Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

Beveiligde hosts inrichten in VMM

Rayne Wiselman|Laatst bijgewerkt: 24-11-2016
|
1 Inzender

Van toepassing op: System Center 2016 - Virtual Machine Manager

In dit artikel wordt beschreven hoe u beveiligde Hyper-V-hosts implementeert in de infrastructuurresources van System Center 2016 - Virtual Machine Manager (VMM). Meer informatie over beveiligde infrastructuurresources in het scenario-overzicht.

Beveiligde Hyper-V-hosts kunnen op verschillende manieren in VMM-infrastructuurresources worden ingesteld.

  • Een bestaande host configureren als beveiligde host: u kunt een bestaande host configureren om afgeschermde VM's uit te voeren.
  • Een nieuwe beveiligde host toevoegen of inrichten: deze host is mogelijk:
    • Een bestaande Windows Server-computer (met of zonder de Hyper-V-functie)
    • Een bare-metalcomputer

U stelt als volgt beveiligde hosts in de VMM-fabric in:

  1. Algemene instellingen voor de HGS configureren: VMM verbindt alle beveiligde hosts met dezelfde HGS-server, zodat u afgeschermde VM's tussen de hosts kunt migreren. U geeft algemene HGS-instellingen op die van toepassing zijn op alle beveiligde hosts, hoewel u hostspecifieke instellingen kunt opgeven die de algemene instellingen overschrijven. Instellingen zijn onder andere:

    • Attestation-URL: de URL die de host gebruikt voor verbinding met de attestation-service van de HGS. Deze service staat een host toe om afgeschermde VM's uit te voeren.
    • URL van Key Protection-server: de URL die de host gebruikt voor het ophalen van de sleutel die nodig is voor het ontsleutelen van virtuele machines. De host moet attestation doorgeven om sleutels op te halen.
    • Code-integriteitsbeleid: een code-integriteitsbeleid beperkt de software die kan worden uitgevoerd op een beveiligde host. Wanneer HGS is geconfigureerd voor het gebruik van TPM-attestation, moeten beveiligde hosts worden geconfigureerd voor gebruik van een code-integriteitsbeleid dat is geautoriseerd door de HGS-server. U kunt de locatie van code-integriteitsbeleid in VMM opgeven en dit implementeren op uw hosts. Dit is optioneel en niet vereist voor het beheren van beveiligde infrastructuurresources.
    • VHD-afschermingshelper voor VM: een speciaal voorbereide virtuele harde schijf die wordt gebruikt voor het converteren van bestaande VM’s naar afgeschermde VM’s. U moet deze instelling configureren als u bestaande VM’s wilt beschermen.
  2. De cloud configureren: als de beveiligde host wordt opgenomen in een VMM-cloud, moet u de cloud inschakelen om afgeschermde VM's te ondersteunen.

Voordat u begint

Zorg ervoor dat u de Host Guardian-service hebt geïmplementeerd en geconfigureerd voordat u verdergaat. Meer informatie over het configureren van de HGS in de documentatie van Windows Server.

Zorg er bovendien voor dat alle hosts die beschermde hosts worden, voldoen aan de vereisten voor beveiligde hosts:

  • Besturingssysteem: op hostservers moet Windows Server 2016 Datacenter Edition worden uitgevoerd. Het verdient aanbeveling Server Core of Nano Server te gebruiken voor beveiligde hosts.
  • Rollen en functies: op hostservers moet de Hyper-V-rol en de functie Host Guardian Hyper-V-ondersteuning worden uitgevoerd. Dankzij de Host Guardian Hyper-V-ondersteuning kan de host communiceren met de HGS om de status te bevestigen en sleutels voor afgeschermde virtuele machines aan te vragen. Als op de host Nano Server wordt uitgevoerd, moeten hierop de pakketten Compute, SCVMM-Package, SCVMM-Compute, SecureStartup en ShieldedVM zijn geïnstalleerd.
  • TPM-attestation: als uw HGS is geconfigureerd voor het gebruik van TPM-attestation, moeten de hostservers:
    • UEFI 2.3.1c en een TPM 2.0-module gebruiken
    • Opstarten in UEFI-modus (niet in BIOS- of 'legacy'-modus)
    • Beveiligd opstarten inschakelen
  • HGS-registratie: Hyper-V-hosts moeten bij de HGS worden geregistreerd. Hoe ze worden geregistreerd, is afhankelijk van het feit of de HGS gebruikmaakt van AD- of TPM-attestation. Meer informatie
  • Livemigratie: als u een livemigratie van afgeschermde VM's wilt uitvoeren, moet u twee of meer beveiligde hosts implementeren.
  • Domein: beveiligde hosts en de VMM-server moeten zich in hetzelfde domein bevinden of in domeinen met een tweerichtingsvertrouwensrelatie.

Algemene HGS-instellingen configureren

Voordat u beveiligde hosts aan uw VMM-berekeningsinfrastructuurresources kunt toevoegen, moet u VMM configureren met informatie over de Host Guardian-service voor de infrastructuurresources. Dezelfde HGS wordt gebruikt voor alle beveiligde hosts die worden beheerd door VMM.

  1. U moet de URL's van de attestation-server en Key Protection-server voor uw infrastructuurresources ontvangen van uw HGS-beheerder.
  2. Klik in de VMM-console op Instellingen > Instellingen voor Host Guardian-service.
  3. Voer de URL's van de attestation-server en Key Protection-server in de desbetreffende velden in. U hoeft de secties voor code-integriteitsbeleid en de VHD-afschermingshelper voor de VM op dit moment niet te configureren.

    Het venster Algemene HGS-instellingen

  4. Klik op Voltooien om de configuratie op te slaan.

Een nieuwe beveiligde host toevoegen of inrichten

  1. Voeg de host toe:
    • Als u een bestaande server wilt toevoegen waarop Windows Server 2016 wordt uitgevoerd als een beveiligde Hyper-V-host, voegt u deze toe aan de infrastructuurresources.
    • Als u een Hyper-V-host wilt inrichten vanaf een bare-metalcomputer, volgt u deze vereisten en instructies. Denk eraan dat u de host als een beveiligde host kunt implementeren wanneer u deze inricht (Wizard Resource toevoegen > Instellingen van besturingssysteem > Configureren als beveiligde host.
  2. Ga verder met de volgende sectie om de host te configureren als een beveiligde host.

Een bestaande host als beveiligde host configureren

Als u een bestaande Hyper-V-host die wordt beheerd door VMM wilt configureren als beveiligde host, voert u de volgende stappen uit:

  1. Plaats de host in de onderhoudsmodus.
  2. Klik in Alle hosts met de rechtermuisknop op de host > Eigenschappen > Host Guardian-service.

    Een host als beveiligde host inschakelen

  3. Selecteer deze optie om de Host Guardian Hyper-V-ondersteuningsfunctie in te schakelen en de host te configureren. Merk op dat:

    • De algemene URL's van de attestation-server en Key Protection-server worden ingesteld op de host.
    • Als u deze URL's buiten de VMM-console wijzigt, moet u ze ook in VMM bijwerken. Als u dit niet doet, plaatst VMM pas afgeschermde VM's op de host als de URL's weer overeenkomen. U kunt ook het selectievakje 'Inschakelen' uitschakelen en weer inschakelen om de host opnieuw te configureren met de URL's die zijn geconfigureerd in VMM.
  4. Als u VMM gebruikt voor het beheren van code-integriteitsbeleidregels, kunt u het tweede selectievakje inschakelen en het juiste beleid voor het systeem selecteren.
  5. Klik op OK om de configuratie van de host bij te werken.
  6. Hef de onderhoudsmodus van de host op.

VMM controleert of de host slaagt voor de attestation bij het toevoegen van de host en elke keer dat de hoststatus wordt vernieuwd. VMM implementeert en migreert afgeschermde virtuele machines alleen op hosts die geslaagd zijn voor de attestation. U kunt de status van de attestation van een host controleren in Eigenschappen > Status > Algemene instellingen van HGS-client.

Beveiligde hosts inschakelen op een VMM-cloud

Een cloud inschakelen voor de ondersteuning van beveiligde hosts:

  1. Klik in de VMM-console op VM's en services > Clouds. Klik met de rechtermuisknop op de cloudnaam > Eigenschappen.
  2. Selecteer in Algemeen > Ondersteuning voor afgeschermde VM de optie Ondersteund op deze privécloud.

Code-integriteitsbeleid beheren en implementeren met VMM

In beveiligde infrastructuurresources die zijn geconfigureerd voor het gebruik van TPM-attestation, moet elke host worden geconfigureerd met een code-integriteitsbeleid dat wordt vertrouwd door de Host Guardian-service. Om het beheer van code-integriteitbeleid te vereenvoudigen, kunt u eventueel VMM gebruiken om nieuwe of bijgewerkte beleidsregels op uw beveiligde hosts te implementeren.

Voer de volgende stappen uit om een code-integriteitsbeleid te implementeren op een beveiligde host die wordt beheerd door VMM:

  1. Maak een code-integriteitsbeleid voor elke hostverwijzing in uw omgeving. U hebt een ander code-integriteitsbeleid nodig voor elke unieke hardware- en softwareconfiguratie van uw beveiligde hosts.
  2. Sla de code-integriteitsbeleidsregels op in een beveiligde bestandsshare. De computeraccounts voor elke beveiligde host moeten leestoegang tot de share hebben. Alleen vertrouwde beheerders moeten schrijftoegang hebben.
  3. Klik in de VMM-console op Instellingen > Instellingen voor Host Guardian-service.
  4. Klik in de sectie Code-integriteitsbeleidsregels op Toevoegen en geef een beschrijvende naam op en het pad naar een code-integriteitsbeleid. Herhaal deze stap voor elk unieke code-integriteitsbeleid. Geef de beleidsregels een naam op basis waarvan u kunt bepalen welk beleid op welke host moet worden toegepast. Een code-integriteitsbeleid toevoegen
  5. Klik op Voltooien om de configuratie op te slaan.

Voer nu voor elke beveiligde host de volgende stappen uit om een code-integriteitsbeleid toe te passen:

  1. Plaats de host in de onderhoudsmodus.
  2. Klik in Alle hosts met de rechtermuisknop op de host > Eigenschappen > Host Guardian-service.

    Een code-integriteitsbeleid toepassen

  3. Schakel dit selectievakje in voor de optie om de host te configureren met een code-integriteitsbeleid en selecteer vervolgens het desbetreffende beleid voor het systeem.

  4. Klik op OK om de configuratiewijziging toe te passen. De host wordt mogelijk opnieuw opgestart om het nieuwe beleid toe te passen.
  5. Hef de onderhoudsmodus van de host op.
Waarschuwing

Zorg ervoor dat u het juiste code-integriteitsbeleid selecteert voor de host. Als een incompatibel beleid wordt toegepast op de host, werken sommige toepassingen, stuurprogramma's of besturingssysteemonderdelen niet meer.

Als u het code-integriteitsbeleid in de bestandsshare bijwerkt en ook de beveiligde hosts wilt bijwerken, kunt u dit doen door de volgende stappen uit te voeren:

  1. Plaats de host in de onderhoudsmodus.
  2. Klik bij Alle hosts met de rechtermuisknop op de host en selecteer Het meest recente code-integriteitsbeleid toepassen.
  3. Hef de onderhoudsmodus van de host op.

Volgende stappen

© 2017 Microsoft