Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Als u een nieuwe afgeschermde VM wilt maken, moet u een speciaal voorbereide, ondertekende sjabloonschijf gebruiken. Metagegevens van ondertekende sjabloonschijven helpen ervoor te zorgen dat de schijven niet worden gewijzigd nadat ze zijn gemaakt en u als tenant kunt beperken welke schijven kunnen worden gebruikt om uw afgeschermde VM's te maken. Een manier voor u, de huurder, om deze schijf te voorzien, is om deze te maken, zoals beschreven in dit onderwerp.
Belangrijk
Als u wilt, kunt u in plaats daarvan een sjabloonschijf gebruiken die wordt geleverd door uw hostingserviceprovider. Als u dit doet, is het belangrijk om een test-VM te implementeren met behulp van die sjabloonschijf en uw eigen hulpprogramma's (antivirusprogramma's, scanners voor beveiligingsproblemen, enzovoort) uit te voeren om te controleren of de schijf in feite de status heeft die u vertrouwt.
Een VHDX-besturingssysteem voorbereiden
Als u een afgeschermde sjabloonschijf wilt maken, moet u eerst een besturingssysteemschijf voorbereiden die zal worden verwerkt met de sjabloonschijfwizard. Deze schijf wordt gebruikt als de besturingssysteemschijf in afgeschermde VM's. U kunt alle bestaande hulpprogramma's gebruiken om deze schijf te maken, zoals Microsoft Desktop Image Service Manager (DISM) of handmatig een virtuele machine met een lege VHDX instellen en het besturingssysteem op die schijf installeren. Bij het instellen van de schijf moet deze voldoen aan de volgende vereisten die specifiek zijn voor virtuele machines van de tweede generatie en/of afgeschermde VM's:
| Vereiste voor VHDX | Reden |
|---|---|
| Moet een GPT-schijf (GUID Partition Table) zijn | Nodig voor virtuele machines van de tweede generatie ter ondersteuning van UEFI |
| Schijftype moet Basic zijn in plaats van Dynamisch. Opmerking: Dit verwijst naar het type logische schijf, niet de 'dynamisch uitbreidende' VHDX-functie die wordt ondersteund door Hyper-V. |
BitLocker biedt geen ondersteuning voor dynamische schijven. |
| De schijf heeft ten minste twee partities. Eén partitie moet het station bevatten waarop Windows is geïnstalleerd. Dit is het station dat BitLocker zal versleutelen. De andere partitie is de actieve partitie, die de bootloader bevat en niet-versleuteld blijft, zodat de computer kan worden gestart. | Vereist voor BitLocker |
| Bestandssysteem is NTFS | Vereist voor BitLocker |
| Het besturingssysteem dat op de VHDX is geïnstalleerd, is een van de volgende: - Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 of Windows Server 2012 - Windows 10, Windows 8.1, Windows 8 |
Nodig om virtuele machines van de tweede generatie en de Microsoft Secure Boot-sjabloon te ondersteunen |
| Voer sysprep.exe uit om het besturingssysteem te generaliseren. | Sjabloonvoorziening omvat het specialiseren van virtual machines voor de workload van een specifieke tenant |
Opmerking
Kopieer de sjabloonschijf in deze fase niet naar de VMM-bibliotheek.
Vereiste pakketten voor het maken van een Nano Server-sjabloonschijf
Als u van plan bent Nano Server uit te voeren als gastbesturingssystemen in afgeschermde VM's, moet u ervoor zorgen dat de Nano Server-installatiekopie de volgende pakketten bevat:
- Microsoft-NanoServer-Guest-Package
- Microsoft-NanoServer-SecureStartup-Package
Windows Update uitvoeren op het sjabloonbesturingssysteem
Controleer op de sjabloonschijf of op het besturingssysteem alle meest recente Windows-updates zijn geïnstalleerd. Onlangs uitgebrachte updates verbeteren de betrouwbaarheid van het end-to-end afschermingsproces: een proces dat mogelijk niet kan worden voltooid als het sjabloonbesturingssysteem niet up-to-datum is.
De VHDX ondertekenen en beveiligen met de wizard sjabloonschijf
Als u een sjabloonschijf met afgeschermde VM's wilt gebruiken, moet de schijf zijn ondertekend en versleuteld met BitLocker. Hiervoor gebruikt u de wizard voor het maken van een afgeschermde sjabloonschijf. Deze wizard genereert een hash voor de schijf en voegt deze toe aan een VOLUME Signature Catalog (VSC). De VSC is ondertekend met een certificaat dat u opgeeft en wordt gebruikt tijdens het inrichtingsproces om ervoor te zorgen dat de schijf die wordt geïmplementeerd voor een tenant niet is gewijzigd of vervangen door een schijf die de tenant niet vertrouwt. Ten slotte wordt BitLocker geïnstalleerd op het besturingssysteem van de schijf (als deze nog niet aanwezig is) om de schijf voor te bereiden op versleuteling tijdens het inrichten van vm's.
Opmerking
De sjabloonschijfwizard wijzigt direct de sjabloonschijf die u opgeeft. U kunt een kopie van de onbeveiligde VHDX maken voordat u de wizard uitvoert om op een later tijdstip updates naar de schijf te maken. U kunt geen schijf wijzigen die is beveiligd met de wizard voor sjabloonschijf.
Voer de volgende stappen uit op een computer met Windows Server 2016 (hoeft geen beveiligde host of uw VMM-server te zijn):
Kopieer de gegeneraliseerde VHDX die is gemaakt in Bereid een besturingssysteem-VHDX voor naar de server, als deze daar nog niet aanwezig is.
Installeer de functie Afgeschermde VM-hulpprogramma's van Remote Server Administration Tools op de computer.
Install-WindowsFeature RSAT-Shielded-VM-Tools -RestartVerkrijg of maak een certificaat om de VHDX te ondertekenen die de sjabloonschijf wordt voor nieuwe afgeschermde VM's. Details over dit certificaat worden opgenomen in een afschermingsgegevensbestand, dat de schijf autoriseert als een vertrouwde schijf. Daarom is het belangrijk om dit certificaat te verkrijgen van een certificeringsinstantie die u en uw hostingserviceprovider vertrouwen. In bedrijfsscenario's waarin u zowel de hoster als de tenant bent, kunt u overwegen dit certificaat uit te geven vanuit uw PKI.
Als u een testomgeving instelt en alleen een zelfondertekend certificaat wilt gebruiken om de sjabloonschijf te ondertekenen, voert u een opdracht uit die vergelijkbaar is met het volgende op uw computer:
New-SelfSignedCertificate -DnsName publisher.fabrikam.comStart de Sjabloonschijfwizard vanuit de map Beheertools in het menu Start of typ TemplateDiskWizard.exe in een opdrachtprompt.
Klik op de pagina Certificaat op Bladeren om een lijst met certificaten weer te geven. Selecteer het certificaat waarmee u de schijfsjabloon wilt ondertekenen. Klik op OK en klik vervolgens op Volgende.
Klik op de pagina Virtuele schijf op Bladeren om de VHDX te selecteren die u hebt voorbereid en klik vervolgens op Volgende.
Geef op de pagina Handtekeningcatalogus een beschrijvende schijfnaam en -versie op. Deze velden zijn aanwezig om u te helpen bij het identificeren van de schijf nadat deze is ondertekend.
Voor schijfnaam kunt u bijvoorbeeld WS2016 typen en voor versie1.0.0.0
Controleer uw selecties op de pagina Instellingen controleren van de wizard. Wanneer u op Genereren klikt, schakelt de wizard BitLocker in op de sjabloonschijf, berekent u de hash van de schijf en maakt u de volumehandtekeningcatalogus, die is opgeslagen in de VHDX-metagegevens.
Wacht totdat het ondertekeningsproces is voltooid voordat u de sjabloonschijf koppelt of verplaatst. Dit proces kan enige tijd duren, afhankelijk van de grootte van uw schijf.
Op de overzichtspagina wordt informatie over de schijfsjabloon, het certificaat dat wordt gebruikt om de sjabloon te ondertekenen en de certificaatverlener weergegeven. Klik op Sluiten om de wizard af te sluiten.
Geef de afgeschermde schijfsjabloon op voor de hostingserviceprovider, samen met een afschermingsgegevensbestand dat u maakt, zoals beschreven in Afschermingsgegevens maken om een afgeschermde VM te definiëren.