在 VMM 中预配受保护的主机

  • 项目

本文介绍如何在 System Center Virtual Machine Manager (VMM) 计算构造中部署受保护的 Hyper-V 主机。 详细了解 受保护的构造。

可通过几种方法在 VMM 构造中设置受保护的 Hyper-V 主机。

  • 将现有主机配置为受保护的主机:可以将现有主机配置为运行受防护的 VM。
  • 添加或预配新的受保护的主机:此主机可以是:
    • 现有 Windows Server 计算机(具有或不具有 Hyper-V 角色)
    • 裸机计算机

在 VMM 构造中设置受保护的主机,如下所示:

  1. 配置全局 HGS 设置:VMM 将所有受保护的主机连接到同一主机保护者服务(HGS)服务器,以便成功在主机之间迁移受防护的 VM。 可以指定应用于所有受保护的主机的全局 HGS 设置,并且可以指定替代全局设置的特定于主机的设置。 设置包括:

    • 证明 URL:主机用于连接到 HGS 证明服务的 URL。 此服务授权主机运行受防护的 VM。
    • 密钥保护服务器 URL:主机用于检索解密 VM 所需的密钥的 URL。 主机必须通过证明来检索密钥。
    • 代码完整性策略:代码完整性策略限制可在受保护的主机上运行的软件。 当 HGS 配置为使用 TPM 证明时,受保护的主机必须配置为使用由 HGS 服务器授权的代码完整性策略。 可以在 VMM 中指定代码完整性策略的位置,并将其部署到主机。 这是可选的,无需管理受保护的构造。
    • VM 防护帮助程序 VHD:一个专门准备的虚拟硬盘,用于将现有 VM 转换为受防护的 VM。 如果要保护现有 VM,则必须配置此设置。

  2. 配置云:如果将受保护的主机包含在 VMM 云中,则需要使云支持受防护的 VM。

开始之前

在继续操作之前,请确保已部署并配置主机保护者服务。 详细了解 如何在 Windows Server 文档中配置 HGS。

此外,请确保任何将成为受保护的主机的主机满足受保护的主机先决条件:

  • 操作系统:主机服务器必须运行 Windows Server Datacenter。 建议将服务器核心用于受保护的主机。
  • 角色和功能:主机服务器应运行 Hyper-V 角色和主机保护者 Hyper-V 支持功能。 主机保护者 Hyper-V 支持允许主机与 HGS 通信,以证明其运行状况并请求受防护 VM 的密钥。 如果主机正在运行 Nano Server,则应安装计算、SCVMM 包、SCVMM-Compute、SecureStartup 和 ShieldedVM 包。
  • TPM 证明:如果 HGS 配置为使用 TPM 证明,则主机服务器必须:
    • 使用 UEFI 2.3.1c 和 TPM 2.0 模块
    • 在 UEFI 模式下启动(而不是 BIOS 或 模式)
    • 启用安全启动
  • HGS 注册:Hyper-V 主机必须向 HGS 注册。 注册方式取决于 HGS 是使用 AD 还是 TPM 证明。 了解详细信息
  • 实时迁移:如果要实时迁移受防护的 VM,则需要部署两个或多个受保护的主机。
  • :受保护的主机和 VMM 服务器必须位于同一域或具有双向信任的域中。

配置全局 HGS 设置

必须先使用有关构造 HGS 的信息配置 VMM,然后才能将受保护的主机添加到 VMM 计算构造。 同一 HGS 将用于 VMM 管理的所有受保护的主机。

  1. 从 HGS 管理员处获取构造的证明和密钥保护 URL。

  2. 在 VMM 控制台中,选择“设置>主机保护者服务设置”。

  3. 在相应的字段中输入证明和密钥保护 URL。 目前无需配置代码完整性策略和 VM 防护帮助程序 VHD 部分。

    “全局 HGS 设置”窗口的屏幕截图。

  4. 选择“完成”保存配置

添加或预配新的受保护的主机

  1. 添加主机:
    • 如果要将运行 Windows Server 的现有服务器添加为受保护的 Hyper-V 主机, 请将其添加到构造中。
    • 如果要从裸机计算机预配 Hyper-V 主机, 请遵循以下先决条件和说明

      注意

      预配主机时,可以将主机部署为受保护的主机(添加资源向导 >OS 设置>配置为受保护的主机)。

  2. 继续下一部分,将主机配置为受保护的主机。

将现有主机配置为受保护的主机

若要将 VMM 管理的现有 Hyper-V 主机配置为受保护的主机,请完成以下步骤:

  1. 将主机置于 维护模式

  2. 在“所有主机”中,右键单击主机 >“属性”>“主机保护者服务”。

    将主机启用为受保护的主机的屏幕截图。

  3. 选择以启用主机保护者 Hyper-V 支持功能并配置主机。

    注意

    • 将在主机上设置全局证明和密钥保护服务器 URL。
    • 如果在 VMM 控制台外部修改这些 URL,则还需要在 VMM 中更新它们。 否则,在 URL 再次匹配之前,VMM 不会将受防护的 VM 放置在主机上。 还可以取消选中并重新选中 “启用 ”框,以使用 VMM 中配置的 URL 重新配置主机。

  4. 如果使用 VMM 管理代码完整性策略,则可以启用第二个复选框,并为系统选择相应的策略。

  5. 选择“确定以更新主机的配置。

  6. 使主机退出维护模式。

VMM 检查在添加主机时以及每次刷新主机状态时是否通过证明。 VMM 仅在已通过证明的主机上部署和迁移受防护的 VM。 可以在“属性状态 HGS 客户端总体>中检查主机的证明状态。>

在 VMM 云上启用受保护的主机

启用云以支持受保护的主机:

  1. 在 VMM 控制台中,选择 VM 和服务>云。 右键单击云名称 >“属性”。
  2. “常规>受防护的 VM 支持”中,选择此私有云上受支持。

使用 VMM 管理和部署代码完整性策略

在配置为使用 TPM 证明的受保护的构造中,每个主机都必须配置由主机保护者服务信任的代码完整性策略。 为了简化代码完整性策略的管理,可以选择使用 VMM 将新的或更新的策略部署到受保护的主机。

若要将代码完整性策略部署到 VMM 管理的受保护的主机,请完成以下步骤:

  1. 为环境中的每个引用主机创建代码完整性策略 。 需要针对受保护的主机的每个唯一硬件和软件配置使用不同的 CI 策略。
  2. 将 CI 策略存储在安全文件共享中。 每个受保护的主机的计算机帐户都需要 对共享具有读取访问权限 。 只有受信任的管理员才应具有写入访问权限。
  3. 在 VMM 控制台中,选择“设置>主机保护者服务设置”。
  4. 在“代码完整性策略”部分下,选择“ 添加 ”并指定一个友好名称和 CI 策略的路径。 对每个唯一 CI 策略重复此步骤。 确保以有助于确定应应用于哪些主机的策略的方式命名策略。 添加代码完整性策略的屏幕截图。
  5. 选择“完成”保存配置

现在,对于每个受保护的主机,请完成以下步骤以应用代码完整性策略:

  1. 将主机置于 维护模式

  2. 在“所有主机”中,右键单击主机 >“属性”>“主机保护者服务”。

    应用代码完整性策略的屏幕截图。

  3. 选择此选项可使用代码完整性策略配置主机。 然后为系统选择适当的策略。

  4. 选择“确定以应用配置更改。 主机可以重启以应用新策略。

  5. 使主机退出维护模式。

警告

确保为主机选择正确的代码完整性策略。 如果将不兼容的策略应用于主机,则某些应用程序、驱动程序或操作系统组件可能不再有效。

如果更新文件共享中的代码完整性策略并想要更新受保护的主机,可以通过完成以下步骤来执行此操作:

  1. 将主机置于 维护模式
  2. 在“所有主机”中,右键单击主机 >“应用最新的代码完整性策略”。
  3. 使主机退出维护模式。

后续步骤