Solucionar problemas de hosts protegidos
Este artigo descreve resoluções para problemas comuns encontrados ao implantar ou operar um host Hyper-V protegido em seu tecido protegido.
Aplica-se a: Windows Server 2022, Windows Server 2019 Windows Server 2016
Se você não tiver certeza da natureza do seu problema, primeiro tente executar o diagnóstico de tecido protegido em seus hosts Hyper-V para reduzir as possíveis causas.
Recurso de host protegido
Se você estiver enfrentando problemas com o host do Hyper-V, primeiro verifique se o recurso de suporte do Host Guardian Hyper-V está instalado. Sem esse recurso, o host do Hyper-V está ausente de algumas configurações críticas e software que permitem que ele passe o atestado e provisione VMs blindadas.
Para marcar se o recurso estiver instalado, use Gerenciador do Servidor ou execute o seguinte cmdlet em uma janela do PowerShell elevada:
Get-WindowsFeature HostGuardian
Se o recurso não estiver instalado, instale-o com o seguinte cmdlet do PowerShell:
Install-WindowsFeature HostGuardian -Restart
Falhas de atestado
Se um host não passar pelo atestado com o Serviço Guardião do Host, ele não poderá executar VMs blindadas. A saída de Get-HgsClientConfiguration nesse host mostrará informações sobre por que esse host falhou no atestado.
A tabela abaixo explica os valores que podem aparecer no campo AttestationStatus e possíveis próximas etapas, se apropriado.
| AttestationStatus | Explicação |
|---|---|
| Expirada | O host passou pelo atestado anteriormente, mas o certificado de integridade emitido expirou. Verifique se a hora do host e do HGS está em sincronização. |
| InsecureHostConfiguration | O host não passou no atestado porque não estava em conformidade com as políticas de atestado configuradas no HGS. Para obter mais informações, confira a tabela AttestationSubStatus. |
| Não Configurado | O host não está configurado para usar um HGS para atestado e proteção de chave. Em vez disso, ele está configurado para o modo local. Se esse host estiver em um tecido protegido, use Set-HgsClientConfiguration para fornecer as URLs para o servidor HGS. |
| Passado | O host passou pelo atestado. |
| TransientError | A última tentativa de atestado falhou devido a um erro de rede, serviço ou outro erro temporário. Tente novamente sua última operação. |
| TpmError | O host não pôde concluir sua última tentativa de atestado devido a um erro com seu TPM. Para obter mais informações, consulte os logs do TPM. |
| Não autorizadoHost | O host não passou no atestado porque não estava autorizado a executar VMs blindadas. Verifique se o host pertence a um grupo de segurança confiável pelo HGS para executar VMs blindadas. |
| Desconhecido | O host ainda não tentou atestar com o HGS. |
Quando AttestationStatus é relatado como InsecureHostConfiguration, um ou mais motivos são preenchidos no campo AttestationSubStatus . A tabela abaixo explica os valores possíveis para AttestationSubStatus e dicas sobre como resolve o problema.
| AttestationSubStatus | O que significa e o que fazer |
|---|---|
| BitLocker | O volume do sistema operacional do host não é criptografado pelo BitLocker. Para resolve isso, habilite o BitLocker no volume do sistema operacional ou desabilite a política do BitLocker no HGS. |
| CodeIntegrityPolicy | O host não está configurado para usar uma política de integridade de código ou não está usando uma política confiável pelo servidor HGS. Verifique se uma política de integridade de código foi configurada, se o host foi reiniciado e que a política está registrada no servidor HGS. Para obter mais informações, consulte Criar e aplicar uma política de integridade de código. |
| DumpsEnabled | O host é configurado para permitir despejos de falhas ou despejos de memória ao vivo, o que não é permitido pelas políticas do HGS. Para resolve isso, desabilite despejos no host. |
| DumpEncryption | O host está configurado para permitir despejos de falhas ou despejos de memória ao vivo, mas não criptografa esses despejos. Desabilitar despejos no host ou configurar a criptografia de despejo. |
| DumpEncryptionKey | O host está configurado para permitir e criptografar despejos, mas não está usando um certificado conhecido pelo HGS para criptografá-los. Para resolve isso, atualize a chave de criptografia de despejo no host ou registre a chave com o HGS. |
| FullBoot | O host foi retomado de um estado de sono ou hibernação. Reinicie o host para permitir uma inicialização completa limpo. |
| HibernationEnabled | O host é configurado para permitir a hibernação sem criptografar o arquivo de hibernação, o que não é permitido pelas políticas do HGS. Desabilite a hibernação e reinicie o host ou configure a criptografia de despejo. |
| HypervisorEnforcedCodeIntegrityPolicy | O host não está configurado para usar uma política de integridade de código imposta pelo hipervisor. Verifique se a integridade do código está habilitada, configurada e imposta pelo hipervisor. Para obter mais informações, consulte Guia de implantação do Device Guard. |
| Iommu | Os recursos de Segurança Baseada em Virtualização do host não estão configurados para exigir um dispositivo IOMMU para proteção contra ataques de Acesso direto à Memória, conforme exigido por suas políticas do HGS. Verifique se o host tem um IOMMU, que ele está habilitado e se o Device Guard está configurado para exigir proteções DMA ao iniciar o VBS. |
| PagefileEncryption | A criptografia de arquivo de página não está habilitada no host. Para resolve isso, execute fsutil behavior set encryptpagingfile 1 para habilitar a criptografia de arquivo de página. Para obter mais informações, consulte comportamento fsutil. |
| SecureBoot | A Inicialização Segura não está habilitada neste host ou não está usando o modelo de Inicialização Segura da Microsoft. Habilite a Inicialização Segura com o modelo de Inicialização Segura da Microsoft para resolve esse problema. |
| SecureBootSettings | A linha de base do TPM neste host não corresponde a nenhuma daquelas confiáveis pelo HGS. Isso pode ocorrer quando as autoridades de inicialização da UEFI, a variável DBX, o sinalizador de depuração ou as políticas personalizadas de Inicialização Segura são alteradas pela instalação de novo hardware ou software. Se você confiar no hardware atual, no firmware e na configuração de software desse computador, poderá capturar uma nova linha de base TPM e registrá-la no HGS. |
| TcgLogVerification | O log TCG (linha de base TPM) não pode ser obtido ou verificado. Isso pode indicar um problema com o firmware do host, o TPM ou outros componentes de hardware. Se o host estiver configurado para tentar inicializar o PXE antes de inicializar o Windows, um NBP (Programa de Inicialização Líquida) desatualizado também poderá causar esse erro. Verifique se todos os NBPs estão atualizados quando a inicialização PXE estiver habilitada. |
| VirtualSecureMode | Os recursos de Segurança Baseada em Virtualização não estão em execução no host. Verifique se o VBS está habilitado e se o sistema atende aos recursos de segurança da plataforma configurados. Para obter mais informações sobre os requisitos do VBS, consulte a documentação do Device Guard. |
TLS modernos
Se você implantou uma política de grupo ou de outra forma configurou o host do Hyper-V para impedir o uso do TLS 1.0, poderá encontrar erros "o Cliente do Serviço de Guardião do Host falhou em desembrulhar um Protetor de Chaves em nome de um processo de chamada" ao tentar iniciar uma VM blindada. Isso ocorre devido a um comportamento padrão no .NET 4.6 em que a versão TLS padrão do sistema não é considerada ao negociar versões TLS com suporte com o servidor HGS.
Para contornar esse comportamento, execute os dois comandos a seguir para configurar o .NET para usar as versões TLS padrão do sistema para todos os aplicativos .NET.
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:64
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:32
Aviso
A configuração de versões TLS padrão do sistema afetará todos os aplicativos .NET em seu computador. Certifique-se de testar as chaves do registro em um ambiente isolado antes de implantá-las em seus computadores de produção.
Para obter mais informações sobre o .NET 4.6 e o TLS 1.0, confira Resolvendo o problema do TLS 1.0, 2ª Edição.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários