Dela via

Etablera skyddade värdar i VMM

Den här artikeln beskriver hur du distribuerar skyddade Hyper-V värdar i en VMM-beräkningsinfrastruktur (System Center Virtual Machine Manager). Läs mer om skyddat tyg.

Det finns ett par sätt att konfigurera skyddade Hyper-V värdar i en VMM-infrastrukturresurs.

  • Konfigurera en befintlig värd som en skyddad värd: Du kan konfigurera en befintlig värd för att köra avskärmade virtuella datorer.
  • Lägg till eller upprätta en ny skyddad värd: Den här värden kan vara:
    • En befintlig Windows Server-dator (med eller utan rollen Hyper-V)
    • En dator utan operativsystem

Du konfigurerar skyddade värdar i VMM-infrastrukturresurserna på följande sätt:

  1. Konfigurera globala HGS-inställningar: VMM ansluter alla skyddade värdar till samma HGS-server (Host Guardian Service) så att du kan migrera avskärmade virtuella datorer mellan värdarna. Du anger de globala HGS-inställningar som gäller för alla skyddade värdar och du kan ange de värdspecifika inställningar som åsidosätter de globala inställningarna. Inställningarna omfattar:

    • Attesterings-URL: Den URL som värden använder för att ansluta till HGS-atteseringstjänsten. Den här tjänsten tillåter en värd att köra avskärmade virtuella datorer.
    • URL för nyckelskyddsservern: Den URL som värdservern använder för att hämta nyckeln som behövs för att dekryptera virtuella datorer. Värden måste genomgå attestering för att hämta nycklar.
    • Kodintegritetsprinciper: En kodintegritetsprincip begränsar programvaran som kan köras på en skyddad värd. När HGS har konfigurerats för att använda TPM-attestering måste skyddade värdar konfigureras för att använda en kodintegritetsprincip som auktoriseras av HGS-servern. Du kan ange platsen för kodintegritetsprinciper i VMM och distribuera dem till dina värdar. Detta är valfritt och krävs inte för att hantera en skyddad infrastruktur.
    • VM-avskärmningshjälpmedel VHD: En särskilt förberedd virtuell hårddisk som används för att konvertera befintliga virtuella maskiner till avskärmade virtuella datorer. Du måste konfigurera den här inställningen om du vill skydda de befintliga virtuella datorerna.

  2. Konfigurera molnet: Om den skyddade värden ska ingå i ett VMM-moln måste du aktivera molnet för att stödja skyddade virtuella maskiner.

Innan du börjar

Kontrollera att du har distribuerat och konfigurerat tjänsten Värdskydd innan du fortsätter. Läs mer om hur du konfigurerar HGS i Windows Server-dokumentationen.

Se dessutom till att alla värdar som blir skyddade värdar uppfyller kraven för de skyddade värdarna.

  • Operativsystem: Värdservrar måste köra Windows Server Datacenter. Vi rekommenderar att du använder Server Core för skyddade värdar.
  • Roll och funktioner: Värdservrar bör köra Hyper-V-rollen och funktionen Värdskydd Hyper-V Support. "Host Guardian Hyper-V Support låter värden kommunicera med HGS för att intyga sin hälsa och begära nycklar för skyddade virtuella datorer." Om din värd kör Nano Server, ska paketen Compute, SCVMM-Package, SCVMM-Compute, SecureStartup och ShieldedVM vara installerade.
  • TPM-attestering: Om din HGS är konfigurerad för att använda TPM-attestering måste värdservrarna:
    • Använda UEFI 2.3.1c och en TPM 2.0-modul
    • Starta i UEFI-läge (inte BIOS eller äldre läge)
    • Aktivera säker start
  • HGS-registrering: Hyper-V värdar måste registreras med HGS. Hur de registreras beror på om HGS använder AD- eller TPM-attestering. Läs mer
  • Direktmigrering: Om du vill direktmigrera skärmade virtuella datorer måste du distribuera två eller flera skyddade värdar.
  • Domain: Skyddade värdar och VMM-servern måste finnas i samma domän eller i domäner med dubbelriktat förtroende.

Konfigurera globala HGS-inställningar

Innan du kan lägga till skyddade värdar i VMM-beräkningsinfrastrukturen måste du konfigurera VMM med information om HGS för infrastrukturresurserna. Samma HGS används för alla skyddade värdar som hanteras av VMM.

  1. Skaffa attesterings- och nyckelskydds-URL:er för din nätverksmiljö från HGS-administratören.

  2. I VMM-konsolen väljer du Inställningar>Tjänstinställningar för värdskydd.

  3. Ange attesterings- och nyckelskydds-URL:er i respektive fält. Du behöver inte konfigurera principer för kodintegritet eller hjälpmedlet för VM-skärmning för VHD-avsnitten just nu.

    Skärmbild av fönstret Globala HGS-inställningar.

  4. Välj Slutför för att spara konfigurationen.

Lägga till eller etablera en ny skyddad värd

  1. Lägg till värden:
    • Om du vill lägga till en befintlig server som kör Windows Server som en skyddad Hyper-V värd, lägg till den i nätverket.
    • Om du vill etablera en Hyper-V värd från en dator utan operativsystem följer dessa krav och instruktioner.

      Obs

      Du kan konfigurera värden som skyddad när du förbereder den (Lägg till resursguiden >OS-inställningar>Konfigurera som skyddad värd).

  2. Fortsätt till nästa avsnitt för att konfigurera värden till en skyddad värd.

Konfigurera en befintlig värd som en skyddad värd

Utför följande steg för att konfigurera en befintlig Hyper-V värd som hanteras av VMM som en skyddad värd:

  1. Placera värden i underhållsläge.

  2. I Alla värdarhögerklickar du på värden >Egenskaper>Värdskyddstjänst.

    Skärmbild av Aktivera en värd som en skyddad värd.

  3. Välj att aktivera Host Guardian Hyper-V Support-funktionen och konfigurera värden.

    Obs

    • De globala adresserna för attestering och nyckelskydd kommer att anges på värddatorn.
    • Om du ändrar dessa URL:er utanför VMM-konsolen måste du även uppdatera dem i VMM. Om du inte gör detta, kommer VMM inte att placera skyddade virtuella datorer på värden förrän URL:erna matchar igen. Du kan också avmarkera och sedan markera kryssrutan Aktivera igen för att konfigurera om värden med de URL:er som har konfigurerats i VMM.

  4. Om du använder VMM för att hantera kodintegritetsprinciper kan du aktivera den andra kryssrutan och välja rätt princip för systemet.

  5. Välj OK för att uppdatera datorvärdens konfiguration.

  6. Ta värden ur underhållsläge.

VMM kontrollerar att värden klarar attesteringen när du lägger till den och varje gång värdstatusen uppdateras. VMM distribuerar och migrerar endast avskärmade virtuella datorer på värdar som har klarat attesteringen. Du kan kontrollera attesteringsstatusen för en värd i Egenskaper>Status>Övergripande HGS-klient.

Aktivera skyddade värdar i ett VMM-moln

Aktivera ett moln för att stödja skyddade värdar:

  1. I VMM-konsolen väljer du virtuella datorer och tjänster>Moln. Högerklicka på molnnamnet >Egenskaper.
  2. I Generell>Stöd för skärmad virtuell dator, välj Stöds i det här privata molnet.

Hantera och distribuera kodintegritetsprinciper med VMM

I skyddad infrastruktur konfigurerad för att använda TPM-attestering måste varje värd konfigureras med en kodintegritetspolicy som är betrodd av Värdskyddstjänsten. För att underlätta hanteringen av kodintegritetsprinciper kan du använda VMM för att distribuera nya eller uppdaterade principer till dina skyddade värdar.

Utför följande steg för att distribuera en kodintegritetsprincip till en skyddad värd som hanteras av VMM:

  1. Skapa en kodintegritetsprincip för varje referensvärd i din miljö. Du behöver en annan CI-princip för varje unik maskinvaru- och programvarukonfiguration för dina skyddade värdar.
  2. Lagra CI-principerna i en säker filutdelning. Datorkontona för varje skyddad värd kräver läsbehörighet till resursen. Endast betrodda administratörer ska ha skrivåtkomst.
  3. I VMM-konsolen väljer du Inställningar>Tjänstinställningar för värdskydd.
  4. Under avsnittet Principer för kodintegritet väljer du Lägg till och anger ett vänligt namn och sökvägen till en CI-policy. Upprepa det här steget för varje unik CI-princip. Se till att namnge dina principer på ett sätt som hjälper dig att identifiera vilken princip som ska tillämpas på vilka värdar. Skärmbild av Lägg till en kodintegritetsprincip.
  5. Välj Slutför för att spara konfigurationen.

För varje skyddad värd utför du nu följande steg för att tillämpa en kodintegritetsprincip:

  1. Placera värden i underhållsläge.

  2. I Alla värdarhögerklickar du på värden >Egenskaper>Värdskyddstjänst.

    Skärmbild av Tillämpa en kodintegritetsprincip.

  3. Välj för att aktivera alternativet för att konfigurera värden med en kodintegritetsprincip. Välj sedan rätt princip för systemet.

  4. Välj OK för att tillämpa konfigurationsändringen. Programvärden kan starta om för att tillämpa den nya policyn.

  5. Ta värden ur underhållsläge.

Varning

Se till att du väljer rätt kodintegritetspolicy för värddatorn. Om en inkompatibel policy tillämpas på värddatorn kan vissa program, drivrutiner eller operativsystemkomponenter sluta fungera.

Om du uppdaterar kodintegritetsprincipen i filresursen och även vill uppdatera de skyddade värdarna kan du göra det genom att utföra följande steg:

  1. Placera värden i underhållsläge.
  2. I Alla värdarhögerklickar du på värden >Tillämpa den senaste kodintegritetsprincipen.
  3. Ta värden ur underhållsläge.

Nästa steg