Microsoft Windows. Улучшения экранированной виртуальной машины в Windows Server 2019

Экранированная виртуальная машина — это уникальная функция безопасности, представленная корпорацией Microsoft в Windows Server 2016. В Windows Server 2019 он претерпел множество улучшений. В этой статье обсуждаются усовершенствования этой функции. Общие сведения о функции и подробные инструкции по развертыванию см. по следующей ссылке:  

Режимы аттестации

Изначально эта функция поддерживала два режима аттестации: на основе Active Directory и на основе TPM. Аттестация на основе TPM обеспечивает расширенные средства защиты, так как использует доверенный платформенный модуль (TPM) в качестве аппаратного корня доверия. Она поддерживает измеряемую загрузку и целостность кода. Аттестация режима ключа — это новое дополнение, заменяющее аттестацию на основе AD, которая по-прежнему присутствует, но устарела в Windows Server 2019 и более поздних версиях. По следующей ссылке содержится информация о настройке узла службы защиты узла (HGS) с использованием аттестации режима ключа https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default

Если оборудование TPM недоступно, предпочтительно использовать аттестацию режима ключа. Он проще в настройке, но сопряжен с некоторыми рисками безопасности, так как не задействует аппаратный корень доверия. Для обеспечения наиболее строгого уровня безопасности рекомендуется использовать аттестацию на основе TPM вместе с микросхемой TPM 2.0.
 

Функция резервного копирования HGS

Поскольку кластер HGS является критически важной частью решения экранированной виртуальной машины, корпорация Майкрософт предоставила усовершенствование, включающее второй набор URL-адресов HGS. Если основной сервер HGS не отвечает, защищенные узлы Hyper-V могут аттестовать и запускать экранированные виртуальные машины без простоя. Для этого потребуется настроить два сервера HGS с независимой аттестацией виртуальных машин на обоих серверах во время развертывания. Следующая команда используется для того, чтобы разрешить аттестацию виртуальных машин обоими кластерами HGS.
 

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

Чтобы узел Hyper-V прошел аттестацию как на первичном, так и на резервном серверах, информация об аттестации должна быть актуальной в обоих кластерах HGS.
 

Автономный режим

Автономный режим позволяет запускать экранированные виртуальные машины, даже если кластер HGS недоступен. Чтобы включить этот режим, выполните следующую команду на узле HGS:

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching:$true

После выполнения команды перезапустите все виртуальные машины, чтобы включить кэшируемую защиту ключей.  

Экранированная виртуальная машина Linux

Microsoft поддерживает экранированные виртуальные машины под управлением Linux в качестве гостевой ОС. Дополнительные сведения о том, какие дистрибутивы и версии Linux можно использовать, см. по следующей ссылке:
https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Важные рекомендации

Существует несколько важных рекомендаций, которые необходимо соблюдать при развертывании экранированных виртуальных машин:

1. При обновлении Windows Server 2016 до Windows Server 2019 очистите все конфигурации безопасности. Снова примените их после модернизации на HGS и охраняемых хостах, чтобы решение работало безупречно.
2. Диски-шаблоны можно использовать только с процессом подготовки защищенных экранированных виртуальных машин. Попытка загрузить обычную (неэкранированную) виртуальную машину с использованием диска-шаблона с большой вероятностью приведет к ошибке остановки (синий экран) и не будет поддерживаться.