Korumalı VM uygulama

  • 12 dakika

Windows Server yöneticisi olarak, korumalı vm oluşturma ve dağıtma adımlarını araştırmanız ve anladığınızdan emin olmanız gerekir.

Korumalı VM'leri uygulama

Korumalı VM'leri uygulamak için gereken üst düzey adımlar aşağıdadır. Adımlar, VMM ile ilgili bazı adımları içerir.

Görev 1: HGS'yi yükleme ve yapılandırma

  1. HGS önkoşullarını denetleyin ve ortamınızı HGS dağıtımı için hazırlayın:

    1. Donanımınızın ve işletim sisteminizin HGS önkoşul gereksinimlerini karşıladığından emin olun ve şunları not edin:

      • HGS fiziksel veya sanal makinelerde çalıştırılabilir, ancak fiziksel makineler önerilir.
      • HGS'yi 3 düğümlü bir fiziksel küme olarak çalıştırmak istiyorsanız, 3 fiziksel sunucunuz olmalıdır.
      • Kanıtlama gereksinimleri:
        • v2 doğrulama için Konak Anahtarı doğrulaması, Windows Server 2019 Standard veya Datacenter sürümünde çalışmayı gerektirir.
        • TPM tabanlı kanıtlama için Windows Server 2019 veya Windows Server 2016, Standard veya Datacenter sürümü gerekir.

    2. Uygun HGS sunucu rollerini yükleyin ve HGS etki alanı ile doku (host) etki alanı arasında DNS iletimi sağlamak için doku etki alanınızı yapılandırın.

    Uyarı

    HGS'yi dağıttığınızda, korumalı bir VM'yi başlatmak için gereken hassas bilgileri korumak için kullanılan imzalama ve şifreleme sertifikaları sağlamanız istenir. Bu iki sertifikayı almak için güvenilen bir sertifika yetkilisi kullanmanız önerilir; ancak otomatik olarak imzalanan sertifikaları kullanmak mümkündür. Bu iki sertifika her zaman HGS ana bilgisayarında kalır.

  2. İlk HGS düğümünü yapılandırın:

    • HGS'nin kendi ayrılmış AD DS ormanına mı yoksa mevcut savunma ormanına mı yükleneceğini seçin.

  3. Ortamınıza göre ek HGS düğümlerini yapılandırın:

    1. Her HGS düğümü aynı imzalama ve şifreleme sertifikalarına erişim gerektirir. Aşağıdaki iki seçenekten birini seçerek bunları yönetin:

      • Sertifikalarınızı parolayla pfx dosyasına aktarın ve HGS'nin sertifikaları sizin yerinize yönetmesine izin verin.
      • Sertifikaları her HGS düğümünde yerel makinenin sertifika deposuna yükleyin ve HGS'ye parmak izini sağlayın.

      Her iki seçenek de geçerlidir, ancak bir düğümün eklenmesi sırasında biraz farklı adımlar gerektirir.

    2. Aşağıdaki iki olası senaryodan birini kullanarak ek düğümler ekleyin:

      • HGS düğümlerini yeni, ayrılmış bir HGS ormanına ekleyin.

        • Kişisel Bilgi Değişimi (PFX) sertifikalarıyla yeni bir ayrılmış HGS ormanına HGS düğümleri eklemek için:

          1. HGS düğümünü bir etki alanı denetleyicisine yükseltin.
          2. HGS sunucusunu başlatın.

        • Sertifika parmak izlerine sahip yeni, ayrılmış bir HGS ormanına HGS düğümleri eklemek için:

          1. HGS düğümünü bir etki alanı denetleyicisine yükseltin.
          2. HGS sunucusunu başlatın.
          3. Sertifikaların özel anahtarlarını yükleyin.

      • Mevcut savunma ormanına HGS düğümleri ekleyin.

        • PFX sertifikalarına sahip mevcut bir savunma ormanına HGS düğümleri eklemek için:

          1. Düğümü var olan etki alanına ekleyin.
          2. Makineye Yönetilen Hizmet Hesabı (MSA) parolası alma ve çalıştırma Install-ADServiceAccount hakları verin.
          3. HGS sunucusunu başlatın.

        • Mevcut bir bastion ormanına sertifika parmak izleri kullanarak HGS düğümleri eklemek için:

          1. Düğümü var olan etki alanına ekleyin.
          2. Makineye bir MSA parolası alma ve çalıştırma Install-ADServiceAccounthakları verin.
          3. HGS sunucusunu başlatın.
          4. Sertifikaların özel anahtarlarını yükleyin.

    Uyarı

    HGS, sertifikalarını birden çok düğüm üzerinden almak ve kullanmak için hesap kimliği olarak grup tarafından yönetilen hizmet hesabını (gMSA) kullanır.

    Önemli

    Üretim ortamlarında HGS, bir HGS düğümü kapansa bile korumalı VM'lerin açılabilmesini sağlamak için yüksek kullanılabilirlik kümesinde ayarlanmalıdır.

  4. Korunan konakların HGS kümesini çözmesini sağlamak için kumaş DNS'sini yapılandırın.

  5. Sunucularda belgeleme önkoşullarını doğrulayın.

    1. Seçtiğiniz kanıtlama modu için ev sahibi ön koşullarını gözden geçirin: TPM, Anahtar veya Yönetici modu.
    2. Sunucuları HGS'ye ekleyin.

  6. Konak anahtarı oluşturma (Anahtar modu) veya konak bilgilerini toplama (TPM modu):

    • Konak Anahtarı kanıtlamasını (Anahtar modu) kullanarak Hyper-V konakları korumalı konaklar olacak şekilde hazırlamak için, bir konak anahtar çifti oluşturun (veya mevcut bir sertifikayı kullanın) ve ardından anahtarın ortak yarısını HGS'ye ekleyin.

    • Hyper-V konaklarını TPM modu doğrulama (Anahtar modu) kullanarak korunan konaklar olacak şekilde hazırlamak için konakların TPM tanımlayıcısını (onay anahtarı), TPM temelini ve CI ilkesini toplayın.

  7. HGS yapılandırmasına konak anahtarları (Anahtar modu) veya TPM bilgileri (TPM modu) ekleyin.

  8. HGS'nin sunucuları korumalı sunucu olarak doğruladığını onaylayın.

  9. (İsteğe bağlı) Korumalı konakları ve korumalı sanal makineleri Hyper-V dağıtmak ve yönetmek için VMM işlem dokusunu yapılandırın.

Görev 2: OS .vhdx dosyası hazırlama

  1. Aşağıdaki seçeneklerden birini kullanarak bir işletim sistemi diski (.vhdx dosyası) hazırlayın:

    • Hyper-V, Windows PowerShell veya Microsoft Desktop Image Service Manager (DISM) yardımcı programını kullanın.
    • Boş bir .vhdx dosyası içeren bir VM'yi el ile ayarlayın ve işletim sistemini bu diske yükleyin.

  2. Windows Update'i çalıştırarak işletim sistemi diskinde en son güncelleştirmeleri yükleyin.

Görev 3: VMM'de korumalı VM şablonu diski oluşturma

  1. Korumalı Şablon Diski Oluşturma Sihirbazı'nı kullanarak .vhdx dosyasını hazırlayın ve koruyun.

    • Korumalı VM'lerle bir şablon diski kullanmak için, Korumalı Şablon Diski Oluşturma Sihirbazı'nı kullanarak diski hazırlamanız ve BitLocker ile şifrelemeniz gerekir.

  2. Şablon diskini VMM Kitaplığı'na kopyalayın.

    • VMM kullanıyorsanız, şablon diski oluşturduktan sonra, konakların yeni korumalı VM'ler sağlarken diski indirip kullanabilmesi için bir VMM kitaplık paylaşımına kopyalayın.

Görev 4: Koruma veri dosyasını oluşturma

  1. Koruma verileri (PDK) dosyasını oluşturmaya hazırlanın:

    1. Uzak Masaüstü Bağlantısı için bir sertifika alın.
    2. Bir yanıt dosyası oluşturun.
    3. Birim imzası katalog dosyasını alın.
    4. Güvenilen dokuları ayarlayın.

  2. Koruma veri dosyasını oluşturun.

  3. Koruma veri dosyasını kullanma yetkisi olan velileri ekleyin.

5. Görev: Korumalı VM dağıtma

  1. Windows Azure Paketi veya VMM kullanarak korumalı vm dağıtma:

    1. Windows Azure Paketi veya VMM gibi seçtiğiniz dağıtım yönteminin gereksinimlerine göre koruma veri dosyasını karşıya yükleyin.
    2. Yeni bir korumalı VM sağlayın.

6. Görev: Korumalı VM başlatma

Korumalı vm başlatma işlemi aşağıdaki gibidir:

  1. Bir kullanıcı korumalı VM'yi başlatmayı istemektedir.

  2. HGS Kanıtlama hizmeti korunan konağın kimlik bilgilerini doğrular ve korunan konağa bir kanıtlama sertifikası gönderir.

  3. Korunan konak, kanıtlama sertifikasını ve KP'sini KPS'ye gönderir ve korumalı VM'yi açmak için bir anahtar ister.

  4. KPS bir kanıtlama sertifikasının geçerliliğini belirler, KP'nin şifresini çözer, korumalı VM'nin kilidini açmak için anahtarı alır ve anahtarı korunan konağa gönderir.

  5. Korumalı sunucu, gizli VM'nin kilidini açmak ve başlatmak için anahtarını kullanır.

    Uyarı

    Uzak Sunucu Yönetim Araçları > Korumalı VM Araçları, Sunucu Yöneticisi'ndeki Araçlar menüsünden erişilebilen Korumalı Şablon Disk Oluşturma Sihirbazı'nı içerir.