Реализация экранированной виртуальной машины

  • 12 мин

Администратор Windows Server должен изучить и убедиться, что вы понимаете шаги, связанные с созданием и развертыванием экранированных виртуальных машин.

Реализация экранированных виртуальных машин

Ниже приведены высокоуровневые шаги, необходимые для реализации экранированных виртуальных машин. Ниже приведены некоторые шаги, связанные с VMM.

Задача 1. Установка и настройка HGS

  1. Проверьте предварительные требования HGS и подготовьте среду для развертывания HGS:

    1. Убедитесь, что ваше оборудование и ОС соответствуют требованиям HGS, с учетом следующего:

      • HGS можно запускать на физических или виртуальных машинах, но рекомендуется использовать физические компьютеры.
      • Если вы хотите запустить HGS в качестве 3-узла физического кластера, у вас должно быть 3 физических сервера.
      • Требования к аттестации:
        • Для аттестации ключей узла требуется работающий Windows Server 2019 Standard или Datacenter для аттестации версии 2.
        • Для аттестации с использованием TPM требуется версия Windows Server 2019 или Windows Server 2016, Standard или Datacenter.

    2. Установите соответствующие роли сервера HGS и настройте домен структуры (узла), чтобы разрешить перенаправление DNS между доменом структуры и доменом HGS.

    Замечание

    При развертывании HGS вам будет предложено предоставить сертификаты подписи и шифрования, которые используются для защиты конфиденциальной информации, необходимой для запуска экранированной виртуальной машины. Рекомендуется использовать доверенный центр сертификации для получения этих двух сертификатов; однако можно использовать самозаверяющий сертификат. Эти два сертификата всегда остаются на узле HGS.

  2. Настройте первый узел HGS:

    • Выберите, следует ли устанавливать HGS в собственном выделенном лесу AD DS или в существующем лесу бастиона.

  3. Настройте дополнительные узлы HGS в соответствии с вашей средой:

    1. Каждому узлу HGS потребуется доступ к одним и тем же сертификатам подписи и шифрования. Управляйте ими, выбрав один из следующих двух вариантов:

      • Экспортируйте сертификаты в PFX-файл с паролем и разрешите HGS управлять сертификатами.
      • Установите сертификаты в хранилище сертификатов локального компьютера на каждом узле HGS и предоставьте HGS их отпечатки.

      Любой параметр действителен, но требует немного разных шагов во время добавления узла.

    2. Добавьте дополнительные узлы с помощью одного из следующих двух возможных сценариев:

      • Добавьте узлы HGS в новый выделенный лес HGS.

        • Чтобы добавить узлы HGS в новый отдельный специализированный лес HGS с сертификатами обмена личной информацией (PFX):

          1. Повышение уровня узла HGS до контроллера домена.
          2. Инициализировать сервер HGS.

        • Чтобы добавить узлы HGS в новый выделенный лес HGS с отпечатками сертификатов:

          1. Повышение уровня узла HGS до контроллера домена.
          2. Инициализировать сервер HGS.
          3. Установите закрытые ключи для сертификатов.

      • Добавьте узлы HGS в существующий лес бастиона.

        • Чтобы добавить узлы HGS в существующий опорный лес с сертификатами в формате PFX:

          1. Присоединение узла к существующему домену.
          2. Предоставьте компьютеру права на получение пароля от управляемой учетной записи службы (MSA) и на запуск Install-ADServiceAccount.
          3. Инициализировать сервер HGS.

        • Чтобы добавить узлы HGS в существующий бастионный лес с отпечатками сертификатов:

          1. Присоединение узла к существующему домену.
          2. Предоставьте устройству права на получение пароля MSA и выполните Install-ADServiceAccount.
          3. Инициализировать сервер HGS.
          4. Установите закрытые ключи для сертификатов.

    Замечание

    HGS использует групповую управляемую учетную запись службы (gMSA) в качестве удостоверения учетной записи для получения и использования сертификатов на нескольких узлах.

    Это важно

    В рабочей среде службу HGS следует настроить в кластере с высоким уровнем доступности, чтобы обеспечить возможность включения экранированных виртуальных машин даже в том случае, если узел HGS выйдет из строя.

  4. Настройте DNS фабрики, чтобы разрешить защищённым узлам получать доступ к кластеру HGS.

  5. Проверьте предварительные требования для аттестации на хостах.

    1. Просмотрите предварительные требования узла для выбранного режима аттестации: TPM, ключ или режим администрирования.
    2. Добавьте хосты в HGS.

  6. Создайте ключ узла (режим ключа) или соберите сведения о узле (режим TPM):

    • Чтобы подготовить узлы Hyper-V к тому, чтобы они стали защищенными узлами с помощью аттестации ключей узла (режим ключа), создайте пару ключей узла (или используйте существующий сертификат), и добавьте открытую часть ключа в HGS.

    • Чтобы подготовить узлы Hyper-V к созданию защищённых хостов с помощью аттестации в режиме TPM (режим ключа), собрать идентификатор доверенного платформенного модуля (ключ подтверждения), базовый уровень доверенного платформенного модуля и политику CI.

  7. Добавьте ключи узла (режим ключа) или сведения о TPM (режим TPM) в конфигурацию HGS.

  8. Убедитесь, что HGS подтверждает узлы как защищенные узлы.

  9. (Необязательно) Настройте вычислительную структуру VMM для развертывания Hyper-V защищенных узлов и экранированных виртуальных машин и управления ими.

Задача 2. Подготовка VHDX-файла ОС

  1. Создайте диск ОС (файл .vhdx) с помощью одного из следующих вариантов:

    • Используйте служебную программу Hyper-V, Windows PowerShell или Microsoft Desktop Image Service Manager (DISM).
    • Вручную настройте виртуальную машину с пустым VHDX-файлом и установите ОС на этот диск.

  2. Установите последние обновления на диске ОС, используя Windows Update.

Задача 3. Создание диска шаблона экранированных виртуальных машин в VMM

  1. Подготовьте и защитите файл .vhdx с помощью Окна мастера создания экранированного шаблона.

    • Чтобы использовать диск шаблона с экранированными виртуальными машинами, необходимо подготовить диск и зашифровать его с помощью BitLocker при помощи Мастера создания дисков для экранированных шаблонов.

  2. Скопируйте диск шаблона в библиотеку VMM.

    • При использовании VMM после создания диска шаблона скопируйте его в общую папку библиотеки VMM, чтобы узлы могли скачать и использовать диск при подготовке новых экранированных виртуальных машин.

Задача 4. Создание файла данных экранирования

  1. Подготовьтесь к созданию файла данных экранирования (PDK):

    1. Получите сертификат для подключения к удаленному рабочему столу.
    2. Создайте файл ответа.
    3. Получите файл каталога сигнатур тома.
    4. Задайте доверенные фабрики.

  2. Создайте файл данных экранирования.

  3. Добавьте опекунов, которым разрешено использовать файл данных экранирования.

Задача 5. Развертывание экранированных виртуальных машин

  1. Разверните экранированную виртуальную машину с помощью Windows Azure Pack или VMM:

    1. Отправьте файл данных экранирования в соответствии с требованиями выбранного метода развертывания, например Windows Azure Pack или VMM.
    2. Подготовьте новую экранированную виртуальную машину.

Задача 6: Запуск экранированной виртуальной машины

Процесс запуска экранированных виртуальных машин выглядит следующим образом:

  1. Пользователь запрашивает запуск экранированных виртуальных машин.

  2. Служба аттестации HGS проверяет учетные данные защищенного хоста и отправляет аттестационный сертификат на защищенный хост.

  3. Защищенный сервер передает сертификат аттестации и KP в KPS и запрашивает ключ для разблокировки защищенной виртуальной машины.

  4. KPS определяет допустимость сертификата аттестации, расшифровывает ключ поставки, извлекает ключ для разблокировки защищенной ВМ и отправляет ключ на защищенный узел.

  5. Защищённый хост использует ключ для разблокировки и запуска защищённой виртуальной машины.

    Замечание

    > включают мастер создания экранированного шаблона диска, который доступен в меню "Инструменты" диспетчера серверов.