Mulai cepat untuk penyebaran fabric yang dijaga
Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016
Topik ini menjelaskan apa itu fabric yang dijaga, persyaratannya, dan ringkasan proses penyebaran. Untuk langkah-langkah penyebaran terperinci, lihat Menyebarkan Layanan Wali Host untuk host yang dijaga dan VM terlindungi.
Lebih suka video? Lihat kursus Microsoft Virtual Academy Menyebarkan VM Terlindungi dan Guarded Fabric dengan Windows Server 2016.
Apa itu kain yang dijaga
Fabric yang dijaga adalah fabric Hyper-V Windows Server 2016 yang mampu melindungi beban kerja penyewa dari inspeksi, pencurian, dan perusakan dari malware yang berjalan di host, serta dari administrator sistem. Beban kerja penyewa virtual ini—dilindungi baik saat tidak aktif maupun dalam penerbangan—disebut VM terlindungi.
Apa persyaratan untuk kain yang dijaga
Persyaratan untuk fabric yang dijaga meliputi:
Tempat untuk menjalankan VM terlindungi yang bebas dari perangkat lunak berbahaya.
Ini disebut host yang dijaga. Host yang dijaga adalah host Hyper-V edisi Pusat Data Windows Server 2016 yang dapat menjalankan VM terlindungi hanya jika mereka dapat membuktikan bahwa mereka berjalan dalam status tepercaya yang diketahui ke otoritas eksternal yang disebut Host Guardian Service (HGS). HGS adalah peran server baru di Windows Server 2016, dan biasanya disebarkan sebagai kluster tiga node.
Cara untuk memverifikasi bahwa host dalam keadaan sehat.
HGS melakukan pengesahan, di mana ia mengukur kesehatan host yang dijaga.
Proses untuk melepaskan kunci dengan aman ke host yang sehat.
HGS melakukan perlindungan kunci dan rilis kunci, di mana ia merilis kunci kembali ke host yang sehat.
Alat manajemen untuk mengotomatiskan provisi dan hosting aman VM terlindungi.
Secara opsional, Anda dapat menambahkan alat manajemen ini ke fabric yang dijaga:
- System Center 2016 Virtual Machine Manager (VMM). VMM direkomendasikan karena menyediakan alat manajemen tambahan di luar apa yang Anda dapatkan dari hanya menggunakan cmdlet PowerShell yang dilengkapi dengan Hyper-V dan beban kerja fabric yang dijaga).
- System Center 2016 Service Provider Foundation (SPF). Ini adalah lapisan API antara Windows Azure Pack dan VMM, dan prasyarat untuk menggunakan Windows Azure Pack.
- Windows Azure Pack menyediakan antarmuka web grafis yang baik untuk mengelola fabric yang dijaga dan VM terlindungi.
Dalam praktiknya, satu keputusan harus dibuat di depan: mode pengesahan yang digunakan oleh kain yang dijaga. Ada dua cara—dua mode yang saling eksklusif—yang dengannya HGS dapat mengukur bahwa host Hyper-V sehat. Saat menginisialisasi HGS, Anda perlu memilih mode:
- Pengesahan kunci host, atau mode kunci, kurang aman tetapi lebih mudah diadopsi
- Pengesahan berbasis TPM, atau mode TPM, lebih aman tetapi memerlukan konfigurasi yang lebih dan perangkat keras tertentu
Jika perlu, Anda dapat menyebarkan dalam mode kunci menggunakan host Hyper-V yang ada yang telah ditingkatkan ke edisi Pusat Data Windows Server 2019, lalu mengonversi ke mode TPM yang lebih aman saat mendukung perangkat keras server (termasuk TPM 2.0) tersedia.
Sekarang setelah Anda tahu apa potongan-potongannya, mari kita telusuri contoh model penyebaran.
Cara mendapatkan dari fabric Hyper-V saat ini ke fabric yang dijaga
Mari kita bayangkan skenario ini—Anda memiliki fabric Hyper-V yang ada, seperti Contoso.com dalam gambar berikut, dan Anda ingin membangun fabric yang dijaga Windows Server 2016.
Langkah 1: Sebarkan host Hyper-V yang menjalankan Windows Server 2016
Host Hyper-V perlu menjalankan edisi Pusat Data Windows Server 2016 atau yang lebih baru. Jika Anda meningkatkan host, Anda dapat meningkatkan dari edisi Standar ke edisi Pusat Data.
Langkah 2: Menyebarkan Host Guardian Service (HGS)
Kemudian instal peran server HGS dan sebarkan sebagai kluster tiga node, seperti contoh relecloud.com dalam gambar berikut. Ini memerlukan tiga cmdlet PowerShell:
- Untuk menambahkan peran HGS, gunakan
Install-WindowsFeature - Untuk menginstal HGS, gunakan
Install-HgsServer - Untuk menginisialisasi HGS dengan mode pengesahan yang Anda pilih, gunakan
Initialize-HgsServer
Jika server Hyper-V Anda yang ada tidak memenuhi prasyarat untuk mode TPM (misalnya, mereka tidak memiliki TPM 2.0), Anda dapat menginisialisasi HGS menggunakan pengesahan berbasis Admin (mode AD), yang memerlukan kepercayaan Direktori Aktif dengan domain fabric.
Dalam contoh kami, katakanlah Contoso awalnya disebarkan dalam mode AD untuk segera memenuhi persyaratan kepatuhan, dan berencana untuk mengonversi ke pengesahan berbasis TPM yang lebih aman setelah perangkat keras server yang sesuai dapat dibeli.
Langkah 3: Mengekstrak identitas, garis besar perangkat keras, dan kebijakan integritas kode
Proses untuk mengekstrak identitas dari host Hyper-V tergantung pada mode pengesahan yang digunakan.
Untuk mode AD, ID host adalah akun komputer yang bergabung dengan domainnya, yang harus menjadi anggota grup keamanan yang ditunjuk di domain fabric. Keanggotaan dalam grup yang ditunjuk adalah satu-satunya penentuan apakah host sehat atau tidak.
Dalam mode ini, admin fabric bertanggung jawab penuh untuk memastikan kesehatan host Hyper-V. Karena HGS tidak berperan dalam memutuskan apa yang atau tidak diizinkan untuk dijalankan, malware dan debugger akan berfungsi seperti yang dirancang.
Namun, debugger yang mencoba melampirkan langsung ke proses (seperti WinDbg.exe) diblokir untuk VM terlindungi karena proses pekerja VM (VMWP.exe) adalah lampu proses yang dilindungi (PPL). Teknik debugging alternatif, seperti yang digunakan oleh LiveKd.exe, tidak diblokir. Tidak seperti VM terlindungi, proses pekerja untuk VM yang didukung enkripsi tidak berjalan sebagai PPL sehingga debugger tradisional seperti WinDbg.exe akan terus berfungsi secara normal.
Dinyatakan dengan cara lain, langkah validasi ketat yang digunakan untuk mode TPM tidak digunakan untuk mode AD dengan cara apa pun.
Untuk mode TPM, diperlukan tiga hal:
- Kunci dukungan publik (atau EKpub) dari TPM 2.0 pada masing-masing dan setiap host Hyper-V. Untuk menangkap EKpub, gunakan
Get-PlatformIdentifier. - Garis besar perangkat keras. Jika masing-masing host Hyper-V Anda identik, maka satu garis besar adalah yang Anda butuhkan. Jika tidak, Anda akan memerlukannya untuk setiap kelas perangkat keras. Garis besar dalam bentuk logfile Grup Komputasi Tepercaya, atau TCGlog. TCGlog berisi semua yang dilakukan host, dari firmware UEFI, melalui kernel, hingga tempat host sepenuhnya di-boot. Untuk menangkap garis besar perangkat keras, instal peran Hyper-V dan fitur Dukungan Hyper-V Host Guardian dan gunakan
Get-HgsAttestationBaselinePolicy. - Kebijakan Integritas Kode. Jika masing-masing host Hyper-V Anda identik, maka satu kebijakan CI adalah semua yang Anda butuhkan. Jika tidak, Anda akan memerlukannya untuk setiap kelas perangkat keras. Windows Server 2016 dan Windows 10 keduanya memiliki bentuk penegakan baru untuk kebijakan CI, yang disebut Hypervisor-enforced Code Integrity (HVCI). HVCI memberikan penegakan yang kuat dan memastikan bahwa host hanya diizinkan untuk menjalankan biner yang telah diizinkan oleh admin tepercaya untuk dijalankan. Instruksi tersebut dibungkus dalam kebijakan CI yang ditambahkan ke HGS. HGS mengukur kebijakan CI setiap host sebelum diizinkan untuk menjalankan VM terlindungi. Untuk mengambil kebijakan CI, gunakan
New-CIPolicy. Kebijakan kemudian harus dikonversi ke formulir binernya menggunakanConvertFrom-CIPolicy.
Itu saja—kain yang dijaga dibangun, dalam hal infrastruktur untuk menjalankannya. Sekarang Anda dapat membuat disk templat VM terlindungi dan file data perisai sehingga VM terlindungi dapat disediakan dengan sederhana dan aman.
Langkah 4: Buat templat untuk VM terlindungi
Templat VM terlindungi melindungi disk templat dengan membuat tanda tangan disk pada titik waktu yang dapat dipercaya yang diketahui.
Jika disk templat nantinya terinfeksi oleh malware, tanda tangannya akan berbeda dengan templat asli yang akan terdeteksi oleh proses provisi VM terlindung aman.
Disk templat terlindungi dibuat dengan menjalankan Wizard Pembuatan Disk Templat Terlindungi atau Protect-TemplateDisk terhadap disk templat biasa.
Masing-masing disertakan dengan fitur Alat VM Terlindungi di Alat Administrasi Server Jarak Jauh untuk Windows 10. Setelah Anda mengunduh RSAT, jalankan perintah ini untuk menginstal fitur Alat VM Terlindungi:
Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
Administrator yang dapat dipercaya, seperti administrator fabric atau pemilik VM, akan memerlukan sertifikat (sering disediakan oleh Penyedia Layanan Hosting) untuk menandatangani disk templat VHDX.
Tanda tangan disk dihitung melalui partisi OS disk virtual. Jika ada perubahan pada partisi OS, tanda tangan juga akan berubah. Ini memungkinkan pengguna untuk sangat mengidentifikasi disk mana yang mereka percayai dengan menentukan tanda tangan yang sesuai.
Tinjau persyaratan disk templat sebelum Anda memulai.
Langkah 5: Membuat file data perisai
File data perisai, juga dikenal sebagai file .pdk, menangkap informasi sensitif tentang komputer virtual, seperti kata sandi Administrator.
File data perisai juga mencakup pengaturan kebijakan keamanan untuk VM terlindungi. Anda harus memilih salah satu dari dua kebijakan keamanan saat membuat file data perisai:
Terlindung
Opsi paling aman, yang menghilangkan banyak vektor serangan administratif.
Enkripsi didukung
Tingkat perlindungan yang lebih rendah yang masih memberikan manfaat kepatuhan untuk dapat mengenkripsi VM, tetapi memungkinkan admin Hyper-V untuk melakukan hal-hal seperti menggunakan koneksi konsol VM dan PowerShell Direct.
Anda dapat menambahkan bagian manajemen opsional seperti VMM atau Windows Azure Pack. Jika Anda ingin membuat VM tanpa menginstal potongan-potongan tersebut, lihat Langkah demi langkah - Membuat VM Terlindungi tanpa VMM.
Langkah 6: Membuat VM terlindungi
Membuat komputer virtual terlindungi sangat sedikit berbeda dari komputer virtual biasa. Di Windows Azure Pack, pengalaman ini bahkan lebih mudah daripada membuat VM biasa karena Anda hanya perlu menyediakan nama, melindungi file data (berisi informasi spesialisasi lainnya), dan jaringan VM.
