在 VMM 中设置受保护的主机

重要

此版本的 Virtual Machine Manager (VMM) 已终止支持。 建议 升级到 VMM 2022。

本文介绍如何在 System Center - Virtual Machine Manager (VMM) 计算构造中部署受保护的 Hyper-V 主机。 详细了解 受保护的构造。

有多种方式可在 VMM 构造中设置受保护的 Hyper-V 主机。

• 将现有主机配置为受保护的主机：可以将现有主机配置为运行受防护的 VM。
• 添加或设置新的受保护的主机：此主机可以是：
  • 现有 Windows Server 计算机（有或没有 Hyper-V 角色）
  • 裸机计算机

在 VMM 构造中设置受保护的主机，如下所示：

1. 配置全局 HGS 设置：VMM 将所有受保护的主机连接到同一 HGS 服务器，以便可以在主机之间成功迁移受防护的 VM。 可以指定应用于所有受保护的主机的全局 HGS 设置，并且可以指定替代全局设置的特定于主机的设置。 设置包括：

   • 证明 URL：主机用于连接到 HGS 证明服务的 URL。 此服务授权主机运行受防护的 VM。
   • 密钥保护服务器 URL：主机用于检索解密 VM 所需密钥的 URL。 主机必须通过证明才能检索密钥。
   • 代码完整性策略：代码完整性策略限制可在受保护的主机上运行的软件。 当 HGS 配置为使用 TPM 证明时，受保护的主机必须配置为使用 HGS 服务器授权的代码完整性策略。 可以在 VMM 中指定代码完整性策略的位置，并将它们部署到主机中。 这是可选的，不需要管理受保护的构造。
   • VM 防护帮助程序 VHD：专门准备的虚拟硬盘，用于将现有 VM 转换为受防护的 VM。 如果要保护现有 VM，则必须配置此设置。

2. 配置云：如果将受保护的主机包含在 VMM 云中，需要启用云以支持受防护的 VM。

开始之前

在继续操作之前，请确保已部署和配置主机保护者服务。 在 Windows Server 文档中了解更多有关配置 HGS 的信息。

此外，请确保任何将成为受保护主机的主机都满足受保护的主机先决条件：

• 操作系统：主机服务器必须运行 Windows Server Datacenter。 建议对受保护的主机使用服务器核心。
• 角色和功能：主机服务器应运行 Hyper-V 角色和主机保护者 Hyper-V 支持功能。 主机保护者 Hyper-V 允许主机与 HGS 通信以证明其运行状况并请求受防护 VM 的密钥。 如果主机运行的是 Nano 服务器，则它应该已安装了 Compute、SCVMM-Package、SCVMM-Compute、Secure Startup 和 ShieldedVM 包。
• TPM-attestation：如果 HGB 配置为使用 TPM 证明，则主机服务器必须：
  • 使用 UEFI 2.3.1c 和 TPM 2.0 模块
  • 在 UEFI 模式（而非 BIOS 或“旧”模式）下启动
  • 启用安全启动
• HGS 注册：必须向 HGS 注册 Hyper-V 主机。 注册方式取决于 HGS 是使用 AD 还是 TPM 证明。 了解详细信息
• 实时迁移：如果想要实时迁移受防护的 VM，需要部署两个或两个以上受保护的主机。
• 域：受保护的主机和 VMM 服务器必须位于同一域或具有双向信任的域中。

配置全局 HGS 设置

在将受保护的主机添加到 VMM 计算构造之前，必须使用有关构造的主机保护者服务 (HGS) 的信息配置 VMM。 相同的 HGS 将用于所有由 VMM 管理的受保护的主机。

1. 从 HGS 管理员获取构造的证明和密钥保护 URL。

2. 在 VMM 控制台中，选择“设置”>“主机保护者服务设置”。

3. 在相应字段中输入证明和密钥保护 URL。 此时无需配置代码完整性策略和 VM 防护帮助程序 VHD 部分。
   
   

4. 选择“完成”保存配置。

添加或设置新的受保护的主机

1. 添加主机：
   • 若要将运行 Windows Server 的现有服务器添加为受保护的 Hyper-V 主机，请将它添加到结构中。
   • 如果想要从裸机计算机设置 Hyper-V 主机，请按照这些先决条件和说明操作。

     注意

     (“添加资源向导>操作系统设置>”将配置为受保护的主机) 时，可以将其部署为受保护的主机。

2. 继续下一节，将主机配置为受保护的主机。

将现有主机配置为受保护的主机

要将由 VMM 管理的现有 Hyper-V 主机配置为受保护的主机，请完成以下步骤：

1. 将主机置于维护模式下。

2. 在“所有主机”中，右键单击主机 “属性”“主机保护者服务”。

   

3. 选择启用主机保护者 Hyper-V 支持功能并配置主机。

   注意

   • 将为主机上设置全局证明和密钥保护服务器 URL。
   • 如果在 VMM 控制台外部修改这些 URL，也需要在 VMM 中更新它们。 否则，在 URL 再次匹配之前，VMM 不会在主机上放置受防护的 VM。 还可以取消选中并重新检查“启用”框，以使用 VMM 中配置的 URL 重新配置主机。

4. 如果正在使用 VMM 管理代码完整性策略，则可以启用第二个复选框，并为系统选择合适的策略。

5. 选择“ 确定 ”以更新主机的配置。

6. 使主机退出维护模式。

VMM 检查在添加主机时以及每次刷新主机状态时是否通过证明。 VMM 只能在通过证明的主机上部署和迁移受防护的 VM。 可以在“属性”“状态”“HGS 客户端总体”中检查主机证明状态。

在 VMM 云上启用受保护的主机

启用云以支持受保护的主机：

1. 在 VMM 控制台中，选择“ VM 和服务>云”。 右键单击云名称 >“属性”。
2. 在“常规”“受防护的 VM 支持”中，选择“受此私有云支持”。

使用 VMM 管理和部署代码完整性策略

在配置为使用 TPM 证明的受保护构造中，每个主机都必须配置有主机保护者服务信任的代码完整性策略。 为了简化代码完整性策略的管理，可以选择使用 VMM 将新的或已更新的策略部署到受保护的主机。

要将代码完整性策略部署到由 VMM 托管的受保护的主机，请完成以下步骤：

1. 为环境中的每个引用主机创建代码完整性策略。 对于受保护的主机的每个唯一硬件和软件配置，都需要不同的 CI 策略。
2. 将 CI 策略存储在安全的文件共享中。 每个受保护主机的计算机帐户都需要共享的读取访问权限。 只有受信任的管理员才具有写权限。
3. 在 VMM 控制台中，选择“设置”>“主机保护者服务设置”。
4. 在“代码完整性策略”部分下，选择“ 添加 ”并指定 CI 策略的友好名称和路径。 对每个唯一 CI 策略重复此步骤。 确保以有助于确定应将哪个策略应用于哪些主机的方式命名策略。
5. 选择“完成”保存配置。

现在，对于每个受保护的主机，请完成以下步骤以应用代码完整性策略：

1. 将主机置于维护模式下。

2. 在“所有主机”中，右键单击主机 “属性”“主机保护者服务”。

   

3. 选择以启用使用代码完整性策略配置主机的选项，然后为系统选择合适的策略。

4. 选择“ 确定” 以应用配置更改。 主机可以重新启动以应用新策略。

5. 使主机退出维护模式。

警告

确保为主机选择正确的代码完整性策略。 如果将不兼容的策略应用于主机，某些应用程序、驱动程序或操作系统组件可能无法继续工作。

如果更新了文件共享中的代码完整性策略，且还希望更新受保护的主机，那么可通过完成以下步骤来实现此目的：

1. 将主机置于维护模式下。
2. 在“所有主机”中，右键单击主机 “应用最新的代码完整性策略”。
3. 使主机退出维护模式。

后续步骤

• 设置受防护的模板磁盘、实用工具磁盘和 VM 模板。