Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det här avsnittet förklarar vad en skyddad nätverksstruktur är, dess krav och en sammanfattning av distributionsprocessen. Detaljerade distributionssteg finns i Distribuera tjänsten Värdskydd för skyddade värdar och avskärmade virtuella datorer.
Föredrar du video? Se Microsoft Virtual Academy-kursen Distribuera avskärmade virtuella datorer och en skyddad infrastrukturresurs med Windows Server 2016.
Vad är en skyddad nätverksarkitektur?
En skyddad infrastrukturresurs är en Windows Server 2016-Hyper-V infrastrukturresurs som kan skydda klientarbetsbelastningar mot inspektion, stöld och manipulering från skadlig kod som körs på värden samt från systemadministratörer. Dessa virtualiserade klientarbetsbelastningar – skyddade både i vila och under flygning – kallas avskärmade virtuella datorer.
Vilka är kraven för en skyddad infrastrukturresurs?
Kraven för en skyddad infrastrukturresurs är:
En plats där du kan köra avskärmade virtuella datorer som är fria från skadlig programvara.
Dessa kallas skyddade värdar. Skyddade värdar är Windows Server 2016 Datacenter Edition Hyper-V värdar som endast kan köra avskärmade virtuella datorer om de kan bevisa att de körs i ett känt och betrott tillstånd för en extern auktoritet kallad Host Guardian Service (HGS). HGS är en ny serverroll i Windows Server 2016 och distribueras vanligtvis som ett kluster med tre noder.
Ett sätt att kontrollera att en värd är i ett felfritt tillstånd.
HGS utför attestering, där den mäter hälsotillståndet för skyddade värdar.
En process för att på ett säkert sätt tilldela nycklar till hälsosamma värdar.
HGS utför nyckelskydd och nyckelfrisättning, där nycklarna släpps tillbaka till felfria värdar.
Hanteringsverktyg för att automatisera säker etablering och värdhantering av avskärmade virtuella datorer.
Valfritt kan du lägga till dessa hanteringsverktyg i en säkrad infrastruktur:
- System Center 2016 Virtual Machine Manager (VMM). VMM rekommenderas eftersom det ger ytterligare hanteringsverktyg utöver vad du får från att bara använda PowerShell-cmdletar som medföljer Hyper-V och de skyddade infrastrukturarbetsbelastningarna).
- System Center 2016 Service Provider Foundation (SPF). Det här är ett API-lager mellan Windows Azure Pack och VMM och en förutsättning för att använda Windows Azure Pack.
- Windows Azure Pack har ett bra grafiskt webbgränssnitt för att hantera en skyddad infrastrukturresurs och avskärmade virtuella datorer.
I praktiken måste ett beslut fattas i förväg: det sätt på vilket attestering används av den skyddade infrastrukturen. Det finns två sätt – två ömsesidigt uteslutande lägen – med vilka HGS kan mäta att en Hyper-V värd är felfri. När du initierar HGS måste du välja läge:
- Värdnyckelattestering, eller nyckelläge, är mindre säkert men enklare att använda
- TPM-baserad attestering, eller TPM-läge, är säkrare men kräver mer konfiguration och specifik maskinvara
Om det behövs kan du distribuera i nyckelläge med befintliga Hyper-V värdar som har uppgraderats till Windows Server 2019 Datacenter Edition och sedan konvertera till det säkrare TPM-läget när stöd för servermaskinvara (inklusive TPM 2.0) är tillgängligt.
Nu när du vet vad delarna är ska vi gå igenom ett exempel på distributionsmodellen.
Hur man går från ett aktuellt Hyper-V-tyg till ett skyddat tyg
Låt oss föreställa oss det här scenariot – du har ett befintligt Hyper-V-tyg, till exempel Contoso.com i följande bild, och du vill skapa ett skyddat tyg på Windows Server 2016.
Steg 1: Distribuera Hyper-V värdar som kör Windows Server 2016
Hyper-V-värdarna måste köra Windows Server 2016 Datacenter Edition eller senare. Om du uppgraderar värdar kan du uppgradera från Standard Edition till Datacenter Edition.
Steg 2: Distribuera tjänsten Värdskydd (HGS)
Installera sedan HGS-serverrollen och distribuera den som ett kluster med tre noder, till exempel relecloud.com i följande bild. Detta kräver tre PowerShell-cmdletar:
- Om du vill lägga till HGS-rollen använder du
Install-WindowsFeature - Om du vill installera HGS använder du
Install-HgsServer - Om du vill initiera HGS med det valda läget för attestering använder du
Initialize-HgsServer
Om dina befintliga Hyper-V servrar inte uppfyller kraven för TPM-läge (till exempel har de inte TPM 2.0) kan du initiera HGS med hjälp av adminbaserad attestering (AD-läge), vilket kräver ett Active Directory-förtroende med infrastrukturdomänen.
I vårt exempel ska vi säga att Contoso först distribueras i AD-läge för att omedelbart uppfylla efterlevnadskraven och planerar att konvertera till den säkrare TPM-baserade attesteringen efter att lämplig servermaskinvara kan köpas.
Steg 3: Extrahera identiteter, maskinvarubaslinjer och kodintegritetsprinciper
Processen för att extrahera identiteter från Hyper-V värdar beror på attesteringsläget som används.
För AD-läge är värdens ID dess domänanslutna datorkonto, vilket måste vara medlem i en utsedd säkerhetsgrupp i fabric-domänen. Medlemskap i den avsedda gruppen är det enda som avgör om värden är frisk eller inte.
I det här läget är infrastrukturadministratören ensam ansvarig för att säkerställa hälsotillståndet för de Hyper-V värdarna. Eftersom HGS inte spelar någon roll när det gäller att bestämma vad som ska köras eller inte får köras fungerar skadlig kod och felsökningsprogram som de är utformade.
Felsökningsprogram som försöker ansluta direkt till en process (till exempel WinDbg.exe) blockeras dock för skärmade virtuella datorer eftersom den virtuella datorns arbetsprocess (VMWP.exe) är ett skyddat processljus (PPL). Alternativa felsökningstekniker, till exempel de som används av LiveKd.exe, blockeras inte. Till skillnad från skärmade virtuella datorer körs inte arbetsprocessen för virtuella datorer med krypteringsstöd som PPL, så traditionella felsökningsprogram som WinDbg.exe fortsätter att fungera normalt.
Ett annat sätt är att de rigorösa valideringssteg som används för TPM-läge inte används för AD-läge på något sätt.
För TPM-läge krävs tre saker:
- En offentlig bekräftelsenyckel (eller EKpub) från TPM 2.0 på varje Hyper-V värd. Om du vill samla in EKpub använder du
Get-PlatformIdentifier. - En maskinvarubaslinje. Om var och en av dina Hyper-V värdar är identiska är en enda baslinje allt du behöver. Om de inte är det behöver du en för varje maskinvaruklass. Baslinjen är i form av en loggfil för trustworthy computing group eller TCGlog. TCGlog innehåller allt som värden gjorde, från att den inbyggda UEFI-programvaran startades, via kärnan, ända fram till där värden är helt startad. Om du vill samla in maskinvarubaslinjen installerar du Hyper-V-rollen och funktionen Host Guardian Hyper-V Support och använder
Get-HgsAttestationBaselinePolicy. - En kodintegritetsprincip. Om var och en av dina Hyper-V värdar är identiska är en enda CI-princip allt du behöver. Om de inte är det behöver du en för varje maskinvaruklass. Både Windows Server 2016 och Windows 10 har en ny form av tillämpning för CI-principer, som kallas Hypervisor-framtvingad kodintegritet (HVCI). HVCI ger strikt efterlevnad och säkerställer att en värd endast tillåts köra binärfiler som en betrodd administratör har tillåtit. Dessa instruktioner omsluts av en CI-princip som läggs till i HGS. HGS mäter varje värds CI-princip innan de tillåts köra avskärmade virtuella datorer. För att fånga en CI-princip använder du
New-CIPolicy. Policyn måste sedan konverteras till dess binära form med hjälp avConvertFrom-CIPolicy.
Det är allt – den skyddade infrastrukturen skapas när det gäller infrastrukturen för att köra den. Nu kan du skapa en skärmad malldisk för virtuella datorer och en avskärmningsdatafil så att avskärmade virtuella datorer kan etableras enkelt och säkert.
Steg 4: Skapa en mall för avskärmade virtuella datorer
En avskärmad mall för virtuella datorer skyddar malldiskar genom att skapa en signatur för disken vid en känd tillförlitlig tidpunkt.
Om malldisken senare infekteras av skadlig kod skiljer sig signaturen från den ursprungliga mallen som identifieras av den säkra avskärmade vm-etableringsprocessen.
Avskärmade malldiskar skapas genom att du kör guiden Skapa avskärmad malldisk eller Protect-TemplateDisk mot en vanlig malldisk.
Var och en ingår i funktionen Skärmade verktyg för virtuella datorer i verktygen för fjärrserveradministration för Windows 10. När du har laddat ned RSAT kör du det här kommandot för att installera funktionen verktyg för skärmade virtuella datorer :
Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
En betrodd administratör, till exempel infrastrukturadministratören eller den virtuella datorns ägare, behöver ett certifikat (tillhandahålls ofta av en värdtjänstleverantör) för att signera VHDX-malldisken.
Disksignaturen beräknas över OS-partitionen på den virtuella disken. Om något ändras på OS-partitionen ändras även signaturen. På så sätt kan användarna identifiera vilka diskar de litar på genom att ange lämplig signatur.
Granska malldiskkraven innan du kommer igång.
Steg 5: Skapa en avskärmningsdatafil
En avskärmningsdatafil, även kallad .pdk-fil, samlar in känslig information om den virtuella datorn, till exempel administratörslösenordet.
Avskärmningsdatafilen innehåller även säkerhetsprincipinställningen för den avskärmade virtuella datorn. Du måste välja en av två säkerhetsprinciper när du skapar en avskärmningsdatafil:
Shielded
Det säkraste alternativet, vilket eliminerar många administrativa attackvektorer.
Kryptering stöds
En mindre skyddsnivå som fortfarande ger kompatibilitetsfördelarna med att kunna kryptera en virtuell dator, men som gör det möjligt för Hyper-V administratörer att göra saker som att använda VM-konsolanslutning och PowerShell Direct.
Du kan lägga till valfria hanteringsdelar som VMM eller Windows Azure Pack. Om du vill skapa en virtuell dator utan att installera dessa delar kan du läsa Steg för steg – Skapa avskärmade virtuella datorer utan VMM.
Steg 6: Skapa en avskärmad virtuell dator
Att skapa avskärmade virtuella datorer skiljer sig mycket lite från vanliga virtuella datorer. I Windows Azure Pack är upplevelsen ännu enklare än att skapa en vanlig virtuell dator eftersom du bara behöver ange ett namn, skärmningsdatafil (som innehåller resten av specialiseringsinformationen) och det virtuella datornätverket.
