建立 Windows 受防護的 VM 範本磁碟
適用於:Windows Server 2022、Windows Server 2016、Windows Server 2019
如同一般 VM,您可以建立 VM 範本 (例如 Virtual Machine Manager (VMM) 中的 VM 範本),讓租用戶和管理員使用範本磁碟輕鬆地在網狀架構上部署新的 VM。 由於受防護的 VM 是安全性敏感的資產,因此有額外步驟可建立支援防護的 VM 範本。 本主題涵蓋在 VMM 中建立受防護範本磁碟和 VM 範本的步驟。
若要了解此主題如何適用於部署受防護的 VM 的整個流程,請參閱受防護主機和受防護 VM 的主機服務提供者設定步驟。
準備作業系統 VHDX
首先準備作業系統磁碟,然後您將跟著受防護的範本磁碟建立精靈來執行。 此磁碟將作為租用戶 VM 中的 OS 磁碟。 您可以使用任何現有的工具來建立此磁碟,例如 Microsoft 桌面映像服務管理員 (DISM),或手動設定具有空白 VHDX 的 VM,並將 OS 安裝到該磁碟上。 設定磁碟時,必須遵循下列第 2 代和/或受防護 VM 特有的需求:
| VHDX 的需求 | 原因 |
|---|---|
| 必須是 GUID 磁碟分割表格 (GPT) 磁碟 | 第 2 代虛擬機器支援 UEFI 所需的項目 |
| 磁碟類型必須是 [基本],而不是 [動態]。 注意:這是指邏輯磁碟類型,而不是 Hyper-V 支援的「動態擴充」VHDX 功能。 |
BitLocker 不支援動態磁碟。 |
| 磁碟至少有兩個磁碟分割。 一個磁碟分割必須包含安裝 Windows 的磁碟機。 此為 BitLocker 將會加密的磁碟機。 另一個磁碟分割是使用中磁碟分割,其中包含開機載入器,且保持未加密,以便啟動電腦。 | BitLocker 所需 |
| 檔案系統為 NTFS | BitLocker 所需 |
| 在 VHDX 上安裝的是下列其中一個作業系統: - Windows Server 2019、Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012 - Windows 10、Windows 8.1、Windows 8 |
支援第 2 代虛擬機器和 Microsoft Secure 開機範本所需 |
| 作業系統必須一般化 (執行 sysprep.exe) | 範本佈建牽涉到特定租用戶工作負載的專用 VM |
注意
如果您使用 VMM,請勿在此階段將範本磁碟複製到 VMM 程式庫。
在範本作業系統上執行 Windows Update
在範本磁碟上,確認作業系統已安裝所有最新的 Windows 更新。 最近發行的更新可改善端對端防護程序的可靠性,此程序在範本作業系統不是最新狀態時,可能無法完成。
使用範本磁碟精靈準備並保護 VHDX
若要搭配受防護的 VM 使用範本磁碟,您必須使用受防護的範本磁碟建立精靈,透過 BitLocker 準備和加密磁碟。 此精靈會產生磁碟的雜湊,並將其新增至磁碟區簽章目錄 (VSC)。 VSC 會使用您指定的憑證進行簽署,並在佈建程序期間使用,以確保租用戶部署的磁碟尚未變更或取代為租用戶不信任的磁碟。 最後,BitLocker 會安裝在磁碟的作業系統上 (如果尚未存在的話),以準備磁碟在 VM 佈建期間進行加密。
注意
範本磁碟精靈會修改您就地指定的範本磁碟。 您可以在執行精靈之前,先建立未受保護的 VHDX 複本,以便稍後更新磁碟。 您將無法修改已使用範本磁碟精靈保護的磁碟。
在執行 Windows Server 2016、Windows 10 (已安裝遠端伺服器管理工具 (RSAT)) 或更新版本的電腦上執行下列步驟 (不需要是受防護主機或 VMM 伺服器):
如果尚未存在,請將在準備作業系統 VHDX 中建立的一般化 VHDX 複製到伺服器。
若要在本機管理伺服器,請從伺服器上的 [遠端伺服器管理工具] 安裝 [受防護的 VM 工具] 功能。
Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart您也可以從已安裝 Windows 10 遠端伺服器管理工具的用戶端電腦管理伺服器。
取得或建立憑證來簽署 VHDX 的 VSC,該 VHDX 將成為新受防護 VM 的範本磁碟。 建立受防護資料檔案並授權他們信任的磁碟時,將會向租用戶顯示此憑證的詳細資料。 因此,請務必從您和租用戶相互信任的憑證授權單位單位取得此憑證。 在主機和租用戶的企業案例中,您可能會考慮向 PKI 發行此憑證。
如果您要設定測試環境,而只想使用自我簽署憑證來準備範本磁碟,請執行類似下列的命令:
New-SelfSignedCertificate -DnsName publisher.fabrikam.com從 [開始] 功能表上的 [系統管理工具] 資料夾,或在命令提示字元中輸入 TemplateDiskWizard.exe,啟動 [範本磁碟精靈]。
在 [憑證] 頁面上,按一下 [瀏覽] 以顯示憑證清單。 選取用來準備磁碟範本的憑證。 按一下 [確定] ,然後按 [下一步]。
在 [虛擬磁碟] 頁面上,按一下 [瀏覽] 以選取您已備妥的 VHDX,然後按 [下一步]。
在 [簽章目錄] 頁面上,提供易記的磁碟名稱和版本。這些欄位存在,可協助您在準備磁碟後識別磁碟。
例如,針對磁碟名稱,您可以輸入 WS2016,而針對版本,可輸入 1.0.0.0
在精靈的 [檢閱設定] 頁面上檢閱您的選取項目。 當您按一下 [產生] 時,精靈會在範本磁碟上啟用 BitLocker、計算磁碟的雜湊,並建立儲存在 VHDX 中繼資料中的磁碟區簽章目錄。
等到準備處理程序完成後,再嘗試掛接或移動範本磁碟。 視磁碟大小而定,此處理程序可能需要一段時間才能完成。
重要
範本磁碟只能與安全的受防護 VM 佈建程序搭配使用。 嘗試使用範本磁碟啟動一般 (未防護) VM 可能會導致停止錯誤 (藍色畫面),且不受支援。
在 [摘要] 頁面上,會顯示磁碟範本、用來簽署 VSC 的憑證,以及憑證簽發者的相關資訊。 按一下 [關閉] 結束精靈。
如果您使用 VMM,請遵循本主題其餘各節中的步驟,在 VMM 中將範本磁碟併入受防護的 VM 範本。
將範本磁碟複製到 VMM 程式庫
如果您使用 VMM,在建立範本磁碟之後,您必須將其複製到 VMM 程式庫共用,讓主機可以在佈建新的 VM 時下載並使用磁碟。 使用下列程序將範本磁碟複製到 VMM 程式庫,然後重新整理程式庫。
將 VHDX 檔案複製到 VMM 程式庫共用資料夾。 如果您使用預設 VMM 設定,請將範本磁碟複製到 \<\vmmserver>\MSSCVMMLibrary\VHDs。
重新整理程式庫伺服器。 開啟 [程式庫] 工作區,展開 [程式庫伺服器],以滑鼠右鍵按一下您要重新整理的程式庫伺服器,然後按一下 [重新整理]。
接下來,提供 VMM 範本磁碟上所安裝作業系統的相關資訊:
a. 在 [程式庫] 工作區中的程式庫伺服器上,尋找新匯入的範本磁碟。
b. 以滑鼠右鍵按一下磁碟,然後按一下 [屬性]。
c. 在 [作業系統] 中展開清單,然後選取安裝在磁碟上的作業系統。 選取作業系統會向 VMM 指出 VHDX 不是空白。
d. 更新內容之後,按一下 [確定] 。
磁碟名稱旁的小型防護圖示表示磁碟為受防護 VM 的已就緒範本磁碟。 您也可以以滑鼠右鍵按一下資料行標頭,並切換 [受防護] 資料行,以查看指出磁碟用於一般還是受防護 VM 部署的文字表示。
使用已就緒的範本磁碟在 VMM 中建立受防護的 VM 範本
當 VMM 程式庫中具有已就緒的範本磁碟後,您就可以為受防護的 VM 建立 VM 範本。 受防護 VM 的 VM 範本與傳統 VM 範本稍有不同,因為其中某些設定是固定的 (已啟用第 2 代 VM、UEFI 和安全開機等等),而有些設定則無法使用 (租用戶自訂僅限於少數特定 VM 屬性)。 若要建立 VM 範本,請執行下列步驟:
在 [程式庫] 工作區中,按一下頂端首頁索引標籤上的 [建立 VM 範本]。
在 [選取來源] 頁面上,按一下 [使用現有的 VM 範本或存放於程式庫的虛擬硬碟] ,然後按一下 [瀏覽] 。
在出現的視窗中,從 VMM 程式庫選取已就緒的範本磁碟。 若要更輕鬆地識別已就緒的磁碟,請以滑鼠右鍵按一下資料行標頭並啟用 [受防護] 資料行。 按一下 [確定],然後按 [下一步]。
指定 VM 範本名稱,並選擇性地填入描述,然後按 [下一步]。
在 [設定硬體] 頁面上,針對從此範本建立的 VM 指定功能。 請確定 VM 範本上至少有一個 NIC 可供使用及設定。 租用戶連線到受防護 VM 的唯一方法是透過遠端桌面連線、Windows 遠端管理,或其他透過網路通訊協定運作且預先設定的遠端管理工具。
如果您選擇在 VMM 中運用靜態 IP 集區,而不是在租用戶網路上執行 DHCP 伺服器,則必須向租用戶發出此設定的警示。 當租用戶提供其防護資料檔案時 (其中包含 VMM 的自動安裝檔案),他們必須提供靜態 IP 集區資訊的特殊預留位置值。 若要深入了解租用戶自動安裝檔案中的 VMM 預留位置,請參閱建立回應檔案。
在 [設定作業系統] 頁面上,VMM 只會顯示受防護 VM 的幾個選項,包括產品金鑰、時區和電腦名稱。 某些安全資訊,例如管理員密碼和網域名稱,會由租用戶透過防護資料檔案 (.PDK 檔案) 來指定。
注意
如果您選擇在此頁面上指定產品金鑰,請確定其適用於範本磁碟上的作業系統。 如果使用了不正確的產品金鑰,VM 建立將會失敗。
建立範本之後,租用戶就可以使用該範本來建立新的虛擬機器。 您必須確認 VM 範本是租用戶系統管理員使用者角色可用的其中一個資源 (在 VMM 中,使用者角色位於 [設定] 工作區中)。
使用 PowerShell 準備和保護 VHDX
除了執行範本磁碟精靈之外,您也可以將範本磁碟和憑證複製到執行 RSAT 的電腦,並執行 Protect-TemplateDisk 來起始簽署程序。
下列範例會使用 TemplateName 和 Version 參數所指定的名稱和版本資訊。
您提供給 -Path 參數的 VHDX 將會以更新的範本磁碟覆寫,因此在執行命令之前,請務必先建立複本。
# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT
Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0
您的範本磁碟現在已準備好用來佈建受防護的 VM。 如果您使用 System Center Virtual Machine Manager 來部署 VM,您現在可以將 VHDX 複製到 VMM 程式庫。
您也可以從 VHDX 擷取磁碟區簽章目錄。 此檔案可用來將簽署憑證、磁碟名稱和版本的相關資訊提供給想要使用您範本的 VM 擁有者。 他們需要將此檔案匯入防護資料檔案精靈,以授權您擁有簽署憑證的範本作者,為他們建立此和未來的範本磁碟。
若要擷取磁碟區簽章目錄,請在 PowerShell 中執行下列命令:
Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'