第 1 代虚拟机安全设置
适用范围:Windows Server 2022、Windows Server 2016、Microsoft Hyper-V Server 2016、Windows Server 2019、Microsoft Hyper-V Server 2019
使用 Hyper-V 管理器中的第 1 代虚拟机安全设置来帮助保护虚拟机的数据和状态。
Hyper-V 管理器中的加密支持设置
可以通过选择以下加密支持选项来帮助保护虚拟机的数据和状态。
- 加密状态和虚拟机迁移流量 - 对虚拟机写入磁盘时的保存状态和实时迁移流量进行加密。
若要启用此选项,必须为虚拟机添加密钥存储驱动器。
Hyper-V 管理器中的密钥存储驱动器
密钥存储驱动器为虚拟机提供了一个小型驱动器,用于存储 BitLocker 密钥。 这使虚拟机可以对其操作系统磁盘进行加密,而无需虚拟化的受信任的平台模块 (TPM) 芯片。 密钥存储驱动器的内容使用密钥保护程序进行加密。 密钥保护程序授权 Hyper-V 主机运行虚拟机。 密钥存储驱动器和密钥保护程序的内容都作为虚拟机的运行时状态的一部分进行存储。
要解密密钥存储驱动器的内容并启动虚拟机,Hyper-V 主机必须为以下之一:
- 该虚拟机的经授权的受保护结构的一部分,或
- 拥有一个虚拟机保护者的私钥。
若要了解有关受保护的结构的详细信息,请参阅安全和保障中的受防护的 VM 简介部分。
可以将密钥存储驱动器添加到虚拟机的某个 IDE 控制器上的空槽中。 要执行此操作,请单击“添加密钥存储驱动器”,将密钥存储驱动器添加到此虚拟机的第一个可用 IDE 控制器槽中。