在 VMM 中佈建受防護主機

  • 發行項

重要

此版本的 Virtual Machine Manager (VMM) 已達到終止支援。 建議您 升級至 VMM 2022

本文說明如何在 System Center - Virtual Machine Manager (VMM) 計算網狀架構中部署受防護的 Hyper-V 主機。 深入瞭解 受防護網狀架構。

有幾種方式可以設定 VMM 網狀架構中的受防護 Hyper-V 主機。

  • 將現有的主機設定為受防護主機︰您可以設定現有的主機來執行受防護的 VM。
  • 新增或佈建一部新的受防護主機︰這個主機可能是︰
    • 現有的 Windows Server 電腦 (不論有無 Hyper-V 角色)
    • 裸機電腦

您可以如下所示在 VMM 網狀架構中設定受防護主機:

  1. 設定全域性 HGS 設定:VMM 會將所有的受防護主機連線到相同的 HGS 伺服器,以便您可以在主機間成功移轉受防護的 VM。 您可以指定套用至所有受防護主機的全域 HGS 設定,而且您可以指定覆寫全域設定的主機特定設定。 設定包括:

    • 證明 URL︰主機用來連線到 HGS 證明服務的 URL。 此服務會授權主機執行受防護的 VM。
    • 金鑰保護伺服器 URL︰主機會使用此 URL 來擷取將 VM 解密所需的金鑰。 主機必須通過證明,才能擷取金鑰。
    • 程式碼完整性原則︰程式碼完整性原則會限制可在受防護主機上執行的軟體。 當 HGS 設定為使用 TPM 證明時,必須設定受防護主機使用 HGS 伺服器授權的程式碼完整性原則。 您可以在 VMM 中指定程式碼完整性原則的位置,並將這些原則部署到您的主機。 這是選擇性的,不需要管理受防護網狀架構。
    • VM 防護協助程式 VHD:特別備妥的虛擬硬碟,可用來將現有的 VM 轉換為受防護的 VM。 如果您想要防護現有的 VM,您必須設定此設定。

  2. 設定雲端︰如果VMM 雲端中會包含受防護主機,您必須啟用雲端以支援受防護的 VM。

開始之前

請確定您已部署並設定主機守護者服務,再繼續進行。 在 Windows Server 文件中深入了解如何設定 HGS。

此外,請確定任何將成為受防護主機的主機都符合受防護主機的必要條件:

  • 作業系統︰主機伺服器必須執行 Windows Server Datacenter。 建議針對受防護主機使用 Server Core。
  • 角色與功能:主機伺服器應該執行 Hyper-V 角色與主機守護者 Hyper-V 支援功能。 主機守護者 Hyper-V 支援可讓主機與 HGS 通訊,以證明其健全狀況,並要求受防護 VM 的金鑰。 如果您的主機執行 Nano 伺服器,則應該安裝 Compute、SCVMM-Package、SCVMM-Compute、SecureStartup 和 ShieldedVM 套件。
  • TPM 證明︰如果您的 HGS 已設定為使用 TPM 證明,主機伺服器必須:
    • 使用 UEFI 2.3.1c 和 TPM 2.0 模組
    • 以 UEFI 模式開機 (而非 BIOS 或「傳統」模式)
    • 啟用安全開機
  • HGS 註冊:Hyper-V 主機必須向 HGS 註冊。 註冊方式取決於 HGS 是否使用 AD 或 TPM 證明。 深入了解
  • 即時移轉︰如果您想要即時移轉受防護的 VM,您必須部署兩部或多部受防護主機。
  • 網域:受防護主機和 VMM 伺服器必須位於相同網域或具有雙向信任的網域中。

設定通用 HGS 設定

在您可以將受防護主機新增至 VMM 計算網狀架構之前,您必須使用網狀架構的主機守護者服務 (HGS) 的相關信息來設定 VMM。 受 VMM 管理的所有受防護主機都會使用相同的 HGS。

  1. 向您的 HGS 系統管理員取得網狀架構的證明和金鑰保護 URL。

  2. 在 VMM 控制台中,選取 [ 設定>主機守護者服務設定]。

  3. 在對應欄位中輸入證明和金鑰保護 URL。 您目前不需要設定程式代碼完整性原則和 VM 防護協助程式 VHD 區段。

    [全域 HGS 設定] 視窗的螢幕快照。

  4. 按一下 [完成] 儲存設定。

新增或佈建一部新的受防護主機

  1. 新增主機:
    • 如果您想要新增執行 Windows Server 的現有伺服器作為受防護的 Hyper-V 主機,請將它新增至網狀架構
    • 如果您想要從裸機電腦佈建 Hyper-V 主機,請遵循這些先決條件和指示

      注意

      當您佈建主機時,您可以將主機部署為受防護 (新增資源精靈 >OS 設定>設定為受防護主機) 。

  2. 繼續進行下一節,以將主機設定為受防護主機。

將現有的主機設定為受防護主機

若要將受 VMM 管理的現有 Hyper-V 主機設定為受防護主機,請完成下列步驟:

  1. 將主機置於維護模式

  2. [所有主機] 中,以滑鼠右鍵按兩下主機 >內容>主機守護者服務

    [將主機啟用為受防護主機] 的螢幕快照。

  3. 選取以啟用 [主機守護者 Hyper-V 支援] 功能並設定主機。

    注意

    • 這將會在主機上設定全域證明與金鑰保護伺服器 URL。
    • 如果您在 VMM 主控台外修改這些 URL,您也必須在 VMM 中予以更新。 如果您沒有這麼做,VMM 將不會將受防護的 VM 放在主機上,直到 URL 再次相符為止。 您也可以取消核取並重新核取 [啟用] 方塊,以使用 VMM 中設定的 URL 重新設定主機。

  4. 如果您使用 VMM 來管理程式碼完整性原則,您可以啟用第二個核取方塊,並為系統選取適當的原則。

  5. 選取 [確定 ] 以更新主機的組態。

  6. 讓主機離開維護模式。

VMM 會檢查主機在您新增時通過證明,以及每次重新整理主機狀態時都會通過證明。 VMM 只會在通過證明的主機上部署和移轉受防護的 VM。 您可以在 [屬性>狀態>HGS 用戶端整體] 中檢查主機的證明狀態。

啟用 VMM 雲端上的受防護主機

啟用雲端以支援受防護主機︰

  1. 在 VMM 控制台中,選取 [VM 和服務>雲端]。 以滑鼠右鍵按下雲端名稱 >[屬性]。
  2. [一般>受防護的 VM 支援] 中,選取 [在此私人雲端上支援]。

使用 VMM 管理和部署程式碼完整性原則

在設定為使用 TPM 證明的受防護網狀架構中,每部主機都必須設定受主機守護者服務信任的程式碼完整性原則。 為了簡化程式碼完整性原則的管理,您可以選擇性地使用 VMM 將新的或更新的原則部署到受防護主機。

若要將程式碼完整性原則部署到受 VMM 管理的受防護主機,請完成下列步驟:

  1. 為您的環境中的每部參考主機建立程式碼完整性原則。 針對受防護主機的每個唯一硬體和軟體設定,您將需要不同的 CI 原則。
  2. 將 CI 原則儲存在安全的檔案共用中。 每個受防護主機的電腦帳戶都需要共用的讀取權限。 只有信任的系統管理員才能有寫入權限。
  3. 在 VMM 控制台中,選取 [ 設定>主機守護者服務設定]。
  4. 在 [程序代碼完整性原則] 區段下,選取 [ 新增 ] 並指定易記名稱和 CI 原則的路徑。 針對每個唯一的 CI 原則重複此步驟。 請務必以可協助您識別應套用至哪些主機的原則的方式命名您的原則。 [新增程序代碼完整性原則] 的螢幕快照。
  5. 按一下 [完成] 儲存設定。

現在,針對每部受防護主機,完成下列步驟來套用程式碼完整性原則:

  1. 將主機置於維護模式

  2. [所有主機] 中,以滑鼠右鍵按兩下主機 >內容>主機守護者服務

    [套用程序代碼完整性原則] 的螢幕快照。

  3. 選取以啟用選項,設定主機使用程式碼完整性原則,然後為系統選取適當的原則。

  4. 選取 [確定 ] 以套用設定變更。 主機可能會重新啟動,以套用新的原則。

  5. 讓主機離開維護模式。

警告

請確定您為主機選取正確的程式碼完整性原則。 如果將不相容的原則套用至主機,某些應用程式、驅動程式或作業系統元件可能無法再運作。

如果您更新檔案共用中的程式碼完整性原則,而且也想要更新受防護主機,您可以藉由完成下列步驟來執行這項操作:

  1. 將主機置於維護模式
  2. [所有主機] 中,以滑鼠右鍵按兩下主機 >[套用最新的程式碼完整性原則]。
  3. 讓主機離開維護模式。

下一步