在 VMM 中布建受防護主機

本文說明如何在 System Center Virtual Machine Manager （VMM） 計算網狀架構中部署受防護的 Hyper-V 主機。 深入瞭解 受防護網狀架構。

有幾種方式可以在 VMM 網狀架構中設定受防護的 Hyper-V 主機。

• 將現有的主機設定為受防護主機：您可以將現有的主機設定為執行受防護的 VM。
• 新增或布建新的受防護主機：此主機可能是：
  • 現有的 Windows Server 電腦（具有或不含 Hyper-V 角色）
  • 裸機電腦

您可以在 VMM 網狀架構中設定受防護主機，如下所示：

1. 設定全域 HGS 設定：VMM 會將所有受防護主機連線到相同的主機守護者服務 （HGS） 伺服器，讓您可以在主機之間成功移轉受防護的 VM。 您可以指定套用至所有受防護主機的全域 HGS 設定，而且您可以指定覆寫全域設定的主機特定設定。 設定包括：

   • 證明 URL：主機用來連線到 HGS 證明服務的 URL。 此服務會授權主機執行受防護的 VM。
   • 密鑰保護伺服器 URL：主機用來擷取解密 VM 所需的金鑰的 URL。 主機必須傳遞證明以擷取金鑰。
   • 程式代碼完整性原則：程序代碼完整性原則會限制可在受防護主機上執行的軟體。 當 HGS 設定為使用 TPM 證明時，必須將受防護主機設定為使用 HGS 伺服器授權的程式代碼完整性原則。 您可以在 VMM 中指定程式代碼完整性原則的位置，並將其部署至您的主機。 這是選擇性的，不需要管理受防護網狀架構。
   • VM 防護協助程式 VHD：特別準備的虛擬硬碟，用來將現有的 VM 轉換為受防護的 VM。 如果您要保護現有的 VM，您必須設定此設定。

2. 設定雲端：如果受防護主機會包含在 VMM 雲端中，您必須讓雲端支援受防護的 VM。

在您開始使用 Intune 之前

請確定您已部署並設定主機守護者服務，再繼續進行。 在 Windows Server 檔中深入瞭解 如何設定 HGS。

此外，請確定任何將成為受防護主機的主機都符合受防護主機的必要條件：

• 操作系統：主機伺服器必須執行 Windows Server Datacenter。 建議將 Server Core 用於受防護主機。
• 角色和功能：主機伺服器應該執行 Hyper-V 角色和主機守護者 Hyper-V 支援功能。 主機守護者 Hyper-V 支援可讓主機與 HGS 通訊，以證明其健康情況，並要求受防護 VM 的密鑰。 如果您的主機執行 Nano Server，它應該已安裝 Compute、SCVMM-Package、SCVMM-Compute、SecureStartup 和 ShieldedVM 套件。
• TPM 證明：如果您的 HGS 設定為使用 TPM 證明，主機伺服器必須：
  • 使用 UEFI 2.3.1c 和 TPM 2.0 模組
  • 以 UEFI 模式開機（不是 BIOS 或 舊版 模式）
  • 啟用安全開機
• HGS 註冊：Hyper-V 主機必須向 HGS 註冊。 註冊的方式取決於 HGS 是否使用 AD 或 TPM 證明。 深入了解
• 即時移轉：如果您想要即時移轉受防護的 VM，您需要部署兩個以上的受防護主機。
• 網域：受防護主機和 VMM 伺服器必須位於相同網域或具有雙向信任的網域中。

設定全域 HGS 設定

您必須先使用網狀架構 HGS 的相關信息來設定 VMM，才能將受防護主機新增至 VMM 計算網狀架構。 相同的 HGS 將用於 VMM 管理的所有受防護主機。

1. 從 HGS 系統管理員取得網狀架構的證明和金鑰保護 URL。

2. 在 VMM 控制台中，選取 [設定>主機守護者服務設定]。

3. 在個別欄位中輸入證明和金鑰保護 URL。 您目前不需要設定程式代碼完整性原則和 VM 防護協助程式 VHD 區段。
   
   

4. 按一下 [完成] 儲存設定。

新增或布建新的受防護主機

1. 新增主機：
   • 如果您想要將執行 Windows Server 的現有伺服器新增為受防護 Hyper-V 主機，請將 它新增至網狀架構。
   • 如果您想要從裸機計算機布建 Hyper-V 主機， 請遵循這些必要條件和指示。

     注意

     您可以在布建主機時將主機部署為受防護（新增資源精靈 >OS 設定>設定為受防護主機）。

2. 繼續進行下一節，將主機設定為受防護主機。

將現有的主機設定為受防護主機

若要將 VMM 管理的現有 Hyper-V 主機設定為受防護主機，請完成下列步驟：

1. 將主機置於 維護模式。

2. 在 [所有主機] 中，以滑鼠右鍵按兩下主機內容>主機>守護者服務。

   

3. 選取以啟用主機守護者 Hyper-V 支援功能並設定主機。

   注意

   • 將會在主機上設定全域證明和金鑰保護伺服器 URL。
   • 如果您在 VMM 控制台外修改這些 URL，您也必須在 VMM 中更新這些 URL。 如果您未這麼做，VMM 將不會在主機上放置受防護的 VM，直到 URL 再次相符為止。 您也可以取消核取並重新核取 [ 啟用 ] 方塊，以使用 VMM 中設定的 URL 重新設定主機。

4. 如果您使用 VMM 來管理程式碼完整性原則，您可以啟用第二個複選框，並選取系統的適當原則。

5. 選取 [ 確定 ] 以更新主機的組態。

6. 讓主機離開維護模式。

VMM 會在您新增主機時檢查主機是否通過證明，並在每次重新整理主機狀態時通過證明。 VMM 只會在已通過證明的主機上部署和移轉受防護的 VM。 您可以在 [屬性>狀態>HGS 用戶端整體] 中檢查主機的證明狀態。

在 VMM 雲端上啟用受防護主機

啟用雲端以支援受防護主機：

1. 在 VMM 控制台中，選取 [VM 和服務>雲端]。 以滑鼠右鍵按下雲端名稱 >[屬性]。
2. 在 [一般>受防護 VM 支援] 中，選取此私人雲端上支援。

使用 VMM 管理及部署程式代碼完整性原則

在設定為使用 TPM 證明的受防護網狀架構中，每個主機都必須使用主機守護者服務信任的程式代碼完整性原則進行設定。 為了簡化程式代碼完整性原則的管理，您可以選擇性地使用 VMM 將新的或更新的原則部署至受防護主機。

若要將程式代碼完整性原則部署至 VMM 所管理的受防護主機，請完成下列步驟：

1. 為您的環境中每個參考主機建立程式碼完整性原則 。 針對受防護主機的每個唯一硬體和軟體設定，您需要不同的 CI 原則。
2. 將 CI 原則儲存在安全的檔案共用中。 每個受防護主機的計算機帳戶都需要 共用的讀取許可權 。 只有受信任的系統管理員才應該具有寫入許可權。
3. 在 VMM 控制台中，選取 [設定>主機守護者服務設定]。
4. 在 [程序代碼完整性原則] 區段底下，選取 [新增 ] 並指定易記名稱和 CI 原則的路徑。 針對每個唯一 CI 原則重複此步驟。 請務必以可協助您識別應套用至哪些主機的原則的方式命名原則。
5. 按一下 [完成] 儲存設定。

現在，針對每個受防護主機，完成下列步驟以套用程式代碼完整性原則：

1. 將主機置於 維護模式。

2. 在 [所有主機] 中，以滑鼠右鍵按兩下主機內容>主機>守護者服務。

   

3. 選取即可啟用選項，以使用程式代碼完整性原則設定主機。 然後選取系統的適當原則。

4. 選取 [ 確定 ] 以套用組態變更。 主機可以重新啟動以套用新的原則。

5. 讓主機脫離維護模式。

警告

請確定您為主機選取正確的程式碼完整性原則。 如果將不相容的原則套用至主機，某些應用程式、驅動程式或操作系統元件可能無法再運作。

如果您在檔案共用中更新程式代碼完整性原則，而且想要同時更新受防護主機，您可以完成下列步驟來執行此動作：

1. 將主機置於 維護模式。
2. 在 [所有主機] 中，以滑鼠右鍵按兩下主機 >[套用最新的程式碼完整性原則]。
3. 讓主機脫離維護模式。

下一步

• 設定受防護的範本磁碟、公用程式磁碟和 VM 範本。