在 VMM 中设置受保护的主机
重要
此版本的 Virtual Machine Manager (VMM) 已终止支持。 建议 升级到 VMM 2022。
本文介绍如何在 System Center - Virtual Machine Manager (VMM) 计算构造中部署受保护的 Hyper-V 主机。 详细了解 受保护的构造。
有多种方式可在 VMM 构造中设置受保护的 Hyper-V 主机。
- 将现有主机配置为受保护的主机:可以将现有主机配置为运行受防护的 VM。
- 添加或设置新的受保护的主机:此主机可以是:
- 现有 Windows Server 计算机(有或没有 Hyper-V 角色)
- 裸机计算机
在 VMM 构造中设置受保护的主机,如下所示:
配置全局 HGS 设置:VMM 将所有受保护的主机连接到同一 HGS 服务器,以便可以在主机之间成功迁移受防护的 VM。 可以指定应用于所有受保护的主机的全局 HGS 设置,并且可以指定替代全局设置的特定于主机的设置。 设置包括:
- 证明 URL:主机用于连接到 HGS 证明服务的 URL。 此服务授权主机运行受防护的 VM。
- 密钥保护服务器 URL:主机用于检索解密 VM 所需密钥的 URL。 主机必须通过证明才能检索密钥。
- 代码完整性策略:代码完整性策略限制可在受保护的主机上运行的软件。 当 HGS 配置为使用 TPM 证明时,受保护的主机必须配置为使用 HGS 服务器授权的代码完整性策略。 可以在 VMM 中指定代码完整性策略的位置,并将它们部署到主机中。 这是可选的,不需要管理受保护的构造。
- VM 防护帮助程序 VHD:专门准备的虚拟硬盘,用于将现有 VM 转换为受防护的 VM。 如果要保护现有 VM,则必须配置此设置。
配置云:如果将受保护的主机包含在 VMM 云中,需要启用云以支持受防护的 VM。
开始之前
在继续操作之前,请确保已部署和配置主机保护者服务。 在 Windows Server 文档中了解更多有关配置 HGS 的信息。
此外,请确保任何将成为受保护主机的主机都满足受保护的主机先决条件:
- 操作系统:主机服务器必须运行 Windows Server Datacenter。 建议对受保护的主机使用服务器核心。
- 角色和功能:主机服务器应运行 Hyper-V 角色和主机保护者 Hyper-V 支持功能。 主机保护者 Hyper-V 允许主机与 HGS 通信以证明其运行状况并请求受防护 VM 的密钥。 如果主机运行的是 Nano 服务器,则它应该已安装了 Compute、SCVMM-Package、SCVMM-Compute、Secure Startup 和 ShieldedVM 包。
- TPM-attestation:如果 HGB 配置为使用 TPM 证明,则主机服务器必须:
- 使用 UEFI 2.3.1c 和 TPM 2.0 模块
- 在 UEFI 模式(而非 BIOS 或“旧”模式)下启动
- 启用安全启动
- HGS 注册:必须向 HGS 注册 Hyper-V 主机。 注册方式取决于 HGS 是使用 AD 还是 TPM 证明。 了解详细信息
- 实时迁移:如果想要实时迁移受防护的 VM,需要部署两个或两个以上受保护的主机。
- 域:受保护的主机和 VMM 服务器必须位于同一域或具有双向信任的域中。
配置全局 HGS 设置
在将受保护的主机添加到 VMM 计算构造之前,必须使用有关构造的主机保护者服务 (HGS) 的信息配置 VMM。 相同的 HGS 将用于所有由 VMM 管理的受保护的主机。
从 HGS 管理员获取构造的证明和密钥保护 URL。
在 VMM 控制台中,选择“设置”>“主机保护者服务设置”。
在相应字段中输入证明和密钥保护 URL。 此时无需配置代码完整性策略和 VM 防护帮助程序 VHD 部分。
选择“完成”保存配置。
添加或设置新的受保护的主机
- 添加主机:
- 若要将运行 Windows Server 的现有服务器添加为受保护的 Hyper-V 主机,请将它添加到结构中。
- 如果想要从裸机计算机设置 Hyper-V 主机,请按照这些先决条件和说明操作。
注意
(“添加资源向导>操作系统设置>”将配置为受保护的主机) 时,可以将其部署为受保护的主机。
- 继续下一节,将主机配置为受保护的主机。
将现有主机配置为受保护的主机
要将由 VMM 管理的现有 Hyper-V 主机配置为受保护的主机,请完成以下步骤:
将主机置于维护模式下。
在“所有主机”中,右键单击主机 “属性”“主机保护者服务”。
选择启用主机保护者 Hyper-V 支持功能并配置主机。
注意
- 将为主机上设置全局证明和密钥保护服务器 URL。
- 如果在 VMM 控制台外部修改这些 URL,也需要在 VMM 中更新它们。 否则,在 URL 再次匹配之前,VMM 不会在主机上放置受防护的 VM。 还可以取消选中并重新检查“启用”框,以使用 VMM 中配置的 URL 重新配置主机。
如果正在使用 VMM 管理代码完整性策略,则可以启用第二个复选框,并为系统选择合适的策略。
选择“ 确定 ”以更新主机的配置。
使主机退出维护模式。
VMM 检查在添加主机时以及每次刷新主机状态时是否通过证明。 VMM 只能在通过证明的主机上部署和迁移受防护的 VM。 可以在“属性”“状态”“HGS 客户端总体”中检查主机证明状态。
在 VMM 云上启用受保护的主机
启用云以支持受保护的主机:
- 在 VMM 控制台中,选择“ VM 和服务>云”。 右键单击云名称 >“属性”。
- 在“常规”“受防护的 VM 支持”中,选择“受此私有云支持”。
使用 VMM 管理和部署代码完整性策略
在配置为使用 TPM 证明的受保护构造中,每个主机都必须配置有主机保护者服务信任的代码完整性策略。 为了简化代码完整性策略的管理,可以选择使用 VMM 将新的或已更新的策略部署到受保护的主机。
要将代码完整性策略部署到由 VMM 托管的受保护的主机,请完成以下步骤:
- 为环境中的每个引用主机创建代码完整性策略。 对于受保护的主机的每个唯一硬件和软件配置,都需要不同的 CI 策略。
- 将 CI 策略存储在安全的文件共享中。 每个受保护主机的计算机帐户都需要共享的读取访问权限。 只有受信任的管理员才具有写权限。
- 在 VMM 控制台中,选择“设置”>“主机保护者服务设置”。
- 在“代码完整性策略”部分下,选择“ 添加 ”并指定 CI 策略的友好名称和路径。 对每个唯一 CI 策略重复此步骤。 确保以有助于确定应将哪个策略应用于哪些主机的方式命名策略。
- 选择“完成”保存配置。
现在,对于每个受保护的主机,请完成以下步骤以应用代码完整性策略:
将主机置于维护模式下。
在“所有主机”中,右键单击主机 “属性”“主机保护者服务”。
选择以启用使用代码完整性策略配置主机的选项,然后为系统选择合适的策略。
选择“ 确定” 以应用配置更改。 主机可以重新启动以应用新策略。
使主机退出维护模式。
警告
确保为主机选择正确的代码完整性策略。 如果将不兼容的策略应用于主机,某些应用程序、驱动程序或操作系统组件可能无法继续工作。
如果更新了文件共享中的代码完整性策略,且还希望更新受保护的主机,那么可通过完成以下步骤来实现此目的:
- 将主机置于维护模式下。
- 在“所有主机”中,右键单击主机 “应用最新的代码完整性策略”。
- 使主机退出维护模式。
后续步骤
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈