Abgeschirmte VMs für Mandanten – Erstellen eines Vorlagendatenträgers (optional)
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016
Um eine neue abgeschirmte VM zu erstellen, müssen Sie einen speziell vorbereiteten, signierten Vorlagendatenträger verwenden. Mit Metadaten von signierten Vorlagendatenträgern können Sie sicherstellen, dass die Datenträger nach dem Erstellen nicht geändert werden. Außerdem können Sie als Mandant einschränken, welche Datenträger zum Erstellen von abgeschirmten VMs verwendet werden können. Eine Möglichkeit zum Bereitstellen dieses Datenträgers besteht darin, dass Sie als Mandant diesen erstellen, wie in diesem Thema beschrieben.
Wichtig
Sie können stattdessen auch einen Vorlagendatenträger verwenden, der von Ihrem Hostingdienstanbieter bereitgestellt wird. In diesem Fall ist es wichtig, mithilfe dieses Vorlagendatenträgers eine Test-VM bereitzustellen und Ihre eigenen Tools (Virenschutz, Überprüfung auf Sicherheitsrisiken usw.) auszuführen, um sich davon zu überzeugen, dass der Datenträger einen vertrauenswürdigen Zustand aufweist.
Vorbereiten einer VHDX für das Betriebssystem
Um einen Vorlagendatenträger für abgeschirmte VMs zu erstellen, müssen Sie zuerst einen Betriebssystemdatenträger vorbereiten, der über den Vorlagendatenträger-Assistenten ausgeführt wird. Dieser Datenträger wird als Betriebssystemdatenträger für abgeschirmte VMs verwendet. Sie können alle vorhandenen Tools zum Erstellen dieses Datenträgers verwenden, z. B. Microsoft Desktop Image Service Manager (DISM), oder manuell einen virtuellen Computer mit einer leeren VHDX einrichten und das Betriebssystem auf diesem Datenträger installieren. Beim Einrichten des Datenträgers müssen die folgenden Anforderungen erfüllt sein, die für VMs der 2. Generation und/oder abgeschirmte VMs gelten:
| Anforderung für die VHDX | `Reason` |
|---|---|
| Muss eine GUID-Partitionstabelle (GPT) sein | Erforderlich für VMs der 2. Generation zur Unterstützung von UEFI. |
| Der Datenträgertyp muss Basis, nicht Dynamisch sein. Hinweis: Dies bezieht sich auf den logischen Datenträgertyp, nicht auf das von Hyper-V unterstützte Feature einer „dynamisch erweiterbaren“ VHDX. |
BitLocker unterstützt KEINE dynamischen Datenträger. |
| Der Datenträger verfügt über mindestens zwei Partitionen. Eine Partition muss das Laufwerk enthalten, auf dem Windows installiert ist. Dies ist das Laufwerk, das BitLocker verschlüsselt. Die andere Partition ist die aktive Partition, die den Bootloader enthält und unverschlüsselt bleibt, damit der Computer gestartet werden kann. | Ist für BitLocker erforderlich. |
| Das Dateisystem ist NTFS. | Ist für BitLocker erforderlich. |
| Eines der folgenden Betriebssysteme ist auf der VHDX installiert: – Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 oder Windows Server 2012 – Windows 10, Windows 8.1 oder Windows 8 |
Ist zur Unterstützung von VMs der 2. Generation und der Microsoft-Vorlage für sicheren Start erforderlich. |
| Das Betriebssystem muss generalisiert sein (Ausführen von sysprep.exe). | Das Bereitstellen von Vorlagen beinhaltet die spezielle Einrichtung von VMs für die Workload eines bestimmten Mandanten. |
Hinweis
Kopieren Sie den Vorlagendatenträger in dieser Phase nicht in die VMM-Bibliothek.
Erforderliche Pakete zum Erstellen eines Nano Server-Vorlagendatenträgers
Wenn Sie planen, Nano Server als Gastbetriebssystem auf abgeschirmten VMs auszuführen, müssen Sie sicherstellen, dass Ihr Nano Server-Image die folgenden Pakete enthält:
- Microsoft-NanoServer-Guest-Package
- Microsoft-NanoServer-SecureStartup-Package
Ausführen von Windows Update für das Vorlagenbetriebssystem
Überprüfen Sie, ob auf dem Vorlagendatenträger alle aktuellen Windows-Updates für das Betriebssystem installiert sind. Kürzlich veröffentlichte Updates verbessern die Zuverlässigkeit des gesamten Abschirmungsprozesses – eines Prozesses, der möglicherweise nicht abgeschlossen werden kann, wenn das Vorlagenbetriebssystem nicht auf dem neuesten Stand ist.
Signieren und Schützen der VHDX mithilfe des Vorlagendatenträger-Assistenten
Damit ein Vorlagendatenträger mit abgeschirmten VMs verwendet werden kann, muss der Datenträger mit BitLocker signiert und verschlüsselt werden. Dazu verwenden Sie den Assistenten zum Erstellen von Vorlagendatenträgern für abgeschirmte VMs. Dieser Assistent generiert einen Hash für den Datenträger und fügt diesen einem Volumesignaturkatalog (Volume Signature Catalog, VSC) hinzu. Der Volumesignaturkatalog wird mit einem von Ihnen angegebenen Zertifikat signiert und während der Bereitstellung verwendet, um sicherzustellen, dass der für einen Mandanten bereitgestellte Datenträger nicht geändert oder durch einen nicht vertrauenswürdigen Datenträger ersetzt wurde. Schließlich wird BitLocker auf dem Betriebssystem des Datenträgers installiert (sofern noch nicht vorhanden), um den Datenträger für die Verschlüsselung während der VM-Bereitstellung vorzubereiten.
Hinweis
Der Vorlagendatenträger-Assistent ändert den von Ihnen angegebenen Vorlagendatenträger direkt. Erstellen Sie eine Kopie der ungeschützten VHDX, bevor Sie den Assistenten ausführen, um den Datenträger zu einem späteren Zeitpunkt zu aktualisieren. Sie können keinen Datenträger ändern, der mit dem Vorlagendatenträger-Assistenten geschützt wurde.
Führen Sie die folgenden Schritte auf einem Computer aus, auf dem Windows Server 2016 ausgeführt wird (dies muss weder ein überwachter Host noch Ihr VMM-Server sein):
Kopieren Sie die unter Vorbereiten einer VHDX für das Betriebssystem erstellte generalisierte VHDX auf den Server, sofern sie noch nicht vorhanden ist.
Installieren Sie das Feature Abgeschirmte VM-Tools aus den Remoteserver-Verwaltungstools auf dem Computer.
Install-WindowsFeature RSAT-Shielded-VM-Tools -RestartRufen Sie ein Zertifikat ab, um die VHDX zu signieren, die zum Vorlagendatenträger für neue abgeschirmte VMs wird, oder erstellen Sie ein Zertifikat. Details zu diesem Zertifikat werden in einer geschützten Datendatei gespeichert, die den Datenträger als vertrauenswürdigen Datenträger autorisiert. Daher ist es wichtig, dieses Zertifikat von einer Zertifizierungsstelle abzurufen, der Sie und Ihr Hostingdienstanbieter vertrauen. In Unternehmensszenarien, in denen Sie sowohl Host als auch Mandant sind, können Sie dieses Zertifikat auch aus Ihrer PKI ausstellen.
Wenn Sie eine Testumgebung einrichten und einfach nur ein selbstsigniertes Zertifikat zum Signieren des Vorlagendatenträgers verwenden möchten, führen Sie einen Befehl ähnlich dem folgenden auf Ihrem Computer aus:
New-SelfSignedCertificate -DnsName publisher.fabrikam.comStarten Sie den Vorlagendatenträger-Assistenten über das Startmenü im Ordner Verwaltungstools oder durch Eingeben von TemplateDiskWizard.exe in einer Eingabeaufforderung.
Klicken Sie auf der Seite Zertifikat auf Durchsuchen, um eine Liste mit Zertifikaten anzuzeigen. Wählen Sie das Zertifikat aus, mit dem die Datenträgervorlage signiert werden soll. Klicken Sie auf OK und anschließend auf Weiter.
Klicken Sie auf der Seite „Virtueller Datenträger“ auf Durchsuchen, um die von Ihnen vorbereitete VHDX auszuwählen, und klicken Sie dann auf Weiter.
Geben Sie auf der Seite „Signaturkatalog“ einen aussagekräftigen Datenträgernamen und eine Version an. Mit den Angaben in diesen Feldern können Sie den Datenträger nach der Vorbereitung identifizieren.
Als Datenträgername könnten Sie beispielsweise WS2016 und als Version den Wert 1.0.0.0 eingeben.
Überprüfen Sie Ihre Auswahl auf der Assistenten-Seite „Einstellungen überprüfen“. Wenn Sie auf Generieren klicken, aktiviert der Assistent BitLocker auf dem Vorlagendatenträger, berechnet den Hash des Datenträgers und erstellt den Volumesignaturkatalog, der in den VHDX-Metadaten gespeichert wird.
Warten Sie, bis der Signaturvorgang abgeschlossen ist, bevor Sie versuchen, den Vorlagendatenträger einzubinden oder zu verschieben. Dieser Vorgang kann je nach Größe Ihres Datenträgers eine Weile dauern.
Auf der Seite Zusammenfassung finden Sie Informationen zur Datenträgervorlage, zum Zertifikat, das zum Signieren der Vorlage verwendet wird, und zum Zertifikataussteller. Klicken Sie auf Schließen, um den Assistenten zu beenden.
Stellen Sie die Datenträgervorlage für abgeschirmte VMs dem Hostingdienstanbieter zusammen mit einer von Ihnen erstellten geschützten Datendatei bereit, wie unter Erstellen von geschützten Daten zum Definieren einer abgeschirmten VM beschrieben.