Etablera skyddade värdar i VMM

  • Artikel
  • 6 minuter för att läsa

Viktigt

Den här versionen av Virtual Machine Manager (VMM) har nått slutet av supporten, vi rekommenderar att du uppgraderar till VMM 2022.

Den här artikeln beskriver hur du distribuerar skyddade Hyper-V-värdar i en beräkningsinfrastruktur för System Center – Virtual Machine Manager (VMM). Läs mer om skyddade infrastrukturresurser..

Du kan konfigurera skyddade Hyper-V-värdar i en VMM-infrastruktur på ett par olika sätt.

  • Konfigurera en befintlig värd som en skyddad värd: Du kan konfigurera en befintlig värd så att den kör skärmade virtuella datorer.
  • Lägga till eller etablera en ny skyddad värd: Den här värden kan vara:
    • En befintlig Windows Server-dator (med eller utan Hyper-V-rollen)
    • En dator utan operativsystem (Bare Metal)

Så här konfigurerar du skyddade värdar i VMM-infrastrukturen:

  1. Konfigurera globala HGS-inställningar: VMM ansluter alla skyddade värdar till samma HGS-server så att du kan migrera avskärmade virtuella datorer mellan värdar. Du anger globala HGS-inställningar som gäller för alla skyddade värdar, men du kan ange värdspecifika inställningar som åsidosätter de globala inställningarna. Inställningarna innefattar:

    • URL för attestering: Den URL som värden använder för att ansluta till HGS-atttesteringstjänsten. Den här tjänsten gör att en värd kan köra skärmade virtuella datorer.
    • Webbadress för nyckelskyddsserver: Den URL som värden använder för att hämta nyckeln som krävs för att dekryptera virtuella datorer. Värden måste klara attesteringen för att kunna hämta nycklar.
    • Kodintegritetsprinciper: En kodintegritetsprincip begränsar den programvara som kan köras på en skyddad värd. När HGS har konfigurerats att använda TPM-attestering måste skyddade värdar konfigureras att använda en kodintegritetsprincip som auktoriserats av HGS-servern. Du kan ange platsen för kodintegritetsprinciper i VMM och distribuera dem till värdarna. Detta är valfritt och krävs inte för att hantera en skyddad infrastruktur.
    • VHD-skärmningshjälpverktyget för virtuella datorer: En särskilt förberedd virtuell hårddisk som används för att konvertera befintliga virtuella datorer till skärmade virtuella datorer. Du måste konfigurera den här inställningen om du vill skydda befintliga virtuella datorer.

  2. Konfigurera molnet: Om den skyddade värden ska ingå i ett VMM-moln måste du konfigurera molnet så att det stöder avskärmade virtuella datorer.

Innan du börjar

Kontrollera att du har distribuerat och konfigurerat tjänsten Värdskydd (HGS) innan du fortsätter. Mer information om hur du konfigurerar HGS finns i Windows Server-dokumentationen.

Kontrollera också att alla värdar som ska konverteras till skyddade värdar uppfyller kraven för skyddade värdar:

  • Operativsystem: Värdservrar måste köra Windows Server Datacenter. Vi rekommenderar att du använder Server Core för skyddade värdar.
  • Roller och funktioner: Värdservrarna måste köra Hyper-V-rollen och funktionen Stöd för värdskyddstjänsten i Hyper-V. Funktionen Stöd för värdskyddstjänsten i Hyper-V kan kommunicera med värdskyddstjänsten (HGS) för att bekräfta dess hälsa och begära nycklar för avskärmade virtuella datorer. Om din värd kör Nano Server bör Compute-, SCVMM-Package-, SCVMM-Compute-, SecureStartup- och ShieldedVM-paketen vara installerade på värden.
  • TPM-attestering: Om din HGS är konfigurerad att använda TPM-attestering måste värdservrarna:
    • Använda UEFI 2.3.1c och en TPM 2.0-modul
    • Starta i UEFI-läge (inte BIOS eller ett ”äldre” läge)
    • Aktivera Säker Start
  • Registrering med värdskyddstjänsten: Hyper-V-värdarna måste vara registrerade med värdskyddstjänsten (HGS). Hur de registreras beror på om HGS använder AD eller TPM-attestering. Läs mer
  • Direktmigrering: Om du vill direktmigrera skärmade virtuella datorer måste du distribuera två eller fler skyddade värdar.
  • Domän: Skyddade värdar och VMM-servern måste finnas i samma domän eller i domäner med dubbelriktat förtroende.

Konfigurera globala HGS-inställningar

Innan du kan lägga till skyddade värdar i VMM-beräkningsinfrastrukturen måste du konfigurera VMM med information om tjänsten Värdskydd för infrastrukturen. Samma HGS används för alla skyddade värdar som hanteras av VMM.

  1. Du får URL:erna för attestering och nyckelskydd för din infrastruktur från HGS-administratören.

  2. I VMM-konsolen klickar du på Inställningar>Host Guardian Service Inställningar.

  3. Ange URL:erna för attestering och nyckelskydd i respektive fält. Du behöver inte konfigurera kodintegritetsprinciper och VHD-skärmningshjälpverktyget för virtuella datorer just nu.

    Global HGS settings window

  4. Spara konfigurationen genom att klicka på Slutför.

Lägga till eller etablera en ny skyddad värd

  1. Lägg till värden:
    • Om du vill lägga till en befintlig server som kör Windows Server som en skyddad Hyper-V-värd lägger du till den i infrastrukturresurserna.
    • Om du vill etablera en Hyper-V-värd från en dator utan operativsystem (Bare Metal) följer du dessa krav och anvisningar. Observera att du kan distribuera värden som skyddad när du etablerar den (Lägg till resursguidens >operativsystem Inställningar>Konfigurera som skyddad värd.
  2. Fortsätt till nästa avsnitt för att konfigurera värden som en skyddad värd.

Konfigurera en befintlig värd som en skyddad värd

Konfigurera en befintlig Hyper-V-värd som hanteras av VMM som en skyddad värd genom att utföra följande steg:

  1. Placera värden i underhållsläge.

  2. Högerklicka på värdens>egenskaperVärdskyddstjänst> i Alla värdar.

    Enable a host as a guarded host

  3. Välj att aktivera funktionen Stöd för värdskyddstjänsten i Hyper-V och konfigurera värden. Tänk på följande:

    • URL:erna för den globala attesteringsservern och nyckelskyddsservern anges på värden.
    • Om du ändrar dessa URL:er utanför VMM-konsolen måste du uppdatera dem i VMM. Om du inte gör det placerar inte VMM skärmade virtuella datorer på värden förrän URL:erna matchar igen. Du kan också avmarkera och sedan markera kryssrutan ”Aktivera” igen om du vill konfigurera om värden med URL:erna som konfigurerats i VMM.

  4. Om du använder VMM för att hantera kodintegritetsprinciper kan du aktivera den andra kryssrutan och välja lämplig princip för systemet.

  5. Uppdatera värdens konfiguration genom att klicka på OK.

  6. Ta bort värden från underhållsläge.

VMM kontrollerar att värden klarar attesteringen när du lägger till den, och varje gång värdstatusen uppdateras. VMM distribuerar och migrerar endast skärmade virtuella datorer på värdar som har klarat attesteringen. Du kan kontrollera attesteringsstatusen för en värd i PropertiesStatusHGS>>Client Overall.

Aktivera skyddade värdar i ett VMM-moln

Konfigurera ett moln så att det stöder skyddade värdar:

  1. I VMM-konsolen klickar du på Virtuella datorer ochtjänsterMoln>. Högerklicka på molnnamnet >Egenskaper.
  2. I Stöd för allmänskärmad>virtuell dator väljer du Stöds i det här privata molnet.

Hantera och distribuera kodintegritetsprinciper med VMM

I skyddade infrastrukturer som har konfigurerats att använda TPM-attestering måste varje värd konfigureras med en kodintegritetsprincip som är betrodd av tjänsten Värdskydd (HGS). Om du vill kan du underlätta hanteringen av kodintegritetsprinciper genom att använda VMM för att distribuera nya eller uppdaterade principer till skyddade värdar.

Du distribuerar en kodintegritetsprincip till en skyddad värd som hanteras av VMM genom att utföra följande steg:

  1. Skapa en kodintegritetsprincip för varje referensvärd i din miljö. Du behöver olika kodintegritetsprinciper för varje unik maskin- och programvarukonfiguration för dina skyddade värdar.
  2. Lagra kodintegritetsprinciperna på en säker filresurs. Datorkontona för varje skyddad värd kräver läsbehörighet till resursen. Endast betrodda administratörer bör ha skrivåtkomst.
  3. I VMM-konsolen klickar du på Inställningar>Host Guardian Service Inställningar.
  4. Klicka på Lägg till under Kodintegritetsprinciper och ange ett eget namn och sökvägen till en kodintegritetsprincip. Upprepa det här steget för varje unik CI-princip. Namnge dina principer på ett sätt som gör det lättare att identifiera vilken princip som ska användas för vilka värdar. Add a code integrity policy
  5. Spara konfigurationen genom att klicka på Slutför.

Tillämpa en kodintegritetsprincip genom att slutföra följande steg för varje skyddad värd:

  1. Placera värden i underhållsläge.

  2. Högerklicka på värdens>egenskaperVärdskyddstjänst> i Alla värdar.

    Apply a code integrity policy

  3. Aktivera det här alternativet för att konfigurera värden med en kodintegritetsprincip, och välj sedan lämplig princip för systemet.

  4. Tillämpa konfigurationsändringen genom att klicka på OK. Värden kan behöva starta om för att tillämpa den nya principen.

  5. Ta bort värden från underhållsläge.

Varning

Se till att du väljer rätt kodintegritetsprincip för värden. Om en inkompatibel princip tillämpas på värden kanske vissa program, drivrutiner eller operativsystemkomponenter slutar fungera.

Om du uppdaterar kodintegritetsprincipen i filresursen och även vill uppdatera de skyddade värdarna kan du göra det genom att utföra följande steg:

  1. Placera värden i underhållsläge.
  2. I Alla värdar högerklickar du på värden >Tillämpa den senaste kodintegritetsprincipen.
  3. Ta bort värden från underhållsläge.

Nästa steg