Risolvere i problemi relativi a host sorvegliati
Questo articolo descrive le soluzioni ai problemi comuni riscontrati durante la distribuzione o il funzionamento di un host Hyper-V sorvegliato nell'infrastruttura sorvegliata.
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Se non si è certi della natura del problema, provare prima a eseguire la diagnostica dell'infrastruttura sorvegliata negli host Hyper-V per limitare le possibili cause.
Funzionalità host sorvegliata
Se si verificano problemi con l'host Hyper-V, assicurarsi prima di tutto che sia installata la funzionalità supporto hyper-V sorveglianza host. Senza questa funzionalità, l'host Hyper-V manca di alcune impostazioni di configurazione critiche e software che consentono di passare l'attestazione e il provisioning di macchine virtuali schermate.
Per verificare se la funzionalità è installata, usare Server Manager o eseguire il cmdlet seguente in una finestra di PowerShell con privilegi elevati:
Get-WindowsFeature HostGuardian
Se la funzionalità non è installata, installarla con il cmdlet di PowerShell seguente:
Install-WindowsFeature HostGuardian -Restart
Errori di attestazione
Se un host non supera l'attestazione con il servizio Sorveglianza host, non è possibile eseguire macchine virtuali schermate. L'output di Get-HgsClientConfiguration in tale host mostrerà informazioni sul motivo per cui l'attestazione dell'host non è riuscita.
La tabella seguente illustra i valori che possono essere visualizzati nel campo AttestationStatus e i passaggi successivi potenziali, se appropriato.
| AttestationStatus | Spiegazione |
|---|---|
| Scaduto | L'host ha superato l'attestazione in precedenza, ma il certificato di integrità emesso è scaduto. Verificare che l'ora dell'host e di HGS siano sincronizzate. |
| InsecureHostConfiguration | L'host non ha superato l'attestazione perché non è conforme ai criteri di attestazione configurati in HGS. Per altre informazioni, vedere la tabella AttestationSubStatus. |
| NotConfigured | L'host non è configurato per l'uso di un HGS per l'attestazione e la protezione delle chiavi. Viene invece configurato per la modalità locale. Se questo host si trova in un'infrastruttura sorvegliata, usare Set-HgsClientConfiguration per fornire gli URL per il server del servizio Sorveglianza host. |
| Convalida superata | L'host ha superato l'attestazione. |
| TransientError | L'ultimo tentativo di attestazione non è riuscito a causa di un errore di rete, di un servizio o di un altro errore temporaneo. Ripetere l'ultima operazione. |
| TpmError | L'host non è riuscito a completare l'ultimo tentativo di attestazione a causa di un errore con il TPM. Per altre informazioni, vedere i log TPM. |
| UnauthorizedHost | L'host non ha superato l'attestazione perché non è stata autorizzata a eseguire macchine virtuali schermate. Verificare che l'host appartenga a un gruppo di sicurezza ritenuto attendibile dal servizio Sorveglianza host per l'esecuzione di macchine virtuali schermate. |
| Sconosciuto | L'host non ha ancora tentato di attestare con HGS. |
Quando AttestationStatus viene segnalato come InsecureHostConfiguration, uno o più motivi vengono popolati nel campo AttestationSubStatus . La tabella seguente illustra i valori possibili per AttestationSubStatus e suggerimenti su come risolvere il problema.
| AttestationSubStatus | Cosa significa e cosa fare |
|---|---|
| BitLocker | Il volume del sistema operativo dell'host non è crittografato da BitLocker. Per risolvere questo problema, abilitare BitLocker nel volume del sistema operativo o disabilitare i criteri di BitLocker nel servizio Sorveglianza host. |
| CodeIntegrityPolicy | L'host non è configurato per l'uso di un criterio di integrità del codice o non usa un criterio attendibile dal server HGS. Verificare che sia stato configurato un criterio di integrità del codice, che l'host sia stato riavviato e che i criteri siano registrati con il server del servizio Sorveglianza host. Per altre informazioni, vedere Creare e applicare criteri di integrità del codice. |
| DumpsEnabled | L'host è configurato per consentire dump di arresto anomalo del sistema o dump della memoria in tempo reale, che non sono consentiti dai criteri HGS. Per risolvere questo problema, disabilitare i dump nell'host. |
| DumpEncryption | L'host è configurato per consentire dump di arresto anomalo del sistema o dump della memoria in tempo reale, ma non crittografa tali dump. Disabilitare i dump nell'host o configurare la crittografia dei dump. |
| DumpEncryptionKey | L'host è configurato per consentire e crittografare i dump, ma non usa un certificato noto a HGS per crittografarli. Per risolvere questo problema, aggiornare la chiave di crittografia dei dump nell'host o registrare la chiave con il servizio Sorveglianza host. |
| FullBoot | L'host è stato ripreso da uno stato di sospensione o da un'ibernazione. Riavviare l'host per consentire un avvio pulito e completo. |
| HibernationEnabled | L'host è configurato per consentire l'ibernazione senza crittografare il file di ibernazione, che non è consentito dai criteri HGS. Disabilitare l'ibernazione e riavviare l'host oppure configurare la crittografia dei dump. |
| HypervisorEnforcedCodeIntegrityPolicy | L'host non è configurato per l'uso di un criterio di integrità del codice applicato dall'hypervisor. Verificare che l'integrità del codice sia abilitata, configurata e applicata dall'hypervisor. Per altre informazioni, vedere La guida alla distribuzione di Device Guard. |
| Iommu | Le funzionalità di sicurezza basata sulla virtualizzazione dell'host non sono configurate per richiedere un dispositivo IOMMU per la protezione dagli attacchi di Accesso diretto alla memoria, come richiesto dai criteri HGS. Verificare che l'host abbia un IOMMU, che sia abilitato e che Device Guard sia configurato per richiedere protezioni DMA durante l'avvio di VBS. |
| PagefileEncryption | La crittografia dei file di pagina non è abilitata nell'host. Per risolvere questo problema, eseguire fsutil behavior set encryptpagingfile 1 per abilitare la crittografia dei file di paging. Per altre informazioni, vedere Comportamento di fsutil. |
| SecureBoot | L'avvio protetto non è abilitato in questo host o non usa il modello di avvio protetto Microsoft. Abilitare l'avvio protetto con il modello di avvio protetto Microsoft per risolvere questo problema. |
| SecureBootSettings | La baseline TPM in questo host non corrisponde a nessuno di quelli considerati attendibili da HGS. Ciò può verificarsi quando le autorità di avvio UEFI, la variabile DBX, il flag di debug o i criteri di avvio protetto personalizzati vengono modificati tramite installazione di nuovo hardware o software. Se si considera attendibile la configurazione hardware, firmware e software corrente di questo computer, è possibile acquisire una nuova baseline TPM e registrarla con il servizio Sorveglianza host. |
| TcgLogVerification | Non è possibile ottenere o verificare il log TCG (baseline TPM). Questo può indicare un problema con il firmware dell'host, il TPM o altri componenti hardware. Se l'host è configurato per tentare l'avvio PXE prima dell'avvio di Windows, questo errore può essere causato anche da un programma di avvio da rete (NBP, Net Boot Program) obsoleto. Assicurarsi che tutti i programmi di avvio da rete siano aggiornati quando l'avvio PXE è abilitato. |
| VirtualSecureMode | Le funzionalità di sicurezza basata su virtualizzazione non sono in esecuzione nell'host. Verificare che la sicurezza basata su virtualizzazione sia abilitata e che il sistema soddisfi le funzionalità di sicurezza della piattaforma configurate. Per altre informazioni sui requisiti di SICUREZZA basata su vbs, vedere la documentazione di Device Guard. |
TLS moderno
Se sono stati distribuiti criteri di gruppo o se l'host Hyper-V è stato configurato per impedire l'uso di TLS 1.0, è possibile che si verifichi un errore di tipo "Il client del servizio Sorveglianza host non è riuscito ad annullare il wrapping di una protezione con chiave per conto di un processo chiamante" durante il tentativo di avviare una macchina virtuale schermata. Ciò è dovuto a un comportamento predefinito in .NET 4.6, in cui la versione TLS predefinita del sistema non viene considerata durante la negoziazione delle versioni TLS supportate con il server HGS.
Per ovviare a questo comportamento, eseguire i due comandi seguenti per configurare .NET per usare le versioni TLS predefinite del sistema per tutte le app .NET.
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:64
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:32
Avviso
L'impostazione delle versioni TLS predefinite del sistema influirà su tutte le app .NET nel computer. Assicurarsi di testare le chiavi del Registro di sistema in un ambiente isolato prima di distribuirle nei computer di produzione.
Per altre informazioni su .NET 4.6 e TLS 1.0, vedere Risolvere il problema relativo a TLS 1.0, seconda edizione.