Een afgeschermde VM implementeren
Als Windows Server-beheerder moet u onderzoeken en ervoor zorgen dat u de stappen begrijpt die nodig zijn om een afgeschermde VM te maken en te implementeren.
Afgeschermde VM's implementeren
Hieronder volgen de stappen op hoog niveau die nodig zijn voor het implementeren van afgeschermde VM's. De stappen omvatten enkele stappen met betrekking tot VMM.
Taak 1: De HGS installeren en configureren
Controleer de HGS-vereisten en bereid uw omgeving voor op HGS-implementatie:
Zorg ervoor dat uw hardware en besturingssysteem voldoen aan de vereisten voor HGS, waarbij u ziet dat:
- HGS kan worden uitgevoerd op fysieke of virtuele machines, maar fysieke machines worden aanbevolen.
- Als u HGS wilt uitvoeren als een fysiek cluster met 3 knooppunten, moet u drie fysieke servers hebben.
- Attestation-vereisten:
- Voor Host Key Attestation is Windows Server 2019 Standard- of Datacenter-editie vereist voor attestatie v2.
- Attestation op basis van TPM vereist Windows Server 2019 of Windows Server 2016, Standard of Datacenter Edition.
Installeer de juiste HGS-serverfuncties en configureer uw infrastructuurdomein (host) om DNS-doorsturen tussen het infrastructuurdomein en het HGS-domein toe te staan.
Opmerking
Wanneer u HGS implementeert, wordt u gevraagd om ondertekenings- en versleutelingscertificaten op te geven die worden gebruikt om de gevoelige informatie te beveiligen die nodig is om een afgeschermde VM te starten. Het wordt aanbevolen om een vertrouwde certificeringsinstantie te gebruiken om deze twee certificaten te verkrijgen; het is echter mogelijk om zelfondertekende certificaten te gebruiken. Deze twee certificaten blijven altijd op de HGS-host staan.
Configureer het eerste HGS-knooppunt:
- Selecteer of u HGS wilt installeren in een eigen AD DS-forest of in een bestaand AD DS-bastion-forest.
Configureer aanvullende HGS-knooppunten op basis van uw omgeving:
Elk HGS-knooppunt heeft toegang nodig tot dezelfde handtekening- en versleutelingscertificaten. Beheer ze door een van de volgende twee opties te kiezen:
- Exporteer uw certificaten naar een PFX-bestand met een wachtwoord en laat HGS de certificaten voor u beheren.
- Installeer de certificaten in het certificaatarchief van de lokale computer op elk HGS-knooppunt en geef de vingerafdruk op aan HGS.
Beide opties zijn geldig, maar vereisen iets andere stappen tijdens het toevoegen van een knooppunt.
Voeg extra knooppunten toe met behulp van een van de volgende twee mogelijke scenario's:
Voeg HGS-knooppunten toe aan een nieuw toegewezen HGS-forest.
HGS-knooppunten toevoegen aan een nieuw toegewezen HGS-forest met PFX-certificaten (Personal Information Exchange):
- Promoot het HGS-knooppunt naar een domeincontroller.
- Initialiseer de HGS-server.
HGS-knooppunten toevoegen aan een nieuw toegewezen HGS-forest met vingerafdrukcertificaten:
- Promoot het HGS-knooppunt naar een domeincontroller.
- Initialiseer de HGS-server.
- Installeer de persoonlijke sleutels voor de certificaten.
HGS-knooppunten toevoegen aan een bestaand bastionforest.
HGS-knooppunten toevoegen aan een bestaand bastionforest met PFX-certificaten:
- Koppel het knooppunt aan het bestaande domein.
- Geef de machine de rechten om een MSA-wachtwoord (Managed Service Account) op te halen en om
Install-ADServiceAccountuit te voeren. - Initialiseer de HGS-server.
HGS-knooppunten toevoegen aan een bestaand bastion forest met certificaatvingerafdrukken:
- Koppel het knooppunt aan het bestaande domein.
- Geef de machine de rechten om een MSA-wachtwoord te verkrijgen en
Install-ADServiceAccountuit te voeren. - Initialiseer de HGS-server.
- Installeer de persoonlijke sleutels voor de certificaten.
Opmerking
HGS maakt gebruik van een door een groep beheerd serviceaccount (gMSA) als accountidentiteit om de certificaten op te halen en te gebruiken via meerdere knooppunten.
Belangrijk
In productieomgevingen moet HGS worden ingesteld in een cluster met hoge beschikbaarheid om ervoor te zorgen dat afgeschermde VM's kunnen worden ingeschakeld, zelfs als een HGS-knooppunt uitvalt.
Configureer de DNS van de infrastructuur zodat beveiligde hosts het HGS-cluster kunnen oplossen.
Controleer de vereisten voor attestation op de hosts:
- Controleer de hostvereisten voor de attestation-modus die u hebt gekozen: TPM, sleutel of beheermodus.
- Voeg de hosts toe aan de HGS.
Maak een hostsleutel (sleutelmodus) of verzamel hostgegevens (TPM-modus):
Als u Hyper-V hosts wilt voorbereiden om beveiligde hosts te worden met behulp van hostsleutelverklaring (sleutelmodus), maakt u een hostsleutelpaar (of gebruikt u een bestaand certificaat) en voegt u vervolgens de openbare helft van de sleutel toe aan HGS.
Om Hyper-V-hosts voor te bereiden om beveiligde hosts te worden met behulp van TPM-modus attestatie (sleutelmodus), legt u de TPM-ID (goedkeuringssleutel) van de hosts vast, TPM-baseline en CI-beleid.
Voeg hostsleutels (sleutelmodus) of TPM-informatie (TPM-modus) toe aan de HGS-configuratie.
Controleer of de HGS bevestigt dat de hosts beveiligde hosts zijn.
(Optioneel) Configureer de VMM-rekeninfrastructuur voor het implementeren en beheren van Hyper-V beveiligde hosts en afgeschermde VM's.
Taak 2: een .vhdx-bestand van het besturingssysteem voorbereiden
Bereid een besturingssysteemschijf (.vhdx-bestand) voor met behulp van een van de volgende opties:
- Gebruik Hyper-V, Windows PowerShell of het hulpprogramma Microsoft Desktop Image Service Manager (DISM).
- Stel handmatig een virtuele machine in met een leeg VHDX-bestand en installeer het besturingssysteem op die schijf.
Installeer de meest recente updates op de besturingssysteemschijf door Windows Update uit te voeren.
Taak 3: Een afgeschermde VM-sjabloonschijf maken in VMM
Bereid en beveilig het .vhdx-bestand met behulp van de wizard Afgeschermde sjabloonschijf maken.
- Om een sjabloonschijf met afgeschermde VM's te gebruiken, moet u de schijf voorbereiden en versleutelen met BitLocker door gebruik te maken van de Wizard Schijf maken voor afgeschermde sjabloon.
Kopieer de sjabloonschijf naar de VMM-bibliotheek.
- Als u VMM gebruikt nadat u een sjabloonschijf hebt gemaakt, kopieert u deze naar een VMM-bibliotheekshare, zodat hosts de schijf kunnen downloaden en gebruiken bij het inrichten van nieuwe afgeschermde VM's.
Taak 4: Het afschermingsgegevensbestand maken
Bereid u voor om het PDK-bestand (afschermingsgegevens) te maken:
- Verkrijg een certificaat voor Externe bureaubladverbinding.
- Maak een antwoordbestand.
- Haal het volumehandtekeningcatalogusbestand op.
- Stel de vertrouwde fabrics in.
Maak het afschermingsgegevensbestand.
Voeg voogden toe die zijn gemachtigd om het afschermingsgegevensbestand te gebruiken.
Taak 5: Een afgeschermde VM implementeren
Een afgeschermde VM implementeren met Windows Azure Pack of VMM:
- Upload het afschermingsgegevensbestand op basis van de vereisten voor de gekozen implementatiemethode, zoals Windows Azure Pack of VMM.
- Richt een nieuwe afgeschermde VM in.
Taak 6: Een afgeschermde VM starten
Het proces voor het starten van een afgeschermde VM is als volgt:
Een gebruiker vraagt om de afgeschermde VM te starten.
De HGS Attestation-service valideert de referenties van de beveiligde host en verzendt een attestation-certificaat naar de beveiligde host.
De beveiligde host verzendt het attestation-certificaat en KP naar de KPS en vraagt een sleutel aan om de afgeschermde VM te ontgrendelen.
De KPS bepaalt de geldigheid van een attestation-certificaat, ontsleutelt de KP, haalt de sleutel op voor het ontgrendelen van de afgeschermde VM en verzendt de sleutel naar de beveiligde host.
De beveiligde host gebruikt de sleutel om de afgeschermde VM te ontgrendelen en te starten.
Opmerking
Externe-serverbeheerprogramma's > Afgeschermde VM-hulpprogramma's bevatten de wizard Afgeschermde sjabloonschijf maken, die toegankelijk is via het menu Extra in Serverbeheer.