Microsoft Windows: Verbesserungen an Shielded VM in Windows Server 2019
Zusammenfassung: Dieser Artikel enthält Informationen zu Verbesserungen an abgeschirmten virtuellen Maschinen (VMs) in Windows Server 2019.
Dieser Artikel gilt für
Dieser Artikel gilt nicht für
Dieser Artikel ist nicht an ein bestimmtes Produkt gebunden.
In diesem Artikel werden nicht alle Produktversionen aufgeführt.
Weisungen
Shielded VM ist eine einzigartige Sicherheitsfunktion, die von Microsoft in Windows Server 2016 eingeführt wurde. Es wurde in Windows Server 2019 stark verbessert. In diesem Artikel werden Verbesserungen der Funktion beschrieben. Eine Einführung in die Funktion und detaillierte Schritte für die Bereitstellung finden Sie unter folgendem Link:
https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default
Die Schlüsselmodusbestätigung wird bevorzugt, wenn TPM-Hardware nicht verfügbar ist. Es ist einfacher zu konfigurieren, birgt aber einige Sicherheitsrisiken, da es keinen Hardwarevertrauensanker beinhaltet. Für strengste Sicherheit wird die Verwendung eines TPM-basierten Nachweises zusammen mit einem TPM 2.0-Chip empfohlen.
Damit der Hyper-V-Host den Nachweis sowohl mit dem primären als auch mit dem Fallbackserver bestehen kann, müssen die Nachweisinformationen auf beiden HGS-Clustern auf dem neuesten Stand sein.
Starten Sie nach dem Ausführen des Befehls alle VMs neu, um die zwischenspeicherbare Schlüsselschutzkomponente zu aktivieren.
https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template
Es gibt einige wichtige Richtlinien, die bei der Bereitstellung abgeschirmter VMs befolgt werden müssen:
Bestätigungsmodi
Die Funktion unterstützte ursprünglich zwei Nachweismodi: Active Directory-basierte Bestätigung und TPM-basierte Bestätigung. Der TPM-basierte Nachweis bietet erweiterten Sicherheitsschutz, da ein Trusted Platform Module (TPM) als Hardwarevertrauensanker verwendet wird. Es unterstützt die gemessene Start- und Codeintegrität. Die Schlüsselmodusbestätigung ist eine neue Ergänzung, die die AD-basierte Bestätigung ersetzt, die immer noch vorhanden ist, aber ab Windows Server 2019 veraltet ist. Der folgende Link enthält Informationen zum Einrichten des Hosts Guardian Service (HGS)-Knotens mithilfe der Schlüsselmodusbestätigung:https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default
Die Schlüsselmodusbestätigung wird bevorzugt, wenn TPM-Hardware nicht verfügbar ist. Es ist einfacher zu konfigurieren, birgt aber einige Sicherheitsrisiken, da es keinen Hardwarevertrauensanker beinhaltet. Für strengste Sicherheit wird die Verwendung eines TPM-basierten Nachweises zusammen mit einem TPM 2.0-Chip empfohlen.
HGS-Backupfunktion
Da der HGS-Cluster ein wichtiger Bestandteil der abgeschirmten VM-Lösung ist, hat Microsoft eine Verbesserung bereitgestellt, um einen zweiten Satz von HGS-URLs zu integrieren. Wenn der primäre HGS-Server nicht reagiert, können von Hyper-V überwachte Hosts die abgeschirmten VMs ohne Ausfallzeit bestätigen und starten. Dazu müssen zwei HGS-Server eingerichtet werden, wobei die VMs während der Bereitstellung unabhängig für beide Server zertifiziert sind. Mit dem folgenden Befehl können die VMs von beiden HGS-Clustern bestätigt werden.# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Damit der Hyper-V-Host den Nachweis sowohl mit dem primären als auch mit dem Fallbackserver bestehen kann, müssen die Nachweisinformationen auf beiden HGS-Clustern auf dem neuesten Stand sein.
Offline-Modus
Im Offlinemodus können abgeschirmte VMs auch dann gestartet werden, wenn der HGS-Cluster nicht erreichbar ist. Um diesen Modus zu aktivieren, führen Sie den folgenden Befehl auf einem HGS-Knoten aus:Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching:$true
Starten Sie nach dem Ausführen des Befehls alle VMs neu, um die zwischenspeicherbare Schlüsselschutzkomponente zu aktivieren.
Hinweis: Jede Änderung der Sicherheitskonfiguration auf dem Hyper-V führt dazu, dass dieser Offlinemodus ungültig wird. Der Host muss einen HGS-Server bestätigen, bevor VMs wieder im Offlinemodus gestartet werden können.
Abgeschirmte Linux-VM
Microsoft unterstützt abgeschirmte VMs, auf denen Linux als Gastbetriebssystem ausgeführt wird. Weitere Informationen darüber, welche Linux-Distributionen und -Versionen verwendet werden können, finden Sie unter folgendem Link:https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template
Wichtige Richtlinien
Es gibt einige wichtige Richtlinien, die bei der Bereitstellung abgeschirmter VMs befolgt werden müssen:
- Löschen Sie beim Upgrade von Windows Server 2016 auf Windows Server 2019 alle Sicherheitskonfigurationen. Wenden Sie sie nach dem Upgrade erneut auf dem HGS und den überwachten Hosts an, damit die Lösung einwandfrei funktioniert.
- Vorlagenfestplatten können nur mit dem sicheren, abgeschirmten VM-Bereitstellungsprozess verwendet werden. Der Versuch, eine reguläre (nicht abgeschirmte) VM mit einer Vorlagenfestplatte zu starten, führt wahrscheinlich zu einem Abbruchfehler (blauer Bildschirm) und wird nicht unterstützt.
Betroffene Produkte
Microsoft Windows Server 2019Artikeleigenschaften
Artikelnummer: 000175495
Artikeltyp: How To
Zuletzt geändert: 05 Mai 2026
Version: 8
Antworten auf Ihre Fragen erhalten Sie von anderen Dell NutzerInnen
Support Services
Prüfen Sie, ob Ihr Gerät durch Support Services abgedeckt ist.