disk tidak dimodifikasi setelah dibuat dan memungkinkan Anda sebagai penyewa untuk membatasi disk mana yang dapat digunakan untuk membuat VM terlindung Anda. Salah satu cara untuk menyediakan disk ini adalah untuk Anda, penyewa, untuk membuatnya, seperti yang dijelaskan dalam topik ini.
Penting
Jika mau, Anda dapat menggunakan disk templat yang disediakan oleh penyedia layanan hosting Anda. Jika Anda melakukan ini, penting untuk menyebarkan VM pengujian menggunakan disk templat tersebut dan menjalankan alat Anda sendiri (antivirus, pemindai kerentanan, dan sebagainya) untuk memvalidasi disk, pada kenyataannya, dalam keadaan yang Anda percayai.
Menyiapkan sistem operasi VHDX
Untuk membuat disk templat terlindungi, Anda harus terlebih dahulu menyiapkan disk OS yang akan dijalankan melalui wizard disk templat. Disk ini akan digunakan sebagai disk OS di VM terlindungi. Anda dapat menggunakan alat yang ada untuk membuat disk ini, seperti Microsoft Desktop Image Service Manager (DISM), atau menyiapkan VM secara manual dengan VHDX kosong dan menginstal OS ke disk tersebut. Saat menyiapkan disk, disk harus mematuhi persyaratan berikut yang khusus untuk VM generasi 2 dan/atau terlindungi:
| Persyaratan untuk VHDX | Alasan |
|---|---|
| Harus berupa disk GUID Partition Table (GPT) | Diperlukan untuk komputer virtual generasi 2 untuk mendukung UEFI |
| Jenis disk harus Dasar dibandingkan dengan Dinamis. Catatan: Ini mengacu pada jenis disk logis, bukan fitur VHDX "memperluas secara dinamis" yang didukung oleh Hyper-V. |
BitLocker TIDAK mendukung disk dinamis. |
| Disk memiliki setidaknya dua partisi. Satu partisi harus menyertakan drive tempat Windows diinstal. Ini adalah drive yang akan dienkripsi BitLocker. Partisi lainnya adalah partisi aktif, yang berisi bootloader dan tetap tidak terenkripsi sehingga komputer dapat dimulai. | Diperlukan untuk BitLocker |
| Sistem file adalah NTFS | Diperlukan untuk BitLocker |
| Sistem operasi yang diinstal pada VHDX adalah salah satu hal berikut: - Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, atau Windows Server 2012 - Windows 10, Windows 8.1, Windows 8 |
Diperlukan untuk mendukung komputer virtual generasi 2 dan templat Microsoft Secure Boot |
| Sistem operasi harus digeneralisasi (jalankan sysprep.exe) | Provisi templat melibatkan spesialisasi VM untuk beban kerja penyewa tertentu |
Catatan
Jangan salin disk templat ke pustaka VMM pada tahap ini.
Paket yang diperlukan untuk membuat disk templat Nano Server
Jika Anda berencana untuk menjalankan Nano Server sebagai OS tamu Anda di VM terlindungi, Anda harus memastikan gambar Nano Server Anda menyertakan paket berikut:
- Microsoft-NanoServer-Guest-Package
- Microsoft-NanoServer-SecureStartup-Package
Menjalankan Windows Update pada sistem operasi templat
Pada disk templat, verifikasi bahwa sistem operasi telah menginstal semua pembaruan Windows terbaru. Pembaruan yang baru dirilis meningkatkan keandalan proses perisai end-to-end - proses yang mungkin gagal diselesaikan jika sistem operasi templat tidak diperbarui.
Menandatangani dan melindungi VHDX dengan wizard disk templat
Untuk menggunakan disk templat dengan VM terlindungi, disk harus ditandatangani dan dienkripsi dengan BitLocker. Untuk melakukan ini, Anda akan menggunakan Wizard Pembuatan Disk Templat Terlindungi. Wisaya ini akan menghasilkan hash untuk disk dan menambahkannya ke katalog tanda tangan volume (VSC). VSC ditandatangani menggunakan sertifikat yang Anda tentukan dan digunakan selama proses provisi untuk memastikan disk yang disebarkan untuk penyewa belum diubah atau diganti dengan disk yang tidak dipercaya penyewa. Akhirnya, BitLocker diinstal pada sistem operasi disk (jika belum ada) untuk menyiapkan disk untuk enkripsi selama provisi VM.
Catatan
Wizard disk templat akan mengubah disk templat yang Anda tentukan di tempat. Anda mungkin ingin membuat salinan VHDX yang tidak terlindungi sebelum menjalankan wizard untuk membuat pembaruan pada disk di lain waktu. Anda tidak akan dapat mengubah disk yang telah dilindungi dengan wizard disk templat.
Lakukan langkah-langkah berikut pada komputer yang menjalankan Windows Server 2016 (tidak perlu menjadi host yang dijaga atau server VMM Anda):
Salin VHDX umum yang dibuat di Menyiapkan sistem operasi VHDX ke server, jika belum ada.
Instal fitur Alat VM Terlindungi dari Alat Administrasi Server Jarak Jauh pada komputer.
Install-WindowsFeature RSAT-Shielded-VM-Tools -RestartDapatkan atau buat sertifikat untuk menandatangani VHDX yang akan menjadi disk templat untuk VM terlindung baru. Detail tentang sertifikat ini akan dimasukkan ke dalam file data perisai, yang mengotorisasi disk sebagai disk tepercaya. Oleh karena itu, penting untuk mendapatkan sertifikat ini dari otoritas sertifikat yang Anda dan penyedia layanan hosting Anda percayai. Dalam skenario perusahaan di mana Anda adalah hoster dan penyewa, Anda mungkin mempertimbangkan untuk mengeluarkan sertifikat ini dari PKI Anda.
Jika Anda menyiapkan lingkungan pengujian dan hanya ingin menggunakan sertifikat yang ditandatangani sendiri untuk menandatangani disk templat Anda, jalankan perintah yang mirip dengan yang berikut ini di komputer Anda:
New-SelfSignedCertificate -DnsName publisher.fabrikam.comMulai Wizard Disk Templat dari folder Alat Administratif di menu Mulai atau dengan mengetik TemplateDiskWizard.exe ke dalam perintah.
Pada halaman Sertifikat , klik Telusuri untuk menampilkan daftar sertifikat. Pilih sertifikat untuk menandatangani templat disk. Klik OK lalu klik Berikutnya.
Pada halaman Disk Virtual, klik Telusuri untuk memilih VHDX yang telah Anda siapkan, lalu klik Berikutnya.
Pada halaman Katalog Tanda Tangan, berikan nama dan versi disk yang mudah diingat. Bidang ini ada untuk membantu Anda mengidentifikasi disk setelah ditandatangani.
Misalnya, untuk nama disk, Anda dapat mengetik WS2016 dan untuk Versi, 1.0.0.0
Tinjau pilihan Anda di halaman Tinjau Pengaturan wizard. Saat Anda mengklik Buat, wizard akan mengaktifkan BitLocker pada disk templat, menghitung hash disk, dan membuat Katalog Tanda Tangan Volume, yang disimpan dalam metadata VHDX.
Tunggu hingga proses penandatanganan selesai sebelum mencoba memasang atau memindahkan disk templat. Proses ini mungkin perlu waktu cukup lama untuk diselesaikan, tergantung pada ukuran disk Anda.
Pada halaman Ringkasan , informasi tentang templat disk, sertifikat yang digunakan untuk menandatangani templat, dan penerbit sertifikat ditampilkan. Klik Tutup untuk keluar dari wizard.
Berikan templat disk terlindungi ke penyedia layanan hosting, bersama dengan file data perisai yang Anda buat, seperti yang dijelaskan dalam Membuat data perisai untuk menentukan VM terlindungi.