Thực hiện VM được bảo vệ

  • 12 phút

Là người quản trị Windows Server, bạn cần điều tra và đảm bảo bạn hiểu các bước liên quan để tạo và triển khai máy ảo được bảo vệ.

Triển khai các máy ảo được bảo vệ

Sau đây là các bước cấp cao cần thiết để triển khai các máy ảo được bảo vệ. Các bước này bao gồm một số bước liên quan đến VMM.

Nhiệm vụ 1: Cài đặt và cấu hình HGS

  1. Kiểm tra các điều kiện tiên quyết của HGS và chuẩn bị môi trường của bạn để triển khai HGS:

    1. Đảm bảo rằng phần cứng và hệ điều hành của bạn đáp ứng các yêu cầu tiên quyết của HGS, lưu ý rằng:

      • HGS có thể chạy trên máy ảo hoặc máy vật lý, nhưng máy vật lý được khuyến nghị.
      • Nếu bạn muốn chạy HGS như là một cụm vật lý 3 nút, bạn phải có 3 máy chủ vật lý.
      • Yêu cầu về sự nhìn nhận:
        • Tính năng xác thực Khóa Máy chủ yêu cầu phiên bản Windows Server 2019 Standard hoặc Datacenter hoạt động để xác thực phiên bản v2.
        • Tính năng xác thực dựa trên TPM yêu cầu Windows Server 2019 hoặc Windows Server 2016, phiên bản Standard hoặc Datacenter.

    2. Cài đặt vai trò máy chủ HGS thích hợp và cấu hình miền vải của bạn (máy chủ) để cho phép chuyển tiếp DNS giữa miền vải và tên miền HGS.

    Ghi

    Khi bạn triển khai HGS, bạn sẽ được yêu cầu cung cấp chứng chỉ ký và mã hóa được sử dụng để bảo vệ thông tin nhạy cảm cần thiết để khởi động một máy ảo được bảo vệ. Đó là khuyến cáo để sử dụng một nhà chức trách chứng chỉ tin cậy để có được hai chứng chỉ này; tuy nhiên, có thể sử dụng chứng chỉ tự ký. Hai chứng chỉ này luôn luôn duy trì trên máy chủ HGS.

  2. Đặt cấu hình nút HGS đầu tiên:

    • Chọn xem để cài đặt HGS trong rừng AD DS riêng của mình hoặc trong một khu rừng bastion hiện có.

  3. Cấu hình các nút HGS bổ sung theo môi trường của bạn:

    1. Mỗi nút HGS sẽ yêu cầu quyền truy nhập vào cùng một chứng chỉ ký và mã hóa. Quản lý chúng bằng cách chọn một trong hai tùy chọn sau:

      • Xuất chứng chỉ của bạn vào một tập tin PFX với một mật khẩu và cho phép HGS để quản lý các chứng chỉ cho bạn.
      • Cài đặt chứng chỉ vào kho lưu trữ chứng chỉ của máy cục bộ trên mỗi nút HGS và cung cấp vân tay cho HGS.

      Một trong hai tùy chọn hợp lệ nhưng sẽ yêu cầu các bước hơi khác nhau trong quá trình bổ sung nút.

    2. Thêm nút bổ sung bằng cách sử dụng một trong hai kịch bản có thể xảy ra sau đây:

      • Thêm nút HGS vào một rừng HGS chuyên dụng mới.

        • Để thêm các nút HGS vào một rừng HGS chuyên dụng mới với chứng chỉ Trao đổi Thông tin Cá nhân (PFX) :

          1. Tăng cấp nút HGS thành bộ điều khiển miền.
          2. Khởi tạo máy chủ HGS.

        • Để thêm nút HGS vào một rừng HGS chuyên dụng mới với vân tay chứng chỉ:

          1. Tăng cấp nút HGS thành bộ điều khiển miền.
          2. Khởi tạo máy chủ HGS.
          3. Cài đặt khóa riêng cho chứng chỉ.

      • Thêm nút HGS vào rừng bastion hiện có.

        • Để thêm HGS nút vào một rừng bastion hiện có với chứng chỉ PFX:

          1. Nối nút vào miền hiện có.
          2. Cấp cho máy quyền truy xuất mật khẩu Tài khoản Dịch vụ Được quản lý (MSA) và chạy Install-ADServiceAccount.
          3. Khởi tạo máy chủ HGS.

        • Để thêm nút HGS vào một rừng bastion hiện có với dấu vân tay chứng chỉ:

          1. Nối nút vào miền hiện có.
          2. Cấp cho máy quyền truy xuất mật khẩu MSA và chạy Install-ADServiceAccount.
          3. Khởi tạo máy chủ HGS.
          4. Cài đặt khóa riêng cho chứng chỉ.

    Ghi

    HGS sử dụng tài khoản dịch vụ được quản lý nhóm (gMSA) làm danh tính tài khoản để truy xuất và sử dụng các chứng chỉ của nó qua nhiều nút.

    Quan trọng

    Trong môi trường sản xuất, HGS nên được thiết lập trong một cụm khả dụng cao để đảm bảo rằng máy ảo được bảo vệ có thể được bật ngay cả khi một nút HGS đi xuống.

  4. Cấu hình DNS của vải để cho phép lưu trữ được bảo vệ để giải quyết cụm HGS.

  5. Xác nhận điều kiện tiên quyết để chứng thực trên máy chủ:

    1. Xem lại điều kiện tiên quyết của máy chủ cho chế độ chứng thực bạn đã chọn: TPM, Khóa hoặc chế độ Quản trị.
    2. Thêm máy chủ vào HGS.

  6. Tạo khóa máy chủ (chế độ Khóa) hoặc thu thập thông tin máy chủ (chế độ TPM):

    • Để chuẩn bị cho máy chủ Hyper-V trở thành máy chủ được bảo vệ bằng cách sử dụng chứng thực Khóa Máy chủ (chế độ Khóa), hãy tạo một cặp khóa máy chủ (hoặc sử dụng chứng chỉ hiện có), sau đó thêm một nửa công khai của khóa vào HGS.

    • Để chuẩn bị Hyper-V máy chủ để trở thành máy chủ được bảo vệ bằng cách sử dụng chứng thực chế độ TPM (chế độ Khóa), hãy nắm bắt mã định danh TPM của máy chủ (khóa chứng quyền), đường cơ sở TPM và chính sách CI.

  7. Thêm phím máy chủ (chế độ Phím) hoặc thông tin TPM (chế độ TPM) vào cấu hình HGS.

  8. Xác nhận rằng HGS chứng thực cho các máy chủ là máy chủ được bảo vệ.

  9. (Tùy chọn) Cấu hình cấu hình cấu tạo tính toán VMM để triển khai và quản lý các máy Hyper-V chủ được bảo vệ và máy ảo được bảo vệ.

Tác vụ 2: Chuẩn bị tệp OS .vhdx

  1. Chuẩn bị đĩa HĐH (tệp .vhdx) bằng cách sử dụng một trong các tùy chọn sau:

    • Sử dụng tiện ích Hyper-V, Windows PowerShell hoặc Microsoft Desktop Image Service Manager (DISM).
    • Thiết lập thủ công một máy ảo với một tệp .vhdx trống và cài đặt HĐH vào đĩa đó.

  2. Cài đặt các bản cập nhật mới nhất trên đĩa HĐH bằng cách chạy Windows Update.

Tác vụ 3: Tạo đĩa mẫu máy ảo được bảo vệ trong VMM

  1. Chuẩn bị và bảo vệ tệp .vhdx bằng cách sử dụng Trình hướng dẫn Tạo Đĩa Mẫu Được bảo vệ.

    • Để sử dụng đĩa mẫu với máy ảo được bảo vệ, bạn phải chuẩn bị đĩa và mã hóa đĩa bằng BitLocker bằng Trình hướng dẫn Tạo Đĩa Mẫu Được bảo vệ.

  2. Sao chép đĩa mẫu vào Thư viện VMM.

    • Nếu bạn sử dụng VMM, sau khi bạn tạo đĩa mẫu, hãy sao chép đĩa đó vào chia sẻ thư viện VMM để máy chủ có thể tải xuống và sử dụng đĩa khi cung cấp máy ảo được bảo vệ mới.

Tác vụ 4: Tạo tệp dữ liệu che chắn

  1. Chuẩn bị tạo tệp dữ liệu (PDK) bảo vệ:

    1. Lấy chứng chỉ cho Kết nối Máy tính Từ xa.
    2. Tạo tệp câu trả lời.
    3. Lấy tệp ca-ta-lô chữ ký số lượng lớn.
    4. Đặt các loại vải đáng tin cậy.

  2. Tạo tệp dữ liệu bảo vệ.

  3. Thêm người giám hộ được phép sử dụng tệp dữ liệu bảo vệ.

Nhiệm vụ 5: Triển khai máy ảo được bảo vệ

  1. Triển khai máy ảo được bảo vệ bằng cách sử dụng Windows Azure Packhoặc VMM:

    1. Tải lên tệp dữ liệu bảo vệ theo các yêu cầu cho phương thức triển khai bạn đã chọn, chẳng hạn như Windows Azure Pack hoặc VMM.
    2. Cung cấp một máy ảo được bảo vệ mới.

Nhiệm vụ 6: Bắt đầu một máy ảo được bảo vệ

Quy trình khởi động máy ảo được bảo vệ như sau:

  1. Người dùng yêu cầu khởi động máy ảo được bảo vệ.

  2. Dịch vụ chứng thực HGS xác nhận thông tin đăng nhập của máy chủ được bảo vệ và gửi chứng chỉ chứng thực cho máy chủ được bảo vệ.

  3. Máy chủ được bảo vệ gửi chứng chỉ chứng thực và KP của nó đến KPS và yêu cầu khóa để mở khóa máy ảo được bảo vệ.

  4. KPS xác định một chứng chỉ chứng thực hiệu lực, giải mã KP, lấy chìa khóa để mở khóa máy ảo được bảo vệ và gửi chìa khóa cho máy chủ được bảo vệ.

  5. Máy chủ được bảo vệ sử dụng chìa khóa để mở khóa và khởi động máy ảo được bảo vệ.

    Ghi

    Công cụ Quản trị Máy chủ Từ xa > Công cụ Máy ảo được Bảo vệ bao gồm Trình hướng dẫn Tạo Đĩa Mẫu Được bảo vệ, có thể truy cập được từ menu Công cụ trong Trình quản lý Máy chủ.