Abgeschirmte VMs für Mandanten: Erstellen von Schutz Daten zum Definieren einer abgeschirmten VMShielded VMs for tenants - Creating shielding data to define a shielded VM

Gilt für: Windows Server 2019, Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server 2019, Windows Server (Semi-Annual Channel), Windows Server 2016

Eine geschützte Datendatei (auch als Bereitstellungsdatendatei oder PDK-Datei bezeichnet) ist eine verschlüsselte Datei, die ein Mandant oder VM-Besitzer erstellt, um wichtige VM-Konfigurationsinformationen, z.B. Administratorkennwort, RDP und andere identitätsbezogene Zertifikate, Domänenbeitritts-Anmeldeinformationen usw. zu schützen.A shielding data file (also called a provisioning data file or PDK file) is an encrypted file that a tenant or VM owner creates to protect important VM configuration information, such as the administrator password, RDP and other identity-related certificates, domain-join credentials, and so on. Dieses Thema enthält Informationen zum Erstellen einer Schutz Datendatei.This topic provides information about how to create a shielding data file. Bevor Sie die Datei erstellen können, müssen Sie entweder einen Vorlagen Datenträger von Ihrem hostingdienstanbieter abrufen oder einen Vorlagen Datenträger erstellen, wie unter abgeschirmte VMs für Mandanten: Erstellen eines VorlagenDatenträgers (optional) beschrieben.Before you can create the file, you must either obtain a template disk from your hosting service provider, or create a template disk as described in Shielded VMs for tenants - Creating a template disk (optional).

Eine Liste und ein Diagramm mit dem Inhalt einer Schutz Datendatei finden Sie unter Was sind geschützte Daten? und warum ist es erforderlich?.For a list and a diagram of the contents of a shielding data file, see What is shielding data and why is it necessary?.

Wichtig

Die Schritte in diesem Abschnitt sollten auf einem separaten, vertrauenswürdigen Computer außerhalb des geschützten Fabrics ausgeführt werden.The steps in this section should be completed on a separate, trusted machine outside of the guarded fabric. Normalerweise erstellt der VM-Besitzer (Mandant) die geschützten Daten für Ihre VMS, nicht die Fabric-Administratoren.Typically, the VM owner (tenant) would create the shielding data for their VMs, not the fabric administrators.

Führen Sie die folgenden Schritte aus, um eine Schutz Datendatei zu erstellen:To prepare to create a shielding data file, take the following steps:

Anschließend können Sie die geschützte Datendatei erstellen:Then you can create the shielding data file:

Optionale Abrufen eines Zertifikats für Remotedesktopverbindung(Optional) Obtain a certificate for Remote Desktop Connection

Da Mandanten nur über Remotedesktopverbindung oder andere Remote Verwaltungs Tools eine Verbindung mit ihren abgeschirmten VMS herstellen können, ist es wichtig sicherzustellen, dass Mandanten sicherstellen können, dass Sie eine Verbindung mit dem richtigen Endpunkt herstellen (d. h. es ist kein "man in der Mitte"). die Verbindung wird abgefangen).Since tenants are only able to connect to their shielded VMs using Remote Desktop Connection or other remote management tools, it is important to ensure that tenants can verify they are connecting to the right endpoint (that is, there is not a "man in the middle" intercepting the connection).

Eine Möglichkeit, um zu überprüfen, ob Sie eine Verbindung mit dem vorgesehenen Server herstellen, ist die Installation und Konfiguration eines Zertifikats, das Remotedesktopdienste beim Initiieren einer Verbindung vorhanden ist.One way to verify you are connecting to the intended server is to install and configure a certificate for Remote Desktop Services to present when you initiate a connection. Der Client Computer, der eine Verbindung mit dem Server herstellt, prüft, ob das Zertifikat vertrauenswürdig ist, und zeigt eine Warnung an.The client machine connecting to the server will check whether it trusts the certificate and show a warning if it does not. Im Allgemeinen werden RDP-Zertifikate von der PKI des Mandanten ausgegeben, um sicherzustellen, dass der Verbindungs Client dem Zertifikat vertraut.Generally, to ensure the connecting client trusts the certificate, RDP certificates are issued from the tenant's PKI. Weitere Informationen zur Verwendung von Zertifikaten in Remotedesktopdienste finden Sie im TechNet.More information about Using certificates in Remote Desktop Services can be found on TechNet.

Beachten Sie Folgendes, um Sie bei der Entscheidung zu unterstützen, ob Sie ein benutzerdefiniertes RDP-Zertifikat erhalten müssen:To help you decide if you need to obtain a custom RDP certificate, consider the following:

  • Wenn Sie nur abgeschirmte VMs in einer Lab-Umgebung testen, benötigen Sie kein benutzerdefiniertes RDP-Zertifikat.If you're just testing shielded VMs in a lab environment, you do not need a custom RDP certificate.
  • Wenn Ihr virtueller Computer für den Beitritt zu einer Active Directory Domäne konfiguriert ist, wird in der Regel von der Zertifizierungsstelle Ihres Unternehmens automatisch ein Computer Zertifikat ausgestellt und zum Identifizieren des Computers bei RDP-Verbindungen verwendet.If your VM is configured to join an Active Directory domain, a computer certificate will typically be issued by your organization's certificate authority automatically and used to identify the computer during RDP connections. Sie benötigen kein benutzerdefiniertes RDP-Zertifikat.You do not need a custom RDP certificate.
  • Wenn Ihr virtueller Computer keiner Domäne beigetreten ist, Sie jedoch sicherstellen möchten, dass Sie eine Verbindung mit dem richtigen Computer herstellen, wenn Sie Remotedesktop verwenden, sollten Sie die Verwendung von benutzerdefinierten RDP-Zertifikaten in Erwägung gezogen .If your VM is not domain joined but you want a way to verify you're connecting to the correct machine when you use Remote Desktop, you should consider using custom RDP certificates.

Tipp

Wenn Sie ein RDP-Zertifikat auswählen, das in die geschützte Datendatei aufgenommen werden soll, achten Sie darauf, ein Platzhalter Zertifikat zu verwenden.When selecting an RDP certificate to include in your shielding data file, be sure to use a wildcard certificate. Eine geschützte Datendatei kann verwendet werden, um eine unbegrenzte Anzahl von VMS zu erstellen.One shielding data file may be used to create an unlimited number of VMs. Da jeder virtuelle Computer das gleiche Zertifikat verwendet, wird durch ein Platzhalter Zertifikat sichergestellt, dass das Zertifikat unabhängig vom Hostnamen des virtuellen Computers gültig ist.Since each VM will share the same certificate, a wildcard certificate ensures the certificate will be valid regardless of the VM's hostname.

Erstellen einer AntwortdateiCreate an answer file

Da der signierte Vorlagen Datenträger in VMM generalisiert ist, müssen Mandanten eine Antwortdatei bereitstellen, um Ihre abgeschirmten VMs während des Bereitstellungs Prozesses zu spezialisieren.Since the signed template disk in VMM is generalized, tenants are required to provide an answer file to specialize their shielded VMs during the provisioning process. Die Antwortdatei (häufig als Datei für die unbeaufsichtigte Installation bezeichnet) kann den virtuellen Computer für die beabsichtigte Rolle konfigurieren, d. h., er kann Windows-Features installieren, das im vorherigen Schritt erstellte RDP-Zertifikat registrieren und andere benutzerdefinierte Aktionen ausführen.The answer file (often called the unattend file) can configure the VM for its intended role - that is, it can install Windows features, register the RDP certificate created in the previous step, and perform other custom actions. Außerdem werden die erforderlichen Informationen für das Windows-Setup bereitgestellt, einschließlich des Standard Kennworts für den Administrator und Product Key.It will also supply required information for Windows setup, including the default administrator's password and product key.

Weitere Informationen zum Abrufen und Verwenden der New-shieldingdataanswer File- Funktion, um eine Antwortdatei (Unattend. XML-Datei) zum Erstellen von abgeschirmten VMS zu generieren, finden Sie unter Generieren einer Antwortdatei mithilfe der New-shieldingdatabeantworungsdateifunktion.For information about obtaining and using the New-ShieldingDataAnswerFile function to generate an answer file (Unattend.xml file) for creating shielded VMs, see Generate an answer file by using the New-ShieldingDataAnswerFile function. Mithilfe der-Funktion können Sie eine Antwortdatei, die die folgenden Optionen widerspiegelt, einfacher generieren:Using the function, you can more easily generate an answer file that reflects choices such as the following:

  • Soll der virtuelle Computer am Ende des Initialisierungs Prozesses in eine Domäne aufgenommen werden?Is the VM intended to be domain joined at the end of the initialization process?
  • Verwenden Sie eine Volumenlizenz oder eine bestimmte Product Key pro VM?Will you be using a volume license or specific product key per VM?
  • Verwenden Sie DHCP oder eine statische IP-Adresse?Are you using DHCP or static IP?
  • Verwenden Sie ein benutzerdefiniertes Remotedesktopprotokoll Zertifikat (RDP), das verwendet wird, um nachzuweisen, dass der virtuelle Computer zu Ihrer Organisation gehört?Will you use a custom Remote Desktop Protocol (RDP) certificate that will be used to prove that the VM belongs to your organization?
  • Möchten Sie ein Skript am Ende der Initialisierung ausführen?Do you want to run a script at the end of the initialization?

Antwort Dateien, die in geschützten Datendateien verwendet werden, werden auf allen virtuellen Computern verwendet, die mit dieser Schutz Datendatei erstellt werden.Answer files used in shielding data files will be used on every VM created using that shielding data file. Daher sollten Sie sicherstellen, dass Sie keine VM-spezifischen Informationen in der Antwortdatei hart codieren.Therefore, you should make sure that you do not hard code any VM-specific information into the answer file. VMM unterstützt einige Ersatz Zeichenfolgen (siehe Tabelle unten) in der Datei für die unbeaufsichtigte Installation, um Spezialisierungs Werte zu verarbeiten, die sich möglicherweise von VM zu VM ändernVMM supports some substitution strings (see the table below) in the unattend file to handle specialization values that may change from VM to VM. Sie müssen diese nicht verwenden. Wenn Sie jedoch vorhanden sind, werden diese von VMM genutzt.You are not required to use these; however, if they are present VMM will take advantage of them.

Beachten Sie beim Erstellen einer Datei "Unattend. xml" für abgeschirmte VMS die folgenden Einschränkungen:When creating an unattend.xml file for shielded VMs, keep in mind the following restrictions:

  • Wenn Sie VMM zum Verwalten Ihres Rechenzentrums verwenden, muss die Datei für die unbeaufsichtigte Installation nach der Konfiguration des virtuellen Computers ausgeschaltet werden.If you're using VMM to manage your datacenter, the unattend file must result in the VM being turned off after it has been configured. Auf diese Weise kann VMM wissen, wann dem Mandanten berichtet werden soll, dass die VM bereitgestellt wurde und einsatzbereit ist.This is to allow VMM to know when it should report to the tenant that the VM finished provisioning and is ready for use. Der virtuelle Computer wird von VMM automatisch wieder eingeschaltet, sobald erkannt wird, dass er während der Bereitstellung deaktiviert wurde.VMM will automatically power the VM back on once it detects it has been turned off during provisioning.

  • Stellen Sie sicher, dass Sie RDP und die entsprechende Firewallregel aktivieren, damit Sie nach der Konfiguration auf den virtuellen Computer zugreifen können.Be sure to enable RDP and the corresponding firewall rule so you can access the VM after it has been configured. Sie können die VMM-Konsole nicht verwenden, um auf abgeschirmte VMS zuzugreifen, sodass Sie RDP benötigen, um eine Verbindung mit Ihrem virtuellen Computer herzustellen.You cannot use the VMM console to access shielded VMs, so you will need RDP to connect to your VM. Wenn Sie Ihre Systeme mit Windows PowerShell-Remoting verwalten möchten, müssen Sie auch sicherstellen, dass WinRM ebenfalls aktiviert ist.If you prefer to manage your systems with Windows PowerShell remoting, ensure WinRM is enabled, too.

  • Die einzigen Ersetzungs Zeichenfolgen, die von Dateien für die unbeaufsichtigte Installation geschützter VMS unterstützt werden,The only substitution strings supported in shielded VM unattend files are the following:

    Ersetzbares ElementReplaceable Element Ersatz ZeichenfolgeSubstitution String
    ComputerNameComputerName @ComputerName@@ComputerName@
    ZeitzoneTimeZone @TimeZone@@TimeZone@
    ProductKeyProductKey @ProductKey@@ProductKey@
    IPAddr4-1IPAddr4-1 @IP4Addr-1@@IP4Addr-1@
    IPAddr6-1IPAddr6-1 @IP6Addr-1@@IP6Addr-1@
    MACADDR-1MACAddr-1 @MACAddr-1@@MACAddr-1@
    Präfix-1-1Prefix-1-1 @Prefix-1-1@@Prefix-1-1@
    Nexthop-1-1NextHop-1-1 @NextHop-1-1@@NextHop-1-1@
    Präfix-1-2Prefix-1-2 @Prefix-1-2@@Prefix-1-2@
    Nexthop-1-2NextHop-1-2 @NextHop-1-2@@NextHop-1-2@

    Wenn Sie über mehr als eine NIC verfügen, können Sie mehrere Ersatz Zeichenfolgen für die IP-Konfiguration hinzufügen, indem Sie die erste Ziffer erhöhen.If you have more than one NIC, you can add multiple substitution strings for the IP configuration by incrementing the first digit. Wenn Sie z. b. die IPv4-Adresse, das Subnetz und das Gateway für zwei NICs festlegen möchten, verwenden Sie die folgenden Ersetzungs Zeichenfolgen:For example, to set the IPv4 address, subnet, and gateway for 2 NICs, you would use the following substitution strings:

    Ersatz ZeichenfolgeSubstitution String Beispiel ErsetzungExample substitution
    @IP4Addr-1@@IP4Addr-1@ 192.168.1.10192.168.1.10
    @MACAddr-1@@MACAddr-1@ EthernetEthernet
    @Prefix-1-1@@Prefix-1-1@ 192.168.1.0/24192.168.1.0/24
    @NextHop-1-1@@NextHop-1-1@ 192.168.1.254192.168.1.254
    @IP4Addr-2@@IP4Addr-2@ 10.0.20.3010.0.20.30
    @MACAddr-2@@MACAddr-2@ Ethernet 2Ethernet 2
    @Prefix-2-1@@Prefix-2-1@ 10.0.20.0/2410.0.20.0/24
    @NextHop-2-1@@NextHop-2-1@ 10.0.20.110.0.20.1

Bei der Verwendung von Ersetzungs Zeichenfolgen müssen Sie sicherstellen, dass die Zeichen folgen während des VM-Bereitstellungs Prozesses aufgefüllt werden.When using substitution strings, it is important to ensure that the strings will be populated during the VM provisioning process. Wenn eine Zeichenfolge wie @ProductKey@ zum Zeitpunkt der Bereitstellung nicht angegeben wird, während der <ProductKey-> Knoten in der Datei für die unbeaufsichtigte Installation leer bleibt, schlägt der Spezialisierungsprozess fehl, und Sie können keine Verbindung mit dem virtuellen Computer herstellen.If a string such as @ProductKey@ is not supplied at deployment time, leaving the <ProductKey> node in the unattend file blank, the specialization process will fail and you will be unable to connect to your VM.

Beachten Sie außerdem, dass die netzwerkbezogenen Ersetzungs Zeichenfolgen für das Ende der Tabelle nur verwendet werden, wenn Sie statische VMM-IP-Adress Pools nutzen.Also, note that the networking-related substitution strings towards the end of the table are only used if you are leveraging VMM Static IP Address Pools. Ihr hostingdienstanbieter sollte Ihnen mitteilen können, ob diese Ersetzungs Zeichenfolgen erforderlich sind.Your hosting service provider should be able to tell you if these substitution strings are required. Weitere Informationen zu statischen IP-Adressen in VMM-Vorlagen finden Sie in der folgenden Dokumentation in der VMM-Dokumentation:For more information about static IP addresses in VMM templates, see the following in the VMM documentation:

Schließlich ist es wichtig zu beachten, dass bei der Bereitstellung der abgeschirmten VM nur das Betriebssystem Laufwerk verschlüsselt wird.Finally, it is important to note that the shielded VM deployment process will only encrypt the OS drive. Wenn Sie einen abgeschirmten virtuellen Computer mit einem oder mehreren Daten Laufwerken bereitstellen, wird dringend empfohlen, dass Sie einen Unattend-Befehl oder Gruppenrichtlinie Einstellung in der Mandanten Domäne hinzufügen, um die Daten Laufwerke automatisch zu verschlüsseln.If you deploy a shielded VM with one or more data drives, it is strongly recommended that you add an unattend command or Group Policy setting in the tenant domain to automatically encrypt the data drives.

Get the Volume Signature Catalog fileGet the volume signature catalog file

Geschützte Datendateien enthalten auch Informationen zu den Vorlagen Datenträgern, denen ein Mandant vertraut.Shielding data files also contain information about the template disks a tenant trusts. Mandanten erhalten die Datenträger Signaturen von vertrauenswürdigen Vorlagen Datenträgern in Form einer volumesignatur-Katalog Datei (VSC).Tenants acquire the disk signatures from trusted template disks in the form of a volume signature catalog (VSC) file. Diese Signaturen werden dann überprüft, wenn ein neuer virtueller Computer bereitgestellt wird.These signatures are then validated when a new VM is deployed. Wenn keine der Signaturen in der Schutz Datendatei mit dem Vorlagen Datenträger, der mit dem virtuellen Computer bereitgestellt werden soll, identisch ist (d. h., er wurde geändert oder mit einem anderen, potenziell bösartigen Datenträger ausgetauscht), schlägt der Bereitstellungs Vorgang fehl.If none of the signatures in the shielding data file match the template disk trying to be deployed with the VM (i.e. it was modified or swapped with a different, potentially malicious disk), the provisioning process will fail.

Wichtig

Während der VSC sicherstellt, dass ein Datenträger nicht manipuliert wurde, ist es weiterhin wichtig, dass der Mandant den Datenträger zunächst als vertrauenswürdig einstuft.While the VSC ensures that a disk has not been tampered with, it is still important for the tenant to trust the disk in the first place. Wenn Sie der Mandant sind und der Vorlagen Datenträger von Ihrem Host bereitgestellt wird, stellen Sie einen virtuellen Testcomputer mit diesem Vorlagen Datenträger bereit, und führen Sie eigene Tools (Antivirus, Sicherheitsrisiko Scanner usw.) aus, um zu überprüfen, ob der Datenträger tatsächlich in einem vertrauenswürdigen Zustand ist.If you are the tenant and the template disk is provided by your hoster, deploy a test VM using that template disk and run your own tools (antivirus, vulnerability scanners, and so on) to validate the disk is, in fact, in a state that you trust.

Es gibt zwei Möglichkeiten, den VSC eines Vorlagen Datenträgers abzurufen:There are two ways to acquire the VSC of a template disk:

  1. Der Host (oder Mandant), wenn der Mandant auf VMM zugreifen kann, verwendet die VMM-PowerShell-Cmdlets zum Speichern des VSC und übergibt ihn an den Mandanten.The hoster (or tenant, if the tenant has access to VMM) uses the VMM PowerShell cmdlets to save the VSC and gives it to the tenant. Dies kann auf einem beliebigen Computer ausgeführt werden, auf dem die VMM-Konsole installiert und konfiguriert ist, um die VMM-Umgebung des hostingfabrics zu verwalten.This can be performed on any machine with the VMM console installed and configured to manage the hosting fabric's VMM environment. Die PowerShell-Cmdlets zum Speichern des VSC lauten wie folgt:The PowerShell cmdlets to save the VSC are:

    $disk = Get-SCVirtualHardDisk -Name "templateDisk.vhdx"
    
    $vsc = Get-SCVolumeSignatureCatalog -VirtualHardDisk $disk
    
    $vsc.WriteToFile(".\templateDisk.vsc")
    
  2. Der Mandant hat Zugriff auf die Vorlagen Datenträger-Datei.The tenant has access to the template disk file. Dies kann der Fall sein, wenn der Mandant einen Vorlagen Datenträger erstellt, der auf einen hostingdienstanbieter hochgeladen werden soll, oder wenn der Mandant den Vorlagen Datenträger des gehostetenThis may be the case if the tenant creates a template disk to uploaded to a hosting service provider or if the tenant can download the hoster's template disk. In diesem Fall würde der Mandant das folgende Cmdlet ausführen (installiert mit dem Feature "abgeschirmte VM-Tools", das Teil Remoteserver-Verwaltungstools ist), ohne dass VMM in der Abbildung dargestellt wird:In this case, without VMM in the picture, the tenant would run the following cmdlet (installed with the Shielded VM Tools feature, part of Remote Server Administration Tools):

    Save-VolumeSignatureCatalog -TemplateDiskPath templateDisk.vhdx -VolumeSignatureCatalogPath templateDisk.vsc
    

Vertrauenswürdige Fabrics auswählenSelect trusted fabrics

Die letzte Komponente in der Schutz Datendatei bezieht sich auf den Besitzer und die Wächter eines virtuellen Computers.The last component in the shielding data file relates to the owner and guardians of a VM. Wächter werden verwendet, um den Besitzer einer abgeschirmten VM und die geschützten Fabrics anzugeben, auf denen Sie zur Laufzeit autorisiert ist.Guardians are used to designate both the owner of a shielded VM and the guarded fabrics on which it is authorized to run.

Zum Autorisieren eines hostinganbieters zum Ausführen einer abgeschirmten VM müssen Sie die Überwachungs Metadaten vom Host-Überwachungsdienst des hostingdienstanbieters abrufen.To authorize a hosting fabric to run a shielded VM, you must obtain the guardian metadata from the hosting service provider's Host Guardian Service. Häufig stellt der hostingdienstanbieter diese Metadaten über die Verwaltungs Tools bereit.Often, the hosting service provider will provide you with this metadata through their management tools. In einem Unternehmens Szenario haben Sie möglicherweise direkten Zugriff, um die Metadaten selbst abzurufen.In an enterprise scenario, you may have direct access to obtain the metadata yourself.

Sie oder Ihr hostingdienstanbieter können die Überwachungs Metadaten von HGS abrufen, indem Sie eine der folgenden Aktionen ausführen:You or your hosting service provider can obtain the guardian metadata from HGS by performing one of the following actions:

  • Rufen Sie die Überwachungs Metadaten direkt von HGS ab, indem Sie den folgenden Windows PowerShell-Befehl ausführen, oder navigieren Sie zur Website, und speichern Sie die angezeigte XML-Datei:Obtain the guardian metadata directly from HGS by running the following Windows PowerShell command, or browsing to the website and saving the XML file that is displayed:

    Invoke-WebRequest 'http://hgs.bastion.local/KeyProtection/service/metadata/2014-07/metadata.xml' -OutFile .\RelecloudGuardian.xml
    
  • Abrufen der Überwachungs Metadaten von VMM mithilfe der VMM-PowerShell-Cmdlets:Obtain the guardian metadata from VMM using the VMM PowerShell cmdlets:

    $relecloudmetadata = Get-SCGuardianConfiguration
    $relecloudmetadata.InnerXml | Out-File .\RelecloudGuardian.xml -Encoding UTF8
    

Rufen Sie die Überwachungs Metadatendateien für jedes geschützte Fabric ab, für das Sie Ihre abgeschirmten VMS autorisieren möchten, bevor Sie fortfahren.Obtain the guardian metadata files for each guarded fabric you wish to authorize your shielded VMs to run on before continuing.

Erstellen einer Schutz Datendatei und Hinzufügen von Betreuern mithilfe des Assistenten zum Schützen von DatendateienCreate a shielding data file and add guardians using the Shielding Data File wizard

Führen Sie den Assistenten für die Schutz Datendatei aus, um eine Datei mit geschützten Daten (PDK) zu erstellen.Run the Shielding Data File wizard to create a shielding data (PDK) file. Hier fügen Sie das RDP-Zertifikat, die Datei für die unbeaufsichtigte Installation, volumesignaturkataloge, den Besitzer Wächter und die heruntergeladenen Überwachungs Metadaten hinzu, die im vorherigen Schritt abgerufen wurden.Here, you'll add the RDP certificate, unattend file, volume signature catalogs, owner guardian and the downloaded guardian metadata obtained in the preceding step.

  1. Installieren Sie mithilfe Server-Manager oder des folgenden Windows PowerShell-Befehls Remoteserver-Verwaltungstools > Feature-Verwaltungs Tools > abgeschirmte VM-Tools auf Ihrem Computer:Install Remote Server Administration Tools > Feature Administration Tools > Shielded VM Tools on your machine using Server Manager or the following Windows PowerShell command:

    Install-WindowsFeature RSAT-Shielded-VM-Tools
    
  2. Öffnen Sie den Assistenten zum Schützen von Datendateien über den Abschnitt "Administrator Tools" im Startmenü, oder führen Sie die folgende ausführbare Datei " C:\Windows\System32\shieldingdatafilewizard. exe" aus.Open the Shielding Data File Wizard from the Administrator Tools section on your Start menu or by running the following executable C:\Windows\System32\ShieldingDataFileWizard.exe.

  3. Verwenden Sie auf der ersten Seite das zweite Feld für die Auswahl von Dateien, um einen Speicherort und Dateinamen für die geschützte Datendatei auszuwählen.On the first page, use the second file selection box to choose a location and file name for your shielding data file. Normalerweise würden Sie eine geschützte Datendatei nach der Entität benennen, die virtuelle Computer besitzt, die mit den geschützten Daten (z. b. hr, IT, Finance) erstellt wurden, und die von ihr ausgestellte workloadrolle (z. b. Dateiserver, Webserver oder etwas anderes, das von der Datei für die unbeaufsichtigte Installation konfiguriert wurde).Normally, you would name a shielding data file after the entity who owns any VMs created with that shielding data (for example, HR, IT, Finance) and the workload role it is running (for example, file server, web server, or anything else configured by the unattend file). Lassen Sie das Optionsfeld auf geschützte Daten für geschützte Vorlagenfest.Leave the radio button set to Shielding data for Shielded templates.

    Hinweis

    Im Assistenten für Schutz Datendateien werden Ihnen die folgenden beiden Optionen angezeigt:In the Shielding Data File Wizard you will notice the two options below:

    • Geschützte Daten für geschützte VorlagenShielding data for Shielded templates
    • Schutz von Daten für vorhandene VMS und nicht abgeschirmte VorlagenShielding data for existing VMs and non-Shielded templates
      Die erste Option wird verwendet, wenn neue abgeschirmte VMS aus abgeschirmten Vorlagen erstellt werden.The first option is used when creating new shielded VMs from shielded templates. Die zweite Option ermöglicht es Ihnen, geschützte Daten zu erstellen, die nur beim Umrechnen vorhandener virtueller Computer oder beim Erstellen von abgeschirmten VMS aus nicht abgeschirmten Vorlagen verwendet werden können.The second option allows you to create shielding data that can only be used when converting existing VMs or creating shielded VMs from non-shielded templates.

    Assistent zum Schützen von Datendateien, Dateiauswahl

    Außerdem müssen Sie auswählen, ob VMS, die mit dieser Schutz Datendatei erstellt wurden, im Modus "Verschlüsselung unterstützt" wirklich geschützt oder konfiguriert werden.Additionally, you must choose whether VMs created using this shielding data file will be truly shielded or configured in "encryption supported" mode. Weitere Informationen zu diesen beiden Optionen finden Sie unter Was sind die Typen von virtuellen Maschinen, die von einem geschützten Fabric ausgeführt werden können?.For more information about these two options, see What are the types of virtual machines that a guarded fabric can run?.

    Wichtig

    Achten Sie sorgfältig auf den nächsten Schritt, da der Besitzer der abgeschirmten VMS und die Fabrics definiert werden, auf denen Ihre abgeschirmten VMS autorisiert sind.Pay careful attention to the next step as it defines the owner of your shielded VMs and which fabrics your shielded VMs will be authorized to run on.
    Der Besitz des Besitzer-Schützers ist erforderlich, um eine vorhandene abgeschirmte VM später von abgeschirmt in Verschlüsselung unterstützt oder umgekehrt zu ändern.Possession of owner guardian is required in order to later change an existing shielded VM from Shielded to Encryption Supported or vice-versa.

  4. Ihr Ziel in diesem Schritt besteht darin, das zwei fache zu erreichen:Your goal in this step is two-fold:

    • Erstellen oder Auswählen eines Besitzer-Schützers, der Sie als VM-Besitzer darstelltCreate or select an owner guardian that represents you as the VM owner

    • Importieren Sie den Wächter, den Sie im vorherigen Schritt aus dem (oder Ihrem eigenen) hostüberwachungs Dienst des hostinganbieters heruntergeladen haben.Import the guardian that you downloaded from the hosting provider's (or your own) Host Guardian Service in the preceding step

    Um einen vorhandenen Besitzer Wächter festzulegen, wählen Sie im Dropdown Menü den entsprechenden Wächter aus.To designate an existing owner guardian, select the appropriate guardian from the drop down menu. Nur Wächter, die auf dem lokalen Computer mit den privaten Schlüsseln installiert sind, werden in dieser Liste angezeigt.Only guardians installed on your local machine with the private keys intact will show up in this list. Sie können auch einen eigenen Besitzer Wächter erstellen, indem Sie in der unteren rechten Ecke lokale Wächter verwalten auswählen und auf Erstellen klicken, um den Assistenten abzuschließen.You can also create your own owner guardian by selecting Manage Local Guardians in the lower right corner and clicking Create and completing the wizard.

    Als nächstes importieren wir die zuvor heruntergeladenen Wächter-Metadaten auf der Seite Besitzer und Wächter .Next, we import the guardian metadata downloaded earlier again using the Owner and Guardians page. Wählen Sie in der unteren rechten Ecke lokale Wächter verwalten aus.Select Manage Local Guardians from the lower right corner. Verwenden Sie die Import Funktion, um die Datei mit den Überwachungs Metadaten zu importieren.Use the Import feature to import the guardian metadata file. Klicken Sie auf OK , nachdem Sie alle erforderlichen Wächter importiert oder eingefügt haben.Click OK once you have imported or added all of the necessary guardians. Als bewährte Vorgehensweise können Sie die Wächter nach dem hostingdienstanbieter oder dem Unternehmens Rechenzentrum benennen.As a best practice, name guardians after the hosting service provider or enterprise datacenter they represent. Wählen Sie abschließend alle Wächter aus, die die Daten Center darstellen, in denen Ihre abgeschirmte VM ausgeführt werden soll.Finally, select all the guardians that represent the datacenters in which your shielded VM is authorized to run. Sie müssen den Besitzer Wächter nicht erneut auswählen.You do not need to select the owner guardian again. Klicken Sie anschließend auf weiter .Click Next once finished.

    Schutz Datendatei-Assistent, Besitzer und Wächter

  5. Klicken Sie auf der Seite "Volumen-ID-Qualifizierer" auf Hinzufügen , um einen signierten Vorlagen Datenträger in derOn the Volume ID Qualifiers page, click Add to authorize a signed template disk in your shielding data file. Wenn Sie im Dialogfeld einen VSC auswählen, werden Informationen über den Namen, die Version und das Zertifikat des Datenträgers angezeigt, der zum Signieren verwendet wurde.When you select a VSC in the dialog box, it will show you information about that disk's name, version, and the certificate that was used to sign it. Wiederholen Sie diesen Vorgang für jeden zu autorisierende Vorlagen Datenträger.Repeat this process for each template disk you wish to authorize.

  6. Klicken Sie auf der Seite " Spezialisierungs Werte " auf Durchsuchen , um die Datei "Unattend. xml" auszuwählen, die für die Spezialisierung ihrer VMS verwendet wird.On the Specialization Values page, click Browse to select your unattend.xml file that will be used to specialize your VMs.

    Verwenden Sie die Schaltfläche Hinzufügen am unteren Rand, um dem PDK weitere Dateien hinzuzufügen, die während des Spezialisierungs Vorgangs benötigt werden.Use the Add button at the bottom to add any additional files to the PDK that are needed during the specialization process. Wenn die Datei für die unbeaufsichtigte Installation z. b. ein RDP-Zertifikat auf dem virtuellen Computer installiert (wie unter Generieren einer Antwortdatei mithilfe der New-shieldingdatabeantworungsfile-Funktionbeschrieben), sollten Sie hier die PFX-Datei des RDP-Zertifikats und das Skript "rdpcertifipteconfig. ps1" hinzufügen.For example, if your unattend file is installing an RDP certificate onto the VM (as described in Generate an answer file by using the New-ShieldingDataAnswerFile function), you should add the RDP certificate PFX file and the RDPCertificateConfig.ps1 script here. Beachten Sie, dass alle Dateien, die Sie hier angeben, automatisch nach C:\Temp\ auf dem virtuellen Computer kopiert werden, der erstellt wird.Note that any files you specify here will automatically be copied to C:\temp\ on the VM that is created. Die Datei für die unbeaufsichtigte Installation sollte erwarten, dass sich die Dateien in diesem Ordner befinden, wenn Sie über den Pfad referenziert werden.Your unattend file should expect the files to be in that folder when referencing them by path.

  7. Überprüfen Sie Ihre Auswahl auf der nächsten Seite, und klicken Sie dann auf generieren.Review your selections on the next page, and then click Generate.

  8. Schließen Sie den Assistenten, nachdem er abgeschlossen wurde.Close the wizard after it has completed.

Erstellen einer Schutz Datendatei und Hinzufügen von Betreuern mithilfe von PowerShellCreate a shielding data file and add guardians using PowerShell

Als Alternative zum Assistenten zum Schützen von Datendateien können Sie New-shieldingdatafile ausführen, um eine geschützte Datendatei zu erstellen.As an alternative to the Shielding Data File wizard, you can run New-ShieldingDataFile to create a shielding data file.

Alle Schutz Datendateien müssen mit den richtigen Besitzer-und Überwachungs Zertifikaten konfiguriert werden, damit Ihre abgeschirmten VMS auf einem geschützten Fabric ausgeführt werden können.All shielding data files need to be configured with the correct owner and guardian certificates to authorize your shielded VMs to be run on a guarded fabric. Durch Ausführen von Get-hgsguardiankönnen Sie überprüfen, ob eine lokale Installation vorhanden ist.You can check if you have any guardians installed locally by running Get-HgsGuardian. Besitzer Wächter verfügen über private Schlüssel, während Wächter für Ihr Rechenzentrum dies in der Regel nicht tun.Owner guardians have private keys while guardians for your datacenter typically do not.

Wenn Sie einen Owner-Wächter erstellen müssen, führen Sie den folgenden Befehl aus:If you need to create an owner guardian, run the following command:

New-HgsGuardian -Name "Owner" -GenerateCertificates

Mit diesem Befehl werden ein paar Signierungs-und Verschlüsselungs Zertifikate im Zertifikat Speicher des lokalen Computers unter dem Ordner "geschützte VM local-Zertifikate" erstellt.This command creates a pair of signing and encryption certificates in the local machine's certificate store under the "Shielded VM Local Certificates" folder. Sie benötigen die Besitzer Zertifikate und die zugehörigen privaten Schlüssel, um einen virtuellen Computer zu bereinigen. Stellen Sie also sicher, dass diese Zertifikate gesichert und vor Diebstahl geschützt werden.You will need the owner certificates and their corresponding private keys to unshield a virtual machine, so ensure these certificates are backed up and protected from theft. Ein Angreifer, der Zugriff auf die Besitzer Zertifikate hat, kann ihn verwenden, um den abgeschirmten virtuellen Computer zu starten oder seine Sicherheitskonfiguration zu ändern.An attacker with access to the owner certificates can use them to start up your shielded virtual machine or change its security configuration.

Wenn Sie Überwachungsinformationen aus einem geschützten Fabric importieren müssen, auf dem Sie den virtuellen Computer (Ihr primäres Daten Center, Sicherungs Datacenter usw.) ausführen möchten, führen Sie den folgenden Befehl für jede Metadatendatei aus, die von ihren geschützten Fabrics abgerufenwird.If you need to import guardian information from a guarded fabric where you want to run your virtual machine (your primary datacenter, backup datacenters, etc.), run the following command for each metadata file retrieved from your guarded fabrics.

Import-HgsGuardian -Name 'EAST-US Datacenter' -Path '.\EastUSGuardian.xml'

Tipp

Wenn Sie selbst signierte Zertifikate verwendet haben oder die Zertifikate, die bei HGS registriert sind, abgelaufen sind, müssen Sie möglicherweise die -AllowUntrustedRoot-und/oder -AllowExpired-Flags mit dem Befehl "Import-hgsguardian" verwenden, um die Sicherheitsüberprüfungen zu umgehen.If you used self-signed certificates or the certificates registered with HGS are expired, you may need to use the -AllowUntrustedRoot and/or -AllowExpired flags with the Import-HgsGuardian command to bypass the security checks.

Sie müssen auch einen volumesignaturkatalog für jeden Vorlagen Datenträger abrufen, den Sie mit dieser Schutz Datendatei verwenden möchten, und eine Antwortdatei für die Schutz Daten, damit das Betriebssystem seine Spezialisierungs Aufgaben automatisch ausführen kann.You will also need to obtain a volume signature catalog for each template disk you want to use with this shielding data file and a shielding data answer file to allow the operating system to complete its specialization tasks automatically. Entscheiden Sie abschließend, ob Sie möchten, dass Ihr virtueller Computer vollständig abgeschirmt oder nur vtpm aktiviert ist.Lastly, decide if you want your VM to be fully shielded or just vTPM-enabled. Verwenden Sie -Policy Shielded für eine vollständig abgeschirmte VM oder -Policy EncryptionSupported für eine vtpm-aktivierte VM, die einfache Konsolen Verbindungen und PowerShell Direct zulässt.Use -Policy Shielded for a fully shielded VM or -Policy EncryptionSupported for a vTPM enabled VM that allows basic console connections and PowerShell Direct.

Nachdem Sie alles vorbereitet haben, führen Sie den folgenden Befehl aus, um die geschützte Datendatei zu erstellen:Once everything is ready, run the following command to create your shielding data file:

$viq = New-VolumeIDQualifier -VolumeSignatureCatalogFilePath 'C:\temp\marketing-ws2016.vsc' -VersionRule Equals
New-ShieldingDataFile -ShieldingDataFilePath "C:\temp\Marketing-LBI.pdk" -Policy EncryptionSupported -Owner 'Owner' -Guardian 'EAST-US Datacenter' -VolumeIDQualifier $viq -AnswerFile 'C:\temp\marketing-ws2016-answerfile.xml'

Tipp

Wenn Sie ein benutzerdefiniertes RDP-Zertifikat, SSH-Schlüssel oder andere Dateien verwenden, die in die geschützte Datendatei eingeschlossen werden müssen, verwenden Sie den -OtherFile-Parameter, um diese einzuschließen.If you are using a custom RDP certificate, SSH keys, or other files that need to be included with your shielding data file, use the -OtherFile parameter to include them. Sie können eine durch Trennzeichen getrennte Liste mit Dateipfaden angeben, z. b. -OtherFile "C:\source\myRDPCert.pfx", "C:\source\RDPCertificateConfig.ps1"You can provide a comma separated list of file paths, like -OtherFile "C:\source\myRDPCert.pfx", "C:\source\RDPCertificateConfig.ps1"

Im obigen Befehl kann der Wächter mit dem Namen "Owner" (abgerufen von Get-hgsguardian) die Sicherheitskonfiguration des virtuellen Computers in Zukunft ändern, während "East-US Datacenter" den virtuellen Computer ausführen, aber seine Einstellungen nicht ändern kann.In the above command, the guardian named "Owner" (obtained from Get-HgsGuardian) will be able to change the security configuration of the VM in the future, while 'EAST-US Datacenter' can run the VM but not change its settings. Wenn Sie über mehr als einen Wächter verfügen, trennen Sie die Namen der Wächter durch Kommas wie 'EAST-US Datacenter', 'EMEA Datacenter'.If you have more than one guardian, separate the names of the guardians with commas like 'EAST-US Datacenter', 'EMEA Datacenter'. Der Lautstärke-ID-Qualifizierer gibt an, ob Sie nur der exakten Version (gleich) des Vorlagen Datenträgers oder zukünftigen Versionen (greaterthanorgleich) Vertrauen.The volume ID qualifier specifies whether you trust only the exact version (Equals) of the template disk or future versions (GreaterThanOrEquals) as well. Der Datenträger Name und das Signaturzertifikat müssen exakt mit dem Versionsvergleich übereinstimmen, der zum Zeitpunkt der Bereitstellung berücksichtigt wird.The disk name and signing certificate must match exactly for the version comparison to considered at deployment time. Sie können mehr als einem Vorlagen Datenträger Vertrauen, indem Sie eine durch Trennzeichen getrennte Liste mit Volumen-ID-Qualifizierern für den -VolumeIDQualifier-ParameterYou can trust more than one template disk by providing a comma-separated list of volume ID qualifiers to the -VolumeIDQualifier parameter. Wenn Sie weitere Dateien haben, die die Antwortdatei mit dem virtuellen Computer begleiten müssen, verwenden Sie den -OtherFile-Parameter, und geben Sie eine durch Trennzeichen getrennte Liste mit Dateipfaden an.Finally, if you have other files that need to accompany the answer file with the VM, use the -OtherFile parameter and provide a comma-separated list of file paths.

Weitere Informationen zu weiteren Möglichkeiten zum Konfigurieren ihrer geschützten Datendatei finden Sie in der Cmdlet-Dokumentation für New-shieldingdatafile und New-volumeidqualifizierer .See the cmdlet documentation for New-ShieldingDataFile and New-VolumeIDQualifier to learn about additional ways to configure your shielding data file.

Weitere InformationenSee also