Dela via

Avskärmade virtuella datorer för klienter – Skapa skärmningsdata för att definiera en avskärmad virtuell dator

En avskärmningsdatafil (kallas även för en etableringsdatafil eller PDK-fil) är en krypterad fil som en klient eller vm-ägare skapar för att skydda viktig konfigurationsinformation för virtuella datorer, till exempel administratörslösenord, RDP och andra identitetsrelaterade certifikat, autentiseringsuppgifter för domänanslutning och så vidare. Det här avsnittet innehåller information om hur du skapar en skärmningsdatafil. Innan du kan skapa filen måste du antingen skaffa en malldisk från din värdtjänstleverantör eller skapa en malldisk enligt beskrivningen i Avskärmade virtuella datorer för klienter – Skapa en malldisk (valfritt).

En lista och ett diagram över innehållet i en skärmningsdatafil finns i Vad är skärmningsdata och varför är det nödvändigt?.

Important

Stegen i det här avsnittet bör slutföras på en separat, betrodd dator utanför den skyddade infrastrukturresursen. Vanligtvis skulle den virtuella datorns ägare (klientorganisationen) skapa avskärmningsdata för sina virtuella datorer, inte infrastrukturadministratörerna.

Utför följande steg för att förbereda skapandet av en skärmningsdatafil:

Sedan kan du skapa skärmningsdatafilen:

(Valfritt) Skaffa ett certifikat för Anslutning till fjärrskrivbord

Eftersom klienter bara kan ansluta till sina avskärmade virtuella datorer med hjälp av Anslutning till fjärrskrivbord eller andra fjärrhanteringsverktyg är det viktigt att se till att klienterna kan kontrollera att de ansluter till rätt slutpunkt (det vill säga att det inte finns en "man i mitten" som avlyssnar anslutningen).

Ett sätt att kontrollera att du ansluter till den avsedda servern är att installera och konfigurera ett certifikat som Fjärrskrivbordstjänster ska visa när du initierar en anslutning. Klientdatorn som ansluter till servern kontrollerar om den litar på certifikatet och visar en varning om den inte gör det. För att säkerställa att den anslutande klienten litar på certifikatet utfärdas RDP-certifikat i allmänhet från klientens PKI. Mer information om hur du använder certifikat i Fjärrskrivbordstjänster finns på TechNet.

Tänk på följande för att hjälpa dig att avgöra om du behöver skaffa ett anpassat RDP-certifikat:

  • If you're just testing shielded VMs in a lab environment, you do not need a custom RDP certificate.
  • Om den virtuella datorn är konfigurerad för att ansluta till en Active Directory-domän utfärdas vanligtvis ett datorcertifikat automatiskt av organisationens certifikatutfärdare och används för att identifiera datorn under RDP-anslutningar. You do not need a custom RDP certificate.
  • If your VM is not domain joined but you want a way to verify you're connecting to the correct machine when you use Remote Desktop, you should consider using custom RDP certificates.

Tip

När du väljer ett RDP-certifikat som ska ingå i din skärmningsdatafil måste du använda ett jokerteckencertifikat. En skärmningsdatafil kan användas för att skapa ett obegränsat antal virtuella datorer. Eftersom varje virtuell dator delar samma certifikat säkerställer ett jokerteckencertifikat att certifikatet är giltigt oavsett den virtuella datorns värdnamn.

Skapa en svarsfil

Eftersom den signerade malldisken i VMM är generaliserad måste klienterna ange en svarsfil för att specialisera sina avskärmade virtuella datorer under etableringsprocessen. Svarsfilen (kallas ofta den obevakade filen) kan konfigurera den virtuella datorn för den avsedda rollen, det vill säga den kan installera Windows-funktioner, registrera RDP-certifikatet som skapades i föregående steg och utföra andra anpassade åtgärder. Den kommer också att tillhandahålla nödvändig information för Windows-installationen, inklusive standardadministratörens lösenord och produktnyckel.

For information about obtaining and using the New-ShieldingDataAnswerFile function to generate an answer file (Unattend.xml file) for creating shielded VMs, see Generate an answer file by using the New-ShieldingDataAnswerFile function. Med hjälp av funktionen kan du enklare generera en svarsfil som återspeglar val som följande:

  • Är den virtuella datorn avsedd att vara domänansluten i slutet av initieringsprocessen?
  • Kommer du att använda en volymlicens eller en specifik produktnyckel per virtuell dator?
  • Använder du DHCP eller statisk IP?
  • Kommer du att använda ett anpassat RDP-certifikat (Remote Desktop Protocol) som ska användas för att bevisa att den virtuella datorn tillhör din organisation?
  • Vill du köra ett skript i slutet av initieringen?

Svarsfiler som används i skärmningsdatafiler kommer att användas på varje virtuell dator som skapas med hjälp av den skärmningsdatafilen. Därför bör du se till att du inte hårdkodar någon VM-specifik information i svarsfilen. VMM stöder vissa substitutionssträngar (se tabellen nedan) i den obevakade filen för att hantera specialiseringsvärden som kan ändras från virtuell dator till virtuell dator. Du är inte skyldig att använda dessa; Men om de är närvarande kommer VMM att dra nytta av dem.

Tänk på följande begränsningar när du skapar en unattend.xml fil för avskärmade virtuella datorer:

  • Om du använder VMM för att hantera ditt datacenter måste den obevakade filen resultera i att den virtuella datorn stängs av när den har konfigurerats. Detta gör att VMM kan veta när den ska rapportera till klientorganisationen att den virtuella datorn har etablerats och är redo att användas. VMM startar automatiskt den virtuella datorn igen när den upptäcker att den har stängts av under etableringen.

  • Se till att aktivera RDP och motsvarande brandväggsregel så att du kan komma åt den virtuella datorn när den har konfigurerats. Du kan inte använda VMM-konsolen för att komma åt avskärmade virtuella datorer, så du behöver RDP för att ansluta till den virtuella datorn. Om du föredrar att hantera dina system med Windows PowerShell-fjärrkommunikation kontrollerar du att WinRM också är aktiverat.

  • De enda substitutionssträngar som stöds i avskärmade obevakade VM-filer är följande:

    Replaceable Element Substitution String
    ComputerName @ComputerName@
    TimeZone @TimeZone@
    ProductKey @ProductKey@
    IPAddr4-1 @IP4Addr-1@
    IPAddr6-1 @IP6Addr-1@
    MACAddr-1 @MACAddr-1@
    Prefix-1-1 @Prefix-1-1@
    NextHop-1-1 @NextHop-1-1@
    Prefix-1-2 @Prefix-1-2@
    NextHop-1-2 @NextHop-1-2@

    Om du har fler än ett nätverkskort kan du lägga till flera substitutionssträngar för IP-konfigurationen genom att öka den första siffran. Om du till exempel vill ange IPv4-adressen, undernätet och gatewayen för 2 nätverkskort använder du följande ersättningssträngar:

    Substitution String Example substitution
    @IP4Addr-1@ 192.168.1.10/24
    @MACAddr-1@ Ethernet
    @Prefix-1-1@ 24
    @NextHop-1-1@ 192.168.1.254
    @IP4Addr-2@ 10.0.20.30/24
    @MACAddr-2@ Ethernet 2
    @Prefix-2-1@ 24
    @NextHop-2-1@ 10.0.20.1

När du använder ersättningssträngar är det viktigt att se till att strängarna fylls i under etableringsprocessen för den virtuella datorn. Om en sträng som @ProductKey@ inte anges vid distributionen och lämnar <noden ProductKey> i den obevakade filen tom, misslyckas specialiseringsprocessen och du kommer inte att kunna ansluta till den virtuella datorn.

Observera också att de nätverksrelaterade substitutionssträngarna i slutet av tabellen endast används om du använder VMM statiska IP-adresspooler. Din värdtjänstleverantör bör kunna tala om för dig om dessa ersättningssträngar krävs. Mer information om statiska IP-adresser i VMM-mallar finns i följande i VMM-dokumentationen:

Slutligen är det viktigt att notera att den avskärmade VM-distributionsprocessen endast krypterar OS-enheten. Om du distribuerar en avskärmad virtuell dator med en eller flera dataenheter rekommenderar vi starkt att du lägger till ett obevakat kommando eller en grupprincip inställning i klientdomänen för att automatiskt kryptera dataenheterna.

Hämta katalogfilen för volymsignaturen

Avskärmningsdatafiler innehåller också information om de malldiskar som en klientorganisation litar på. Klienter hämtar disksignaturer från betrodda malldiskar i form av en VSC-fil (Volume Signature Catalog). Dessa signaturer verifieras sedan när en ny virtuell dator distribueras. Om ingen av signaturerna i avskärmningsdatafilen matchar malldisken som försöker distribueras med den virtuella datorn (d.v.s. den har ändrats eller växlats ut mot en annan, potentiellt skadlig disk) misslyckas etableringsprocessen.

Important

VSC säkerställer att en disk inte har manipulerats, men det är fortfarande viktigt för klientorganisationen att lita på disken från början. Om du är klientorganisation och malldisken tillhandahålls av din värd distribuerar du en virtuell testdator med hjälp av malldisken och kör dina egna verktyg (antivirus, sårbarhetsskannrar och så vidare) för att verifiera att disken i själva verket är i ett tillstånd som du litar på.

Det finns två sätt att hämta VSC för en malldisk:

  1. Värden (eller klientorganisationen, om klientorganisationen har åtkomst till VMM) använder VMM PowerShell-cmdlets för att spara VSC och ger den till klientorganisationen. Detta kan utföras på alla datorer med VMM-konsolen installerad och konfigurerad för att hantera värdinfrastrukturens VMM-miljö. PowerShell-cmdletarna för att spara VSC är:

    $disk = Get-SCVirtualHardDisk -Name "templateDisk.vhdx"

$vsc = Get-SCVolumeSignatureCatalog -VirtualHardDisk $disk

$vsc.WriteToFile(".\templateDisk.vsc")

  2. Klientorganisationen har åtkomst till malldiskfilen. Detta kan vara fallet om klientorganisationen skapar en malldisk som ska laddas upp till en värdtjänstleverantör eller om klientorganisationen kan ladda ned värdens malldisk. I det här fallet, utan VMM i bilden, skulle klientorganisationen köra följande cmdlet (installerad med funktionen Avskärmade VM-verktyg, en del av Verktyg för fjärrserveradministration):

    Save-VolumeSignatureCatalog -TemplateDiskPath templateDisk.vhdx -VolumeSignatureCatalogPath templateDisk.vsc

Välj betrodda tyger

Den sista komponenten i avskärmningsdatafilen avser ägaren och vårdnadshavarna av en virtuell dator. Överordnad används för att ange både ägaren till en avskärmad virtuell dator och de skyddade infrastrukturresurser som den har behörighet att köras på.

Om du vill ge en värdinfrastruktur behörighet att köra en avskärmad virtuell dator måste du hämta skyddsmetadata från värdtjänstleverantörens tjänst för värdskyddsskydd. Ofta kommer värdtjänstleverantören att förse dig med dessa metadata genom sina hanteringsverktyg. I ett företagsscenario kan du ha direkt åtkomst för att hämta metadata själv.

Du eller din värdtjänstleverantör kan hämta metadata för vårdnadshavare från HGS genom att utföra någon av följande åtgärder:

  • Hämta skyddsmetadata direkt från HGS genom att köra följande Windows PowerShell-kommando eller bläddra till webbplatsen och spara XML-filen som visas:

    Invoke-WebRequest 'http://hgs.bastion.local/KeyProtection/service/metadata/2014-07/metadata.xml' -OutFile .\RelecloudGuardian.xml

  • Hämta skyddsmetadata från VMM med hjälp av VMM PowerShell-cmdlets:

    $relecloudmetadata = Get-SCGuardianConfiguration
$relecloudmetadata.InnerXml | Out-File .\RelecloudGuardian.xml -Encoding UTF8

Hämta skyddsmetadatafilerna för varje skyddad infrastrukturresurs som du vill ge dina avskärmade virtuella datorer behörighet att köra på innan du fortsätter.

Skapa en skärmningsdatafil och lägg till vårdnadshavare med hjälp av guiden Shielding Data File

Kör guiden Shielding Data File för att skapa en PDK-fil (shielding data). Här lägger du till RDP-certifikatet, den obevakade filen, kataloger för volymsignaturer, ägarskydd och nedladdade skyddsmetadata som hämtades i föregående steg.

  1. Installera Verktyg > för fjärrserveradministration, Verktyg för funktionsadministration > , Avskärmade VM-verktyg på datorn med hjälp av Serverhanteraren eller följande Windows PowerShell-kommando:

    Install-WindowsFeature RSAT-Shielded-VM-Tools

  2. Open the Shielding Data File Wizard from the Administrator Tools section on your Start menu or by running the following executable C:\Windows\System32\ShieldingDataFileWizard.exe.

  3. På den första sidan använder du den andra filvalsrutan för att välja en plats och ett filnamn för din skärmningsdatafil. Normalt skulle du namnge en skärmningsdatafil efter den entitet som äger alla virtuella datorer som skapats med dessa skärmningsdata (till exempel HR, IT, ekonomi) och den arbetsbelastningsroll som den kör (till exempel filserver, webbserver eller något annat som konfigurerats av den obevakade filen). Låt alternativknappen vara inställd på Skärmning av data för avskärmade mallar.

    Note

    I guiden Shielding Data File (Fil) kommer du att märka de två alternativen nedan:

    • Avskärmningsdata för avskärmade mallar
    • Avskärmningsdata för befintliga virtuella datorer och icke-avskärmade mallar
      Det första alternativet används när du skapar nya avskärmade virtuella datorer från avskärmade mallar. Med det andra alternativet kan du skapa skärmningsdata som endast kan användas vid konvertering av befintliga virtuella datorer eller skapande av avskärmade virtuella datorer från icke-skärmade mallar.

    Filguiden för skärmningsdata, filval

    Dessutom måste du välja om virtuella datorer som skapats med den här skärmningsdatafilen verkligen ska vara avskärmade eller konfigurerade i läget "kryptering stöds". Mer information om dessa två alternativ finns i Vilka typer av virtuella datorer kan en skyddad infrastrukturresurs köra?.

    Important

    Var noga med nästa steg eftersom det definierar ägaren till dina avskärmade virtuella datorer och vilka infrastrukturer dina skärmade virtuella datorer kommer att ha behörighet att köras på.
    Possession of owner guardian is required in order to later change an existing shielded VM from Shielded to Encryption Supported or vice-versa.

  4. Ditt mål i det här steget är tvåfaldigt:

    • Skapa eller välj en ägarövervakare som representerar dig som VM-ägare

    • Importera skyddsombudet som du laddade ned från värdleverantörens (eller din egen) värdskyddstjänst i föregående steg

    Om du vill utse en befintlig vårdnadshavare väljer du lämplig vårdnadshavare i rullgardinsmenyn. Endast vårdnadshavare som är installerade på din lokala dator med de privata nycklarna intakta kommer att visas i den här listan. Du kan också skapa en egen ägarvårdnadshavare genom att välja Hantera lokala vårdnadshavare i det nedre högra hörnet och klicka på Skapa och slutföra guiden.

    Därefter importerar vi metadata för vårdnadshavare som laddats ner tidigare igen med hjälp av sidan Ägare och vårdnadshavare . Välj Hantera lokala vårdnadshavare i det nedre högra hörnet. Use the Import feature to import the guardian metadata file. Click OK once you have imported or added all of the necessary guardians. Vi rekommenderar att du namnger vårdnadshavare efter den värdtjänstleverantör eller det företagsdatacenter som de representerar. Välj slutligen alla vårdnadshavare som representerar de datacenter där den avskärmade virtuella datorn har behörighet att köras. Du behöver inte välja vårdnadshavare igen. Click Next once finished.

    Shielding Data File Wizard, ägare och vårdnadshavare

  5. On the Volume ID Qualifiers page, click Add to authorize a signed template disk in your shielding data file. När du väljer en VSC i dialogrutan visas information om diskens namn, version och certifikatet som användes för att signera den. Upprepa den här processen för varje malldisk som du vill auktorisera.

  6. On the Specialization Values page, click Browse to select your unattend.xml file that will be used to specialize your VMs.

    Use the Add button at the bottom to add any additional files to the PDK that are needed during the specialization process. Om din obevakade fil till exempel installerar ett RDP-certifikat på den virtuella datorn (enligt beskrivningen i Generera en svarsfil med hjälp av funktionen New-ShieldingDataAnswerFile) bör du lägga till PFX-filen för RDP-certifikatet och skriptet RDPCertificateConfig.ps1 här. Observera att alla filer som du anger här automatiskt kopieras till C:\temp\ på den virtuella dator som skapas. Din obevakade fil bör förvänta sig att filerna finns i den mappen när du refererar till dem efter sökväg.

  7. Review your selections on the next page, and then click Generate.

  8. Stäng guiden när den är klar.

Skapa en avskärmningsdatafil och lägg till vårdnadshavare med PowerShell

As an alternative to the Shielding Data File wizard, you can run New-ShieldingDataFile to create a shielding data file.

Alla skärmningsdatafiler måste konfigureras med rätt ägar- och skyddscertifikat för att auktorisera att dina avskärmade virtuella datorer körs på en skyddad infrastrukturresurs. You can check if you have any guardians installed locally by running Get-HgsGuardian. Ägarvårdnadshavare har privata nycklar medan vårdnadshavare för ditt datacenter vanligtvis inte har det.

Om du behöver skapa en ägarförmyndare kör du följande kommando:

New-HgsGuardian -Name "Owner" -GenerateCertificates

Det här kommandot skapar ett par signerings- och krypteringscertifikat i den lokala datorns certifikatarkiv under mappen "Avskärmade lokala certifikat för virtuella datorer". Du behöver ägarcertifikaten och deras motsvarande privata nycklar för att avskydda en virtuell maskin, så se till att dessa certifikat säkerhetskopieras och skyddas från stöld. En angripare med åtkomst till ägarcertifikaten kan använda dem för att starta din avskärmade virtuella dator eller ändra dess säkerhetskonfiguration.

Om du behöver importera skyddsinformation från en skyddad infrastrukturresurs där du vill köra den virtuella datorn (ditt primära datacenter, säkerhetskopieringsdatacenter osv.) kör du följande kommando för varje metadatafil som hämtas från dina skyddade infrastrukturresurser.

Import-HgsGuardian -Name 'EAST-US Datacenter' -Path '.\EastUSGuardian.xml'

Tip

Om du använde självsignerade certifikat eller om certifikaten som är registrerade hos HGS har gått ut kan du behöva använda -AllowUntrustedRoot och/eller -AllowExpired flaggorna med kommandot Import-HgsGuardian för att kringgå säkerhetskontrollerna.

Du måste också skaffa en katalog med volymsignaturer för varje malldisk som du vill använda med den här skärmningsdatafilen och en svarsfil för skärmningsdata för att operativsystemet ska kunna slutföra sina specialiseringsuppgifter automatiskt. Slutligen bestämmer du om du vill att den virtuella datorn ska vara helt avskärmad eller bara vTPM-aktiverad. Används -Policy Shielded för en helt avskärmad virtuell dator eller -Policy EncryptionSupported för en vTPM-aktiverad virtuell dator som tillåter grundläggande konsolanslutningar och PowerShell Direct.

När allt är klart kör du följande kommando för att skapa din skärmningsdatafil:

$viq = New-VolumeIDQualifier -VolumeSignatureCatalogFilePath 'C:\temp\marketing-ws2016.vsc' -VersionRule Equals
New-ShieldingDataFile -ShieldingDataFilePath "C:\temp\Marketing-LBI.pdk" -Policy EncryptionSupported -Owner 'Owner' -Guardian 'EAST-US Datacenter' -VolumeIDQualifier $viq -AnswerFile 'C:\temp\marketing-ws2016-answerfile.xml'

Tip

Om du använder ett anpassat RDP-certifikat, SSH-nycklar eller andra filer som måste ingå i din skärmningsdatafil använder -OtherFile du parametern för att inkludera dem. Du kan ange en kommaavgränsad lista med filsökvägar, t.ex. -OtherFile "C:\source\myRDPCert.pfx", "C:\source\RDPCertificateConfig.ps1"

I kommandot ovan kommer vårdnadshavaren med namnet "Ägare" (erhållen från Get-HgsGuardian) att kunna ändra säkerhetskonfigurationen för den virtuella datorn i framtiden, medan "EAST-US Datacenter" kan köra den virtuella datorn men inte ändra dess inställningar. Om du har fler än en vårdnadshavare avgränsar du namnen på vårdnadshavarna med kommatecken, till exempel 'EAST-US Datacenter', 'EMEA Datacenter'. Volym-ID-kvalificeraren anger om du bara litar på den exakta versionen (Equals) av malldisken eller framtida versioner (GreaterThanOrEquals) också. Disknamnet och signeringscertifikatet måste matcha exakt för att versionsjämförelsen ska beaktas vid distributionen. Du kan lita på mer än en malldisk genom att ange en kommaavgränsad lista över volym-ID-kvalificerare till parametern -VolumeIDQualifier . Slutligen, om du har andra filer som behöver följa med svarsfilen med den virtuella datorn, använder -OtherFile du parametern och anger en kommaavgränsad lista över filsökvägar.

See the cmdlet documentation for New-ShieldingDataFile and New-VolumeIDQualifier to learn about additional ways to configure your shielding data file.

Additional References