Erstellen eines Windows abgeschirmten VM-Vorlagendatenträgers

Gilt für: Windows Server 2022, Windows Server 2016, Windows Server 2019

Wie bei normalen VMs können Sie eine VM-Vorlage (z. B. eine VM-Vorlage in Virtual Machine Manager (VMM)) erstellen, damit Mandanten und Administratoren neue VMs auf dem Fabric mit einem Vorlagendatenträger bereitstellen können. Da abgeschirmte VMs sicherheitsrelevante Ressourcen sind, gibt es zusätzliche Schritte zum Erstellen einer VM-Vorlage, die die Abschirmung unterstützt. In diesem Thema werden die Schritte zum Erstellen eines abgeschirmten Vorlagendatenträgers und einer VM-Vorlage in VMM behandelt.

Informationen dazu, wie dieses Thema in den allgemeinen Prozess der Bereitstellung abgeschirmter VMs passt, finden Sie in den Konfigurationsschritten des Hostingdienstanbieters für geschützte Hosts und abgeschirmte VMs.

Vorbereiten eines Betriebssystems VHDX

Bereiten Sie zuerst einen Betriebssystemdatenträger vor, den Sie dann über den Assistenten zum Erstellen abgeschirmter Vorlagendatenträger ausführen. Dieser Datenträger wird als Betriebssystemdatenträger auf den VMs Ihres Mandanten verwendet. Sie können jedes vorhandene Tool verwenden, um diesen Datenträger zu erstellen, z. B. Microsoft Desktop Image Service Manager (DISM), oder manuell einen virtuellen Computer mit einem leeren VHDX einrichten und das Betriebssystem auf diesem Datenträger installieren. Bei der Einrichtung des Datenträgers muss er die folgenden Anforderungen erfüllen, die spezifisch für VMs der Generation 2 und/oder abgeschirmt sind:

Anforderung für VHDX `Reason`
Muss eine GUID-Partitionstabelle (GPT) sein Erforderlich für virtuelle Computer der Generation 2 zur Unterstützung von UEFI
Der Datenträgertyp muss "Basic " im Gegensatz zu "Dynamic" sein.
Hinweis: Dies bezieht sich auf den logischen Datenträgertyp, nicht auf das von Hyper-V unterstützte VHDX-Feature "dynamisch erweitern".
BitLocker unterstützt KEINE dynamischen Datenträger.
Der Datenträger verfügt über mindestens zwei Partitionen. Eine Partition muss das Laufwerk enthalten, auf dem Windows installiert ist. Dies ist das Laufwerk, das BitLocker verschlüsselt. Die andere Partition ist die aktive Partition, die den Bootloader enthält und bleibt unverschlüsselt, damit der Computer gestartet werden kann. Erforderlich für BitLocker
Dateisystem ist NTFS Erforderlich für BitLocker
Das betriebssystem, das auf dem VHDX installiert ist, ist eine der folgenden:
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012
- Windows 10, Windows 8.1, Windows 8
Erforderlich, um virtuelle Computer der Generation 2 und die Microsoft Secure Boot-Vorlage zu unterstützen
Betriebssystem muss generalisiert werden (ausführen sysprep.exe) Die Vorlagenbereitstellung umfasst die Spezialisierung von VMs für die Arbeitsauslastung eines bestimmten Mandanten.

Hinweis

Wenn Sie VMM verwenden, kopieren Sie den Vorlagendatenträger nicht in die VMM-Bibliothek in dieser Phase.

Ausführen von Windows Update auf dem Betriebssystem der Vorlage

Überprüfen Sie auf dem Vorlagendatenträger, ob das Betriebssystem alle neuesten Windows Updates installiert hat. Kürzlich veröffentlichte Updates verbessern die Zuverlässigkeit des End-to-End-Abschirmprozesses – ein Prozess, der möglicherweise nicht abgeschlossen werden kann, wenn das Vorlagenbetriebssystem nicht auf dem neuesten Stand ist.

Vorbereiten und Schützen des VHDX mit dem Vorlagendatenträger-Assistenten

Um einen Vorlagendatenträger mit abgeschirmten VMs zu verwenden, muss der Datenträger mithilfe des Assistenten zum Erstellen abgeschirmter Vorlagendatenträger mit BitLocker vorbereitet und verschlüsselt werden. Dieser Assistent generiert einen Hash für den Datenträger und fügt ihn zu einem Volumesignaturkatalog (VSC) hinzu. Der VSC wird mit einem von Ihnen angegebenen Zertifikat signiert und während des Bereitstellungsprozesses verwendet, um sicherzustellen, dass der datenträger, der für einen Mandanten bereitgestellt wird, nicht geändert oder durch einen Datenträger ersetzt wurde, dem der Mandant nicht vertraut. Schließlich wird BitLocker auf dem Betriebssystem des Datenträgers (sofern er noch nicht vorhanden ist) installiert, um den Datenträger während der VM-Bereitstellung auf die Verschlüsselung vorzubereiten.

Hinweis

Der Vorlagendatenträger-Assistent ändert den von Ihnen angegebenen Vorlagendatenträger. Möglicherweise möchten Sie eine Kopie des nicht geschützten VHDX erstellen, bevor Sie den Assistenten ausführen, um Aktualisierungen auf dem Datenträger zu einem späteren Zeitpunkt vorzunehmen. Sie können keinen Datenträger ändern, der mit dem Vorlagendatenträger-Assistenten geschützt wurde.

Führen Sie die folgenden Schritte auf einem Computer aus, auf dem Windows Server 2016 ausgeführt wird, Windows 10 (mit Remote Server Management Tools, RSAT installiert) oder höher (muss kein geschützter Host oder ein VMM-Server sein):

  1. Kopieren Sie die generalisierte VHDX, die in "Vorbereiten eines VHDX"-Betriebssystems auf den Server erstellt wurde, falls sie noch nicht vorhanden ist.

  2. Um den Server lokal zu verwalten, installieren Sie das Feature " Abgeschirmte VM-Tools " von Remoteserver-Verwaltungstools auf dem Server.

    Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
    

    Sie können den Server auch von einem Clientcomputer verwalten, auf dem Sie die Windows 10 Remoteserver-Verwaltungstools installiert haben.

  3. Rufen Sie ein Zertifikat ab, um den VSC für den VHDX zu signieren, der zum Vorlagendatenträger für neue abgeschirmte VMs wird. Details zu diesem Zertifikat werden Mandanten angezeigt, wenn sie ihre abschirmenden Datendateien erstellen und Datenträger autorisieren, denen sie vertrauen. Daher ist es wichtig, dieses Zertifikat von einer Zertifizierungsstelle gegenseitig von Ihnen und Ihren Mandanten zu erhalten. In Unternehmensszenarien, in denen Sie sowohl der Host als auch der Mandant sind, können Sie dieses Zertifikat von Ihrer PKI ausstellen.

    Wenn Sie eine Testumgebung einrichten und einfach ein selbstsigniertes Zertifikat verwenden möchten, um den Vorlagendatenträger vorzubereiten, führen Sie einen Befehl wie folgt aus:

    New-SelfSignedCertificate -DnsName publisher.fabrikam.com
    
  4. Starten Sie den Vorlagendatenträger-Assistenten aus dem Ordner "Verwaltungstools" im Startmenü oder geben Sie TemplateDiskWizard.exe in eine Eingabeaufforderung ein.

  5. Klicken Sie auf der Seite "Zertifikat" auf "Durchsuchen", um eine Liste der Zertifikate anzuzeigen. Wählen Sie das Zertifikat aus, mit dem die Datenträgervorlage vorbereitet werden soll. Klicken Sie auf OK und anschließend auf Weiter.

  6. Klicken Sie auf der Seite "Virtueller Datenträger " auf "Durchsuchen ", um das von Ihnen vorbereitete VHDX auszuwählen, und klicken Sie dann auf "Weiter".

  7. Geben Sie auf der Seite "Signaturkatalog" einen Anzeigedatenträgernamen und eine Anzeigeversion an. Diese Felder sind vorhanden, um Ihnen zu helfen, den Datenträger nach der Vorbereitung zu identifizieren.

    Beispielsweise können Sie für den DatenträgernamenWS2016und version1.0.0.0 eingeben.

  8. Überprüfen Sie Ihre Auswahl auf der Seite "Überprüfen Einstellungen" des Assistenten. Wenn Sie auf "Generieren" klicken, aktiviert der Assistent BitLocker auf dem Vorlagendatenträger, berechnet den Hash des Datenträgers und erstellt den Volumesignaturkatalog, der in den VHDX-Metadaten gespeichert ist.

    Warten Sie, bis der Prep-Prozess abgeschlossen ist, bevor Sie versuchen, den Vorlagendatenträger bereitzustellen oder zu verschieben. Dieser Vorgang kann je nach Größe des Datenträgers eine Weile dauern.

    Wichtig

    Vorlagendatenträger können nur mit dem sicher abgeschirmten VM-Bereitstellungsprozess verwendet werden. Wenn Sie versuchen, einen regulären virtuellen Computer (unshielded) mit einem Vorlagendatenträger zu starten, wird wahrscheinlich ein Stoppfehler (Blauer Bildschirm) angezeigt und wird nicht unterstützt.

  9. Auf der Seite "Zusammenfassung " werden Informationen über die Datenträgervorlage, das Zertifikat, das zum Signieren des VSC verwendet wird, und der Zertifikataussteller angezeigt. Klicken Sie auf Schließen, um den Assistenten zu beenden.

Wenn Sie VMM verwenden, führen Sie die Schritte in den verbleibenden Abschnitten in diesem Thema aus, um einen Vorlagendatenträger in eine abgeschirmte VM-Vorlage in VMM zu integrieren.

Kopieren des Vorlagendatenträgers in die VMM-Bibliothek

Wenn Sie VMM verwenden, müssen Sie sie nach dem Erstellen eines Vorlagendatenträgers in eine VMM-Bibliotheksfreigabe kopieren, damit Hosts den Datenträger beim Bereitstellen neuer VMs herunterladen und verwenden können. Verwenden Sie das folgende Verfahren, um den Vorlagendatenträger in die VMM-Bibliothek zu kopieren und dann die Bibliothek zu aktualisieren.

  1. Kopieren Sie die VHDX-Datei in den VMM-Bibliotheksfreigabeordner. Wenn Sie die Standardmäßige VMM-Konfiguration verwendet haben, kopieren Sie den Vorlagendatenträger in \<\vmmserver>\MSSCVMMLibrary\VHDs.

  2. Aktualisieren Sie den Bibliotheksserver. Öffnen Sie den Bibliotheksarbeitsbereich , erweitern Sie Bibliotheksserver, klicken Sie mit der rechten Maustaste auf den Bibliotheksserver, den Sie aktualisieren möchten, und klicken Sie auf "Aktualisieren".

  3. Stellen Sie als Nächstes VMM Informationen zum Betriebssystem bereit, das auf dem Vorlagendatenträger installiert ist:

    a. Suchen Sie ihren neu importierten Vorlagendatenträger auf Ihrem Bibliotheksserver im Bibliotheksarbeitsbereich .

    b. Klicken Sie mit der rechten Maustaste auf den Datenträger, und klicken Sie dann auf Eigenschaften.

    c. Erweitern Sie für das Betriebssystem die Liste, und wählen Sie das auf dem Datenträger installierte Betriebssystem aus. Wenn Sie ein Betriebssystem auswählen, wird für VMM angegeben, dass der VHDX nicht leer ist.

    d. Klicken Sie auf OK.

Das kleine Schildsymbol neben dem Namen des Datenträgers gibt den Datenträger als vorbereiteten Vorlagendatenträger für abgeschirmte VMs an. Sie können auch mit der rechten Maustaste auf die Spaltenüberschriften klicken und die abgeschirmte Spalte umschalten, um eine Textdarstellung anzuzeigen, die angibt, ob ein Datenträger für reguläre oder abgeschirmte VM-Bereitstellungen vorgesehen ist.

Shielded vm template disk

Erstellen der abgeschirmten VM-Vorlage in VMM mithilfe des vorbereiteten Vorlagendatenträgers

Mit einem vorbereiteten Vorlagendatenträger in Ihrer VMM-Bibliothek können Sie eine VM-Vorlage für abgeschirmte VMs erstellen. VM-Vorlagen für abgeschirmte VMs unterscheiden sich geringfügig von herkömmlichen VM-Vorlagen, in denen bestimmte Einstellungen behoben sind (Generation 2 VM, UEFI und sicherer Start aktiviert usw.) und andere sind nicht verfügbar (Mandantenanpassung ist auf einige wenige, ausgewählte Eigenschaften des virtuellen Computers beschränkt). Führen Sie die folgenden Schritte aus, um die VM-Vorlage zu erstellen:

  1. Klicken Sie im Arbeitsbereich "Bibliothek " oben auf " VM-Vorlage erstellen " auf der Registerkarte "Start".

  2. Klicken Sie auf der Seite Quelle auswählen auf Vorhandene VM-Vorlage oder in der Bibliothek gespeicherte virtuelle Festplatte verwenden und dann auf Durchsuchen.

  3. Wählen Sie im angezeigten Fenster einen vorbereiteten Vorlagendatenträger aus der VMM-Bibliothek aus. Um leichter zu identifizieren, welche Datenträger vorbereitet sind, klicken Sie mit der rechten Maustaste auf eine Spaltenüberschrift, und aktivieren Sie die abgeschirmte Spalte. Klicken Sie auf 'OK ', und klicken Sie dann auf 'Weiter'.

  4. Geben Sie einen Namen einer VM-Vorlage und optional eine Beschreibung an, und klicken Sie dann auf "Weiter".

  5. Geben Sie auf der Seite " Hardware konfigurieren " die Funktionen von VMs an, die aus dieser Vorlage erstellt wurden. Stellen Sie sicher, dass mindestens eine NIC auf der VM-Vorlage verfügbar und konfiguriert ist. Die einzige Möglichkeit für einen Mandanten, eine Verbindung mit einer abgeschirmten VM herzustellen, besteht aus Remotedesktopverbindung, Windows Remoteverwaltung oder anderen vorkonfigurierten Remoteverwaltungstools, die über Netzwerkprotokolle funktionieren.

    Wenn Sie sich entscheiden, statische IP-Pools in VMM zu nutzen, anstatt einen DHCP-Server im Mandantennetzwerk auszuführen, müssen Sie Ihre Mandanten an diese Konfiguration benachrichtigen. Wenn ein Mandant seine Abschirmdatendatei bereitstellt, die die nichtattend datei für die VMM enthält, müssen sie spezielle Platzhalterwerte für die statischen IP-Poolinformationen bereitstellen. Weitere Informationen zu VMM-Platzhaltern in nichtattendierten Mandantendateien finden Sie unter Erstellen einer Antwortdatei.

  6. Auf der Seite "Betriebssystem konfigurieren " zeigt VMM nur einige Optionen für abgeschirmte VMs an, einschließlich product Key, Zeitzone und Computername. Einige sichere Informationen, z. B. das Administratorkennwort und der Domänenname, werden vom Mandanten über eine abschirmende Datendatei () angegeben. PDK-Datei).

    Hinweis

    Wenn Sie einen Product Key auf dieser Seite angeben möchten, stellen Sie sicher, dass es für das Betriebssystem auf dem Vorlagendatenträger gültig ist. Wenn ein falscher Product Key verwendet wird, schlägt die VM-Erstellung fehl.

Nachdem die Vorlage erstellt wurde, können Mandanten es verwenden, um neue virtuelle Computer zu erstellen. Sie müssen überprüfen, ob die VM-Vorlage eine der Ressourcen ist, die für die Mandantenadministratorbenutzerrolle verfügbar sind (in VMM befinden sich Benutzerrollen im Einstellungen Arbeitsbereich).

Vorbereiten und Schützen des VHDX mithilfe von PowerShell

Alternativ zum Ausführen des Vorlagendatenträger-Assistenten können Sie den Vorlagendatenträger und das Zertifikat auf einen Computer kopieren, auf dem RSAT ausgeführt wird, und protect-TemplateDisk ausführen, um den Signaturvorgang zu initiieren. Im folgenden Beispiel werden die Namen- und Versionsinformationen verwendet, die durch die Parameter "TemplateName " und "Version " angegeben werden. Der VHDX, den Sie für den -Path Parameter bereitstellen, wird mit dem aktualisierten Vorlagendatenträger überschrieben. Stellen Sie daher sicher, dass Sie vor dem Ausführen des Befehls eine Kopie erstellen.

# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT

Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0

Ihr Vorlagendatenträger ist jetzt bereit, um abgeschirmte VMs bereitzustellen. Wenn Sie System Center Virtual Machine Manager zum Bereitstellen Ihrer VM verwenden, können Sie die VHDX jetzt in Ihre VMM-Bibliothek kopieren.

Sie können auch den Volumensignaturkatalog aus dem VHDX extrahieren. Diese Datei wird verwendet, um Informationen über das Signaturzertifikat, den Datenträgernamen und die Version für VM-Besitzer bereitzustellen, die Ihre Vorlage verwenden möchten. Sie müssen diese Datei in den Schutzdatendatei-Assistenten importieren, um Sie, den Vorlagenautor im Besitz des Signaturzertifikats, zu autorisieren, um diese und zukünftige Vorlagendatenträger für sie zu erstellen.

Um den Volumensignaturkatalog zu extrahieren, führen Sie den folgenden Befehl in PowerShell aus:

Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'

Nächster Schritt

Zusätzliche Referenzen