Bereitstellen von geschützten Hosts in VMM

In diesem Artikel wird beschrieben, wie geschützte Hyper-V-Hosts in einem System Center Virtual Machine Manager (VMM)-Compute Fabric bereitgestellt werden. Erfahren Sie mehr über geschützte Fabrics.

Es gibt mehrere Möglichkeiten, geschützte Hyper-V-Hosts in einem VMM-Fabric einzurichten.

  • Konfigurieren eines vorhandenen Hosts als geschützter Host: Sie können einen vorhandenen Host konfigurieren, um abgeschirmte VMs auszuführen.
  • Hinzufügen oder Bereitstellen eines neuen geschützten Hosts: Dieser Host kann wie folgt sein:
    • Ein vorhandener Windows Server-Computer (mit oder ohne Hyper-V-Rolle)
    • Ein Bare-Metal-Computer

Sie richten überwachte Hosts im VMM-Fabric wie folgt ein:

  1. Konfigurieren globaler HGS-Einstellungen: VMM verbindet alle geschützten Hosts mit dem gleichen Host-Überwachungsdienst (HGS)-Server, sodass Sie abgeschirmte virtuelle Computer erfolgreich zwischen den Hosts migrieren können. Sie legen die globalen HGS-Einstellungen fest, die für alle geschützten Hosts gelten, und Sie können die hostspezifischen Einstellungen festlegen, die die globalen Einstellungen überschreiben. Zu diesen Einstellungen zählen:

    • Nachweis-URL: Die URL, die der Host verwendet, um eine Verbindung zum HGS-Nachweisdienst herzustellen. Dieser Dienst autorisiert einen Host zum Ausführen abgeschirmter virtueller Computer.
    • URL des Schlüsselschutzservers: Die URL, über die der überwachte Host die Schlüssel abruft, die zum Entschlüsseln abgeschirmter virtueller Computer erforderlich sind. Der Host muss den Nachweis übergeben, um Schlüssel abzurufen.
    • Codeintegritätsrichtlinien: Eine Codeintegritätsrichtlinie schränkt die Software ein, die auf einem geschützten Host ausgeführt werden kann. Wenn HGS für die Verwendung der TPM-Bescheinigung konfiguriert ist, müssen geschützte Hosts für die Verwendung einer vom HGS-Server autorisierten Codeintegritätsrichtlinie konfiguriert werden. Sie können den Speicherort von Codeintegritätsrichtlinien in VMM angeben und sie auf Ihren Hosts bereitstellen. Dies ist optional und nicht erforderlich, um einen geschützten Fabric zu verwalten.
    • Abschirmende Hilfs-VHD für virtuelle Computer: Eine speziell vorbereitete virtuelle Festplatte, die zum Konvertieren der vorhandenen virtuellen Computer in abgeschirmten virtuellen Computern verwendet wird. Sie müssen diese Einstellung konfigurieren, wenn Sie die vorhandenen virtuellen Computer abschirmen möchten.
  2. Konfigurieren der Cloud: Wenn der geschützte Host in einer VMM-Cloud enthalten ist, müssen Sie die Cloud aktivieren, um abgeschirmte virtuelle Computer zu unterstützen.

Vor der Installation

Stellen Sie sicher, dass Sie den Host-Überwachungsdienst bereitgestellt und konfiguriert haben, bevor Sie fortfahren. Weitere Informationen zum Konfigurieren von HGS finden Sie in der Windows Server-Dokumentation.

Stellen Sie außerdem sicher, dass alle Hosts, die zu bewachten Hosts werden, die Voraussetzungen für bewachte Hosts erfüllen:

  • Betriebssystem: Hostserver müssen Windows Server Datacenter ausführen. Es wird empfohlen, Server Core für geschützte Hosts zu verwenden.
  • Rollen und Features: Hyper-V-Rolle und das Feature „Hyper-V-Unterstützung für die Host-Überwachung“. Mit Host-Überwachungsunterstützung für Hyper-V kann der Host mit HGS kommunizieren, um seinen Zustand zu bestätigen und Schlüssel für abgeschirmte virtuelle Computer anzufordern. Wenn Ihr Host Nano Server ausführt, sollten die Pakete Compute, SCVMM-Package, SCVMM-Compute, SecureStartup und ShieldedVM installiert sein.
  • TPM-Nachweis: Wenn Ihr HGS für die Verwendung der TPM-Bescheinigung konfiguriert ist, müssen die Hostserver Folgendes:
    • Verwenden von UEFI 2.3.1c und einem TPM 2.0-Modul
    • Starten im UEFI-Modus (nicht BIOS oder Legacy-Modus)
    • Aktivieren des sicheren Starts
  • HGS-Registrierung: Hyper-V-Hosts müssen bei HGS registriert werden. Die Art der Registrierung richtet sich danach, ob HGS einen AD‑ oder einen TPM-Nachweis verwendet. Weitere Informationen
  • Livemigration: Wenn Sie abgeschirmte virtuelle Computer live migrieren möchten, müssen Sie zwei oder mehr geschützte Hosts bereitstellen.
  • Domäne: Geschützte Hosts und der VMM-Server müssen sich in der gleichen Domäne oder in Domänen mit einer bidirektionale Vertrauensstellung befinden.

Konfigurieren globaler HGS-Einstellungen

Bevor Sie geschützte Hosts Ihrem VMM Compute Fabric hinzufügen können, müssen Sie VMM mit Informationen über das HGS für den Fabric konfigurieren. Das gleiche HGS wird für alle von VMM verwalteten geschützten Hosts verwendet.

  1. Rufen Sie die URLs für den Nachweis und Schlüsselschutz für Ihren Fabric von Ihrem HGS-Admin ab.

  2. Klicken Sie in der VMM-Konsole auf Einstellungen>Einstellungen für den Host-Überwachungsdienst.

  3. Geben Sie die Nachweis‑ und Schlüsselschutz-URLs in die entsprechenden Felder ein. Sie müssen die Codeintegritätsrichtlinien und VM-Abschnitte für abschirmenden Hilfs-VHD derzeit nicht konfigurieren.

    Screenshot des Fensters „Globale HGS-Einstellungen“

  4. Klicken Sie auf Fertig stellen, um die Konfiguration zu speichern.

Hinzufügen oder Bereitstellen eines neuen überwachten Hosts

  1. Hinzufügen des Hosts:
    • Wenn Sie einen vorhandenen Server hinzufügen möchten, auf dem Windows Server als geschützter Hyper-V-Host ausgeführt wird, fügen Sie ihn dem Fabric hinzu.
    • Wenn Sie einen Hyper-V-Host von einem Bare-Metal-Computer bereitstellen möchten, befolgen Sie diese Voraussetzungen und Anweisungen.

      Hinweis

      Sie können den Host als geschützt bereitstellen, wenn Sie ihn bereitstellen (Ressourcen-Assistent hinzufügen >Betriebssystemeinstellungen>Konfigurieren als geschützter Host).

  2. Fahren Sie mit dem nächsten Abschnitt fort, um den Host als geschützten Host zu konfigurieren.

Konfigurieren eines vorhandenen Hosts als geschützter Host

Um einen vorhandenen, von VMM verwalteten Hyper-V-Host als überwachten Host zu konfigurieren, führen Sie die folgenden Schritte aus:

  1. Versetzen Sie das Gerät in den Wartungsmodus.

  2. Klicken Sie unter Alle Hosts mit der rechten Maustaste auf den Host > Eigenschaften>Host-Überwachungsdienst.

    Screenshot der Option „Host als geschützten Host aktivieren“

  3. Wählen Sie diese Option aus, um das Host-Überwachungsunterstützung für Hyper-V zu aktivieren und den Host zu konfigurieren.

    Hinweis

    • Die globalen Nachweis‑ und Schlüsselschutz-Server-URLs werden auf dem Host festgelegt.
    • Wenn Sie diese URLs außerhalb der VMM-Konsole ändern, müssen Sie sie auch in VMM aktualisieren. Wenn Sie dies nicht tun, platziert VMM keine abgeschirmten virtuellen Computer auf dem Host, bis die URLs wieder übereinstimmen. Sie können das Kontrollkästchen Aktivieren auch deaktivieren und erneut aktivieren, um den Host mit den in VMM konfigurierten URLs neu zu konfigurieren.
  4. Wenn Sie VMM zur Verwaltung von Richtlinien zur Codeintegrität verwenden, können Sie das zweite Kontrollkästchen aktivieren und die entsprechende Richtlinie für das System auswählen.

  5. Wählen Sie zum Aktualisieren der Host-Konfiguration OK aus.

  6. Beenden Sie den Wartungsmodus für die Host.

VMM überprüft, ob der Host den Nachweis besteht, wenn Sie ihn hinzufügen und bei jeder Aktualisierung des Host-Status. VMM stellt nur abgeschirmte virtuelle Computer auf Hosts bereit und migriert die, die einen Nachweis bestanden haben. Sie können den Nachweisstatus eines Hosts in Eigenschaften>Status>HGS Client Overall überprüfen.

Aktivieren von geschützten Hosts in einer VMM-Cloud

Aktivieren einer Cloud, um geschützte Hosts zu unterstützen:

  1. Wählen Sie in der VMM-Konsole VMs und Dienste>Clouds aus. Klicken Sie mit der rechten Maustaste auf den Cloudnamen >Eigenschaften.
  2. Wählen Sie unter Allgemein>Abgeschirmte VM-Unterstützung Auf dieser privaten Cloud unterstützt aus.

Verwalten und Bereitstellen von Codeintegritätsrichtlinien mit VMM

In geschützten Fabrics, die für die Verwendung von TPM-Nachweisen konfiguriert sind, muss jeder Host mit einer Codeintegritätsrichtlinie konfiguriert werden, der der Host-Überwachungsdienst vertraut. Um die Verwaltung von Richtlinien zur Codeintegrität zu vereinfachen, können Sie optional VMM verwenden, um neue oder aktualisierte Richtlinien auf Ihren geschützten Hosts bereitzustellen.

Führen Sie die folgenden Schritte aus, um eine Richtlinie zur Codeintegrität auf einem geschützten Host zu implementieren, der von VMM verwaltet wird:

  1. Erstellen einer Codeintegritätsrichtlinie für jeden Referenzhost in Ihrer Umgebung. Sie benötigen für jede einzelne Hardware‑ und Softwarekonfiguration Ihrer geschützten Hosts eine andere CI-Richtlinie.
  2. Speichern Sie die CI-Richtlinien in einer sicheren Dateifreigabe. Für die Computerkonten für jeden geschützten Host wird Lesezugriff für die Freigabe benötigt. Nur vertrauenswürdige Administratoren sollten Schreibzugriff haben.
  3. Klicken Sie in der VMM-Konsole auf Einstellungen>Einstellungen für den Host-Überwachungsdienst.
  4. Wählen Sie im Abschnitt „Codeintegritätsrichtlinien“ die Option Hinzufügen aus und geben Sie einen Anzeigenamen und den Pfad zu einer CI-Richtlinie an. Wiederholen Sie diesen Schritt für jede eindeutige CI-Richtlinie. Achten Sie darauf, Ihre Richtlinien so zu benennen, dass Sie erkennen können, welche Richtlinie auf welche Hosts angewendet werden sollte. Screenshot des Hinzufügens einer Codeintegritätsrichtlinie
  5. Klicken Sie auf Fertig stellen, um die Konfiguration zu speichern.

Führen Sie nun für jeden bewachten Host folgende Schritte aus, um eine Richtlinie zur Codeintegrität anzuwenden:

  1. Versetzen Sie das Gerät in den Wartungsmodus.

  2. Klicken Sie unter Alle Hosts mit der rechten Maustaste auf den Host > Eigenschaften>Host-Überwachungsdienst.

    Screenshot des Anwendens einer Codeintegritätsrichtlinie

  3. Wählen Sie diese Option aus, um den Host mit einer Codeintegritätsrichtlinie zu konfigurieren. Wählen Sie dann die entsprechende Richtlinie für das System aus.

  4. Wählen Sie OK aus, um die Konfigurationsänderungen anzuwenden. Starten Sie den Host neu, um die neue Richtlinie anzuwenden.

  5. Beenden Sie den Wartungsmodus für die Host.

Warnung

Stellen Sie sicher, dass Sie die richtigeCodeintegritätsrichtlinie für den Host auswählen. Wenn eine inkompatible Richtlinie auf den Host angewendet wird, funktionieren einige Anwendungen, Treiber oder Betriebssystemkomponenten möglicherweise nicht mehr.

Wenn Sie die Richtlinie zur Codeintegrität in der Dateifreigabe aktualisieren und auch die geschützten Hosts aktualisieren möchten, können Sie dies tun, indem Sie folgende Schritte ausführen:

  1. Versetzen Sie das Gerät in den Wartungsmodus.
  2. Klicken Sie in Alle Hosts mit der rechten Maustaste auf den Host, und wählen Sie >Aktuelle Codeintegritätsrichtlinie anwenden aus.
  3. Beenden Sie den Wartungsmodus für die Host.

Nächste Schritte