Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

De Host Guardian-Service beheren

Ryan Puffer|Laatst bijgewerkt: 14-4-2017
|
1 Inzender

Van toepassing op: WindowsServer 2016

De Host Guardian-Service (HGS) is de kern van de oplossing beveiligde fabric. Het is verantwoordelijk voor om ervoor te zorgen dat Hyper-V-hosts in de fabric bekend zijn met de hoster of enterprise en uitvoeren van vertrouwde software en voor het beheren van de sleutels die worden gebruikt om op te starten afgeschermde VM's. Wanneer een tenant besluit om u voor het hosten van hun afgeschermde VM's te vertrouwen, zijn ze hun vertrouwen in uw configuratie en beheer van de Host Guardian-Service plaatsen. Daarom is het zeer belangrijk dat u aanbevolen procedures volgt bij het beheren van de Host Guardian-Service om te controleren of de beveiliging, beschikbaarheid en betrouwbaarheid van uw beveiligde fabric. De richtlijnen in de volgende secties worden de meest voorkomende operationele problemen ondervinden beheerders van HGS.

Beheerderstoegang tot de HGS beperken

Vanwege de beveiliging gevoelige aard van HGS is het belangrijk om ervoor te zorgen dat de beheerders zeer betrouwbare lid zijn van uw organisatie en, in het ideale geval scheiden van de beheerders van uw fabric-bronnen. Bovendien wordt het aanbevolen dat u alleen HGS beheren van beveiligde werkstations met beveiligde communicatie-protocollen, zoals WinRM via HTTPS.

Scheiding van taken

Bij het instellen van HGS, krijgt u de optie voor het maken van een geïsoleerde Active Directory-forest voor HGS of HGS toevoegen aan een bestaande, vertrouwd domein. Deze beslissing, evenals de functies die u de beheerders toewijzen in uw organisatie bepaalt de grens van de vertrouwensrelatie voor HGS. Iedereen die toegang heeft tot HGS, of rechtstreeks als een beheerder of indirect als beheerder van iets anders (bijvoorbeeld Active Directory) die invloed kan hebben op HGS, de controle heeft over uw beveiligde fabric. HSG beheerders kiezen welke Hyper-V-hosts afgeschermde VM's uitvoeren en beheren van de certificaten nodig om opnieuw te starten afgeschermde VM's zijn gemachtigd. Een aanvaller of kwaadwillende admin die toegang tot HGS heeft kunt bevoegdheid gebruiken voor het autoriseren van verdachte hosts afgeschermde VM's worden uitgevoerd, een denial of service-aanval starten door het verwijderen van sleutelmateriaal en meer.

Om te voorkomen dat dit risico, is het sterk aanbevolen dat u de overlapping tussen de beheerders van uw HGS (met inbegrip van het domein waaraan de HGS is gekoppeld) te beperken en Hyper-V-omgevingen. Door ervoor te zorgen dat er geen een beheerder toegang heeft tot beide systemen, moet de aanvaller binnendringen 2 verschillende accounts van 2 personen zijn missie voor het wijzigen van het beleid HGS voltooid. Dit betekent ook dat de domein- en enterprise admins voor de twee Active Directory-omgevingen moet niet dezelfde persoon, noch HGS hetzelfde Active Directory-forest als uw Hyper-V-hosts gebruiken moeten. Iedereen zichzelf toegang tot meer bronnen geven kan vormt een beveiligingsrisico.

Met behulp van net voldoende beheer

HSG wordt geleverd met Just Enough Administration (JEA)-functies die zijn ingebouwd in om te helpen u veiliger te beheren. JEA helpt doordat u admin taken overdragen aan niet-beheerders gebruikers, wat betekent dat beheerders van de hele machine of het domein moet niet daadwerkelijk worden door de mensen die HGS beleid beheren. JEA werkt door te beperken welke opdrachten die een gebruiker in een PowerShell-sessie uitvoeren kan en de opdrachten die normaal gesproken vragen om benodigde bevoegdheden moeten uitvoeren met behulp van een tijdelijke lokaal account achter de schermen (uniek voor elke gebruikerssessie).

HSG wordt geleverd met 2 JEA functies vooraf geconfigureerd:

  • Beheerders HGS waarmee gebruikers voor het beheren van alle beleidsregels voor HGS, met inbegrip van nieuwe hosts uit te voeren autoriseren afgeschermde VM's.
  • HSG revisoren alleen waarmee gebruikers het recht om bestaande controlebeleid. Ze kunnen niet wijzigingen aanbrengt in de configuratie van de HGS.

Als u wilt JEA gebruiken, moet u eerst een nieuwe gebruiker maken en ze lid zijn van de HSG-Administrators of de HGS revisoren groep. Als u gebruikt Install-HgsServerals u een nieuw forest voor HGS instelt, wordt deze groepen de naam 'servicenamebeheerders ' en 'servicenamerevisoren ' respectievelijk waar servicename is de naam van het netwerk van het cluster HGS. Als u de HGS toegevoegd aan een bestaand domein, moet u verwijzen naar de namen van de groepen die u hebt opgegeven inInitialize-HgsServer.

Standaardgebruikers voor de HSG-beheerder en revisor rollen maken

$hgsServiceName = (Get-ClusterResource HgsClusterResource | Get-ClusterParameter DnsName).Value
$adminGroup = $hgsServiceName + "Administrators"
$reviewerGroup = $hgsServiceName + "Reviewers"

New-ADUser -Name 'hgsadmin01' -AccountPassword (Read-Host -AsSecureString -Prompt 'HGS Admin Password') -ChangePasswordAtLogon $false -Enabled $true
Add-ADGroupMember -Identity $adminGroup -Members 'hgsadmin01'

New-ADUser -Name 'hgsreviewer01' -AccountPassword (Read-Host -AsSecureString -Prompt 'HGS Reviewer Password') -ChangePasswordAtLogon $false -Enabled $true
Add-ADGroupMember -Identity $reviewerGroup -Members 'hgsreviewer01'

Met de rol van revisor controlebeleid

Op een externe computer die netwerkverbinding met HGS heeft, voer de volgende opdrachten in PowerShell de JEA-sessie met de revisor referenties invoeren. Het is belangrijk te weten dat omdat het account revisor slechts een standaardgebruiker is, het kan niet worden gebruikt voor normale Windows PowerShell voor externe toegang, extern bureaublad-toegang tot HGS, enzovoort.

Enter-PSSession -ComputerName <hgsnode> -Credential '<hgsdomain>\hgsreviewer01' -ConfigurationName 'microsoft.windows.hgs'

U kunt controleren welke opdrachten zijn toegestaan in de sessie met Get-Commanden voer een toegestane opdrachten om te controleren van de configuratie. In het onderstaande voorbeeld, zijn we controleren welke beleidsregels zijn ingeschakeld op de HGS.

Get-Command

Get-HgsAttestationPolicy

Typ de opdracht Exit-PSSessionof de alias exit, wanneer u klaar bent met de sessie JEA werkt.

Een nieuw beleid toevoegen aan de HGS met behulp van de rol administrator

Als u wilt wijzigen daadwerkelijk een beleid, moet u verbinding maken met de JEA-eindpunt met een identiteit die deel uitmaakt van de groep 'hgsAdministrators'. In het onderstaande voorbeeld we zien hoe u een nieuwe code integrity-beleid kopiëren naar de HGS en registreren met behulp van JEA. De syntaxis van de afwijken van wat u om te worden gebruikt. Dit is geschikt voor een aantal van de beperkingen in JEA zoals geen toegang hebben tot de volledige bestandssysteem.

$cipolicy = Get-Item "C:\temp\cipolicy.p7b"
$session = New-PSSession -ComputerName <hgsnode> -Credential '<hgsdomain>\hgsadmin01' -ConfigurationName 'microsoft.windows.hgs'
Copy-Item -Path $cipolicy -Destination 'User:' -ToSession $session

# Now that the file is copied, we enter the interactive session to register it with HGS
Enter-PSSession -Session $session
Add-HgsAttestationCiPolicy -Name 'New CI Policy via JEA' -Path 'User:\cipolicy.p7b'

# Confirm it was added successfully
Get-HgsAttestationPolicy -PolicyType CiPolicy

# Finally, remove the PSSession since it is no longer needed
Exit-PSSession
Remove-PSSession -Session $session

Controle van HGS

Bronnen van gebeurtenissen en doorsturen

Gebeurtenissen van HGS wordt weergegeven in de Windows-gebeurtenislogboek onder 2 bronnen:

  • HostGuardianService Attestation
  • HostGuardianService KeyProtection

U kunt deze gebeurtenissen bekijken door te gaan naar Microsoft-Windows-HostGuardianService-Attestation en Microsoft-Windows-HostGuardianService-KeyProtection en logboeken te openen.

In een omgeving met grote verdient vaak voor het doorsturen van gebeurtenissen op een centrale Windows Event Collector analyseren van de gebeurtenissen om gemakkelijker te maken. Bekijk voor meer informatie de Windows Event Forwarding documentatie.

Met behulp van System Center Operations Manager

U kunt System Center 2016 - ook Operations Manager voor het controleren van HGS en uw beveiligde hosts gebruiken. Het beveiligde fabric management pack heeft gebeurtenis monitoren om te controleren op onjuiste configuraties die tot uitvaltijd datacenter leiden kunnen, met inbegrip van hosts attestation en HGS servers fouten niet wordt doorgegeven.

Aan de slag, installeren en configureren van SCOM 2016 en het beveiligde fabric management pack downloaden. De opgenomen management pack handleiding wordt uitgelegd hoe het management pack configureren en het bereik van de monitors kennen.

Een back-up en herstellen van HGS

Plannen voor noodherstel

Bij het opstellen van uw herstel na noodgevallen plannen, is het belangrijk rekening houden met de unieke vereisten van de Host Guardian-Service in uw beveiligde fabric. Moet u enkele of alle knooppunten HGS kwijtraakt, u onmiddellijk beschikbaarheidsproblemen die verhinderen dat gebruikers hun afgeschermde VM's aan het opstarten mogelijk te maken. In een scenario waar u uw hele cluster HGS verliest, moet u volledige back-ups van de configuratie van de HGS voorhanden voor uw cluster HGS herstellen en hervat normale bewerkingen. Deze sectie bevat de stappen die nodig zijn om voor te bereiden voor een dergelijk scenario.

Eerst, is het belangrijk te weten hoe zit HGS is belangrijk dat u een back-up. HSG behoudt verschillende stukjes informatie die helpen bij het bepalen welke hosts zijn gemachtigd om uit te voeren afgeschermde VM's. Dit omvat:

  1. Active Directory beveiligings-id's voor de groepen met vertrouwde hosts (bij gebruik van Active Directory attestation);
  2. Unieke TPM-id's voor elke host in uw omgeving.
  3. TPM-beleid voor elke unieke configuratie van host; en
  4. Code-integriteitsbeleid die welke software mag bepalen worden uitgevoerd op uw hosts.

Deze artefacten attestation vereisen coördinatie met de beheerders van uw fabric hosting om op te halen, mogelijk waardoor het moeilijk om deze informatie opnieuw na een noodgeval.

Bovendien vereist HGS voor toegang tot 2 of meer certificaten die worden gebruikt voor het versleutelen en ondertekenen van de informatie die nodig zijn voor het starten van een afgeschermde VM (de sleutelbeveiliging). Deze certificaten zijn bekende (voor het autoriseren van uw fabric om uit te voeren hun virtuele machines gebruikt door de eigenaars van afgeschermde VM's) en moeten worden hersteld na een noodgeval voor een naadloze herstel-ervaring. Moet u niet terugzetten HGS met de dezelfde certificaten na een noodgeval, moet elke virtuele machine worden bijgewerkt voor het autoriseren van uw nieuwe sleutels om hun gegevens te ontsleutelen. Uit veiligheidsoverwegingen kunt alleen de eigenaar van de virtuele machine bijwerken de configuratie van de virtuele machine voor het autoriseren van deze nieuwe sleutels, betekenis fout sleutels herstellen na een noodgeval in elke virtuele machine eigenaar dat u nodig hebt om actie te ondernemen resulteren om hun virtuele machines opnieuw uit te voeren.

Voorbereiden voor de slechtste

Om voor te bereiden voor een volledig verlies van HGS, zijn er 2 stappen die u moet nemen:

  1. Back-up van de HGS attestation-beleidsregels
  2. Back-up van de sleutels HGS

Richtlijnen voor het uitvoeren van beide stappen vindt u in de back-ups van HGS sectie.

Dit is bovendien aanbevolen, maar niet vereist, back-up van de lijst met gebruikers die gemachtigd zijn om HGS in de Active Directory-domein of Active Directory zelf te beheren.

Back-ups moeten regelmatig worden genomen om ervoor te zorgen de informatie up-to-date en veilig om te voorkomen dat manipulatie en diefstal opgeslagen.

Het is niet aanbevolen back-up of probeert te herstellen van een installatiekopie van het gehele systeem van een knooppunt HGS. In het geval u uw hele cluster is verbroken, wordt de aanbevolen procedure is een gloednieuwe HGS knooppunt instellen en alleen de HGS staat, niet de hele server OS herstellen.

Herstellen van het verlies van één knooppunt

Als u een of meer knooppunten (maar niet elk knooppunt) in uw cluster HGS verliest, kunt u eenvoudig knooppunten toevoegen aan uw cluster de richtlijnen in de Implementatiehandleiding te volgen. De attestation-beleid wordt automatisch gesynchroniseerd als alle certificaten die zijn opgegeven voor HGS als PFX-bestanden met de bijbehorende wachtwoorden. Voor certificaten die zijn toegevoegd aan de HGS met behulp van een vingerafdruk (niet kan worden geëxporteerd en hardware vaak de back-certificaten,), moet u ervoor zorgen elke nieuwe knooppunt toegang heeft tot de persoonlijke sleutel van elk certificaat.

Herstellen van het verlies van het hele cluster

Als uw hele HGS cluster uitvalt en u niet kunt brengen weer online, moet u een back-up terugzetten HGS. Eerste instellen van een nieuw cluster HGS per HGS terugzetten vanaf een back-up omvat de richtlijnen in de Implementatiehandleiding. Het wordt sterk aanbevolen, maar niet vereist, dezelfde naam van het cluster bij het instellen van de HGS Herstelomgeving gebruiken om te helpen bij de naamomzetting van hosts. Met dezelfde naam voorkom je opnieuw configureren van hosts met nieuwe attestation en sleutelbeveiliging URL's. Als u een back-up HGS Active Directory-domein objecten hebt hersteld, is het raadzaam dat u de objecten die de HGS cluster, computers, service-account en JEA groepen voordat het initialiseren van de HSG-server verwijderen.

Nadat u uw eerste HGS knooppunt hebt ingesteld (bijvoorbeeld is geïnstalleerd en geïnitialiseerd), volgt u de procedures onder HGS terugzetten vanaf een back-up om het beleid attestation en openbare helften van de certificaten van de sleutelbeveiliging te herstellen. U moet de persoonlijke sleutels voor uw certificaten handmatig uit volgens de richtlijnen van uw certificaatprovider herstellen (bijvoorbeeld Importeer het certificaat in Windows, of de toegang tot een back-HSM certificaten configureren). Nadat het eerste knooppunt is ingesteld, kunt u doorgaan met extra knooppunten aan het cluster installeren totdat u de capaciteit en tolerantie u verlangt hebt bereikt.

Een back-up HGS

De HSG-beheerder is verantwoordelijk voor het regelmatig back-ups van HGS. Een volledige back-up bevat gevoelige sleutelmateriaal die op de juiste wijze moet worden beveiligd. Moet een niet-vertrouwde entiteit toegang te krijgen tot deze sleutels, kunnen ze gebruiken dat materiaal voor het instellen van een schadelijke HGS omgeving voor de toepassing in gevaar brengt VM's afgeschermde.

Back-ups van de beleidsregels attestation uit te voeren terug van het beleid HGS attestation, de volgende opdracht op een willekeurig knooppunt werkende HGS server. U wordt gevraagd een wachtwoord op te geven. Dit wachtwoord wordt gebruikt voor het versleutelen van alle certificaten die zijn toegevoegd aan de HGS met behulp van een PFX-bestand (in plaats van de vingerafdruk van een certificaat).

Export-HgsServerState -Path C:\temp\HGSBackup.xml
Opmerking

Als u beheerders-attestation gebruikt, moet u afzonderlijk back-up lidmaatschap van de beveiligingsgroepen die wordt gebruikt door HGS te autoriseren beveiligde hosts. HSG wordt alleen back-up van de SID van de beveiligingsgroepen, niet het lidmaatschap binnen deze. In het geval van deze groepen zijn verloren tijdens een ramp, moet u opnieuw maken van de groepen en elke beveiligde host om deze opnieuw toevoegen.

Back-ups van certificaten

De Export-HgsServerStateopdracht back-up van een PFX-certificaten toegevoegd aan de HGS op het moment dat de opdracht wordt uitgevoerd. Als u certificaten aan HGS toegevoegd wordt met behulp van een vingerafdruk (standaard voor certificaten niet kan worden geëxporteerd en hardwarematige), moet u handmatig back-up van de persoonlijke sleutels voor uw certificaten. Voer de volgende PowerShell-opdracht op een willekeurig knooppunt werkende HGS server om te bepalen welke certificaten zijn geregistreerd met HGS en moeten een back-up handmatig.

Get-HgsKeyProtectionCertificate | Where-Object { $_.CertificateData.GetType().Name -eq 'CertificateReference' } | Format-Table Thumbprint, @{ Label = 'Subject'; Expression = { $_.CertificateData.Certificate.Subject } }

Voor elk van de certificaten weergegeven, moet u handmatig back-up van de persoonlijke sleutel. Als u gebruikmaakt van op basis van software-certificaat dat is niet exporteerbaar maken, moet u contact op met uw certificeringsinstantie om ervoor te zorgen ze een back-up van uw certificaat hebt en/of deze op verzoek kunnen uitgeven. Voor certificaten die zijn gemaakt en opgeslagen in de hardware security modules, moet u de documentatie raadplegen voor uw apparaat voor hulp bij het plannen voor noodherstel.

Zodat beide stukken samen kunnen worden hersteld, moet u de back-ups van certificaten naast uw back-ups beleid attestation op een veilige locatie opslaan.

Aanvullende configuratie back-up maken

De back-up HGS serverstatus niet bevat de naam van het cluster HGS, geen gegevens van Active Directory of een SSL-certificaten gebruikt voor het beveiligen van communicatie met de HGS-API's. Deze instellingen zijn belangrijk voor consistentie, maar niet-kritiek om uw HGS cluster weer online na een noodgeval.

Uitvoeren voor het vastleggen van de naam van de service HGS Get-HgsServeren noteer de naam van de platte in de verklaring en de sleutel bescherming URL's. Als de Attestation-URL 'http://hgs.contoso.com/Attestation' is, is 'hgs' de naam van de HSG-service.

De Active Directory-domein gebruikt door HGS moet worden beheerd zoals elk ander Active Directory-domein. Bij het HGS herstellen na een noodgeval, moet u niet per se de exacte objecten die aanwezig in het huidige domein zijn opnieuw maken. Echter, het is eenvoudiger herstellen als u back-up van Active Directory en een lijst van de JEA-gebruikers die gemachtigd zijn bijhouden voor het beheren van het systeem, evenals het lidmaatschap van alle beveiligingsgroepen door beheerders-attestation wordt gebruikt voor het autoriseren van beveiligde hosts.

Voer de volgende opdracht in PowerShell voor het identificeren van de vingerafdruk van het SSL-certificaten geconfigureerd voor HGS. U kunt vervolgens back-up die SSL-certificaten volgens de instructies van uw certificaatprovider.

Get-WebBinding -Protocol https | Select-Object certificateHash

HSG terugzetten vanaf een back-up

De volgende stappen wordt beschreven hoe u HGS om instellingen te herstellen vanaf een back-up. De stappen zijn relevant zijn voor beide situaties waar u probeert om wijzigingen in uw exemplaren van de HGS al actief en wanneer u een gloednieuwe HGS cluster na een volledig verlies van uw vorige zijn permanent ongedaan te maken.

Een vervangende HGS cluster instellen

Voordat u HGS herstellen kunt, moet u een cluster met geïnitialiseerde HGS waarnaar u de configuratie kunt herstellen. Als u instellingen die per ongeluk zijn verwijderd gewoon aan een bestaand cluster (actief) importeert, kunt u deze stap overslaan. Als u een volledig verlies van HGS herstelt, moet u voor het installeren en initialiseren van ten minste één HGS knooppunt volgens de richtlijnen in de Implementatiehandleiding.

Specifiek, moet u:

  1. Instellen van het domein HGS of HGS toevoegen aan een bestaand domein
  2. Initialiseren van de server HGS met uw bestaande sleutels of een reeks tijdelijke sleutels. U kunt Verwijder de tijdelijke sleutels na het importeren van de werkelijke sleutels van de HGS back-up van bestanden.
  3. HSG-instellingen importeren van uw back-up terugzetten van de vertrouwde hostgroepen, code-integriteitsbeleid, TPM basislijnen en TPM-id's
Tip

Het nieuwe cluster HGS hoeft niet te gebruiken van certificaten, de naam van service of domein als de HGS instantie waaruit het back-upbestand is geëxporteerd.

Instellingen importeren van een back-up

Voer de volgende opdracht op een knooppunt geïnitialiseerd HGS server als u wilt herstellen attestation beleidsregels, PFX-certificaten en de bijbehorende openbare sleutels van niet-PFX certificaten naar uw HGS knooppunt van een back-upbestand. U wordt gevraagd het wachtwoord dat u hebt opgegeven bij het maken van de back-up invoeren.

Import-HgsServerState -Path C:\Temp\HGSBackup.xml

Als u alleen beheerders-attestation beleid of TPM vertrouwde attesten beleid importeren wilt, kunt u doen door te geven de -ImportActiveDirectoryModeStateof -ImportTpmModeStatevlaggen naar importeren HgsServerState.

Zorg ervoor dat de meest recente cumulatieve update voor Windows Server 2016 is geïnstalleerd voordat uImport-HgsServerState. Doet, kan leiden tot een fout bij het importeren.

Opmerking

Als u beleidsregels op een bestaand HSG-knooppunt waarop al een of meer van deze beleidsregels geïnstalleerd herstelt, wordt de opdracht importeren een fout voor elk dubbele beleid weergegeven. Dit is normaal gedrag en veilig in de meeste gevallen kan worden genegeerd.

Persoonlijke sleutels voor certificaten installeren

Als een van de certificaten die worden gebruikt op de HGS waaruit de back-up is gemaakt zijn toegevoegd met vingerafdrukken, wordt alleen de openbare sleutel van deze certificaten worden opgenomen in het back-upbestand. Dit betekent dat u moet handmatig installeren en/of toegang tot de persoonlijke sleutels voor elk van deze certificaten verlenen voordat HGS van Hyper-V-hosts verzoeken kunnen. De acties die nodig zijn voor deze stap hebt voltooid, is afhankelijk van hoe uw certificaat oorspronkelijk is uitgegeven. Voor een back-software certificaten uitgegeven door een certificeringsinstantie, moet u contact op met uw Certificeringsinstantie voor het ophalen van de persoonlijke sleutel en installeer deze op elke HGS knooppunt per hun instructies. Op dezelfde manier als uw certificaten zijn back-hardware, moet u uw hardware security module van leverancier-documentatie voor het installeren van de benodigde stuurprogramma's op elk knooppunt HGS verbinding maken met de HSM en elke machine toegang verlenen tot de persoonlijke sleutel te raadplegen.

Als een herinnering vereisen de certificaten die zijn toegevoegd aan de HGS met vingerafdrukken handmatige replicatie van de persoonlijke sleutels voor elk knooppunt. U moet Herhaal deze stap voor elk knooppunt dat u aan de herstelde HGS cluster toevoegt.

Geïmporteerde attestation beleid controleren

Nadat u uw instellingen vanaf een back-up hebt geïmporteerd, is het aanbevolen nauw alle te bekijken het geïmporteerde beleid met behulp van Get-HgsAttestationPolicyom ervoor te zorgen dat alleen de hosts die u vertrouwt afgeschermde VM's is mogelijk om te bevestigen met succes. Als u alle beleidsregels die niet langer overeenkomen met uw beveiligingspostuur kunt vinden, kunt u uitschakelen of verwijderen.

Als u wilt controleren van de systeemstatus diagnoses uit te voeren

Nadat u klaar bent met het instellen en herstellen van de status van uw HSG-knooppunt, moet u het diagnostisch hulpprogramma voor HGS u controleert de status van het systeem uitvoeren. Voer de volgende opdracht om dit te doen, op het knooppunt HGS waar u de configuratie hersteld:

Get-HgsTrace -RunDiagnostics

Als de 'het uiteindelijke resultaat' is niet 'doorgegeven', zijn extra stappen vereist voor het voltooien van het systeem configureren. Controleer de berichten die zijn gerapporteerd in de subtests is mislukt voor meer informatie.

Patch HGS

Het is belangrijk uw knooppunten Host Guardian-Service om up-to-date te houden door de meest recente cumulatieve update installeren als het gaat uit. Als het instellen van een geheel nieuwe HSG-knooppunt, is het raadzaam dat u alle beschikbare updates voordat de installatie van de functie HGS of het configureren van deze installeren. Hierdoor worden alle nieuwe of gewijzigde functionaliteit wordt onmiddellijk van kracht.

Wanneer uw beveiligde fabric patching, het wordt sterk aanbevolen dat u eerst een upgrade alle Hyper-V-hosts voordat u een upgrade HGS. Dit is om ervoor te zorgen dat wijzigingen in de beleidsregels attestation op HGS worden aangebracht nadat de Hyper-V-hosts zijn bijgewerkt om de informatie die nodig zijn voor deze te verstrekken. Als een update wordt het gedrag van het beleid wijzigen, worden ze niet automatisch ingeschakeld om te voorkomen dat uw fabric verstoren. Dergelijke updates moet u de instructies in de volgende sectie voor het activeren van het beleid voor nieuwe of gewijzigde attestation volgen. We raden u aan het lezen van de releaseopmerkingen voor Windows Server en eventuele cumulatieve updates die u installeren om te controleren of de updates vereist zijn.

Updates worden geactiveerd beleid

Als een update voor HGS introduceert of de werking van een beleid attestation aanzienlijk wijzigt, wordt een extra stap is vereist voor het gewijzigde beleid te activeren. Beleidswijzigingen zijn alleen van kracht na het exporteren en importeren van de status van de HGS. U moet de nieuwe of gewijzigde beleidsregels alleen activeren nadat u de cumulatieve update hebt toegepast op alle hosts en alle HGS knooppunten in uw omgeving. Wanneer elke machine is bijgewerkt, voer de volgende opdrachten op elk knooppunt HGS voor het activeren van het upgradeproces:

$password = Read-Host -AsSecureString -Prompt "Enter a temporary password"
Export-HgsServerState -Path .\temporaryExport.xml -Password $password
Import-HgsServerState -Path .\temporaryExport.xml -Password $password

Als u een nieuw beleid werd geïntroduceerd, wordt deze standaard uitgeschakeld. Als u het nieuwe beleid, eerst zoeken in de lijst met Microsoft-beleid (voorafgegaan door 'HGS_') en schakelt u deze met de volgende opdrachten:

Get-HgsAttestationPolicy

Enable-HgsAttestationPolicy -Name <Hgs_NewPolicyName>

Beleid voor attestation beheren

HSG onderhoudt diverse attestation-beleidsregels die de minimale set van een host voldoen moet om te worden beschouwd als 'goede' en mag worden uitgevoerd afgeschermde VM's vereisten definiëren. Sommige van deze beleidsregels zijn gedefinieerd door Microsoft, worden andere door u voor het definiëren van de toegestane code-integriteitsbeleid, TPM basislijnen en hosts in uw omgeving toegevoegd. Regelmatig onderhoud van dit beleid is nodig om ervoor te zorgen hosts kunnen blijven bevestiging goed als u bijwerken en deze te vervangen en om ervoor te zorgen alle niet-vertrouwde hosts of de configuraties van bevestiging met succes worden geblokkeerd.

Voor beheerders-attestation wordt slechts één beleid waarmee wordt bepaald als een host in orde is: lidmaatschap van een bekende, vertrouwde beveiligingsgroep. TPM-attestation is complexer en omvat verschillende beleidsregels voor het meten van de code en de configuratie van een systeem voordat om te bepalen of deze in orde is.

Een enkele HGS kan worden geconfigureerd met Active Directory en TPM-beleid in één keer, maar de service wordt het beleid voor de huidige modus dat deze is geconfigureerd voor wanneer een host waaruit blijkt dat probeert alleen gecontroleerd. De modus van uw server HGS controleren, voertGet-HgsServer.

Standaard-beleid

Er zijn verschillende ingebouwde beleid dat is geconfigureerd op de HGS voor TPM-attestation wordt. Sommige van deze beleidsregels zijn 'vergrendeld'--wat betekent dat ze vanwege de beveiliging kunnen niet worden uitgeschakeld. De onderstaande tabel wordt uitgelegd dat het doel van elke standaardbeleid.

De naam van beleidDoel
Hgs_SecureBootEnabledVereist hosts hebben beveiligd opstarten ingeschakeld. Dit is nodig om te meten van de binaire bestanden voor opstarten en andere instellingen UEFI vergrendeld.
Hgs_UefiDebugDisabledZorgt ervoor dat hosts hoeven geen een kernelfoutopsporingsprogramma ingeschakeld. Gebruiker-modus foutopsporingsprogramma's worden geblokkeerd met code-integriteitsbeleid.
Hgs_SecureBootSettingsNegatieve beleid om ervoor te zorgen hosts overeenkomen met ten minste één (admin gedefinieerd) TPM basislijn.
Hgs_CiPolicyNegatieve beleid om ervoor te zorgen hosts zijn met behulp van een van de beheerder gedefinieerde CI-beleid.
Hgs_HypervisorEnforcedCiPolicyDe code integrity-beleid worden afgedwongen door de hypervisor vereist. Als u dit beleid uitschakelt verzwakt uw bescherming tegen aanvallen kernel-modus code integrity-beleid.
Hgs_FullBootZorgt ervoor dat de host niet werd hervat vanuit de slaapstand of sluimerstand. Hosts moeten goed worden opgestart of afgesloten voor het doorgeven van dit beleid.
Hgs_VsmIdkPresentVirtualisatie gebaseerde beveiliging om te worden uitgevoerd op de host vereist. De IDK vertegenwoordigt de sleutel die nodig zijn voor het versleutelen van gegevens die worden verzonden naar de beveiligde geheugenruimte van de host.
Hgs_PageFileEncryptionEnabledWisselbestanden worden versleuteld op de host vereist. Uitschakelen van dit beleid kan leiden tot blootstelling van gegevens als er een niet-versleutelde wisselbestand voor tenant geheimen is gecontroleerd.
Hgs_BitLockerEnabledBitLocker wordt ingeschakeld op de Hyper-V-host vereist. Dit beleid is standaard uitgeschakeld voor prestaties en wordt niet aanbevolen om te worden ingeschakeld. Dit beleid heeft geen gevolgen voor de versleuteling van de afgeschermde VM's zelf.
Hgs_IommuEnabledVereist dat de host een IOMMU-apparaat gebruikt om direct memory access aanvallen te voorkomen. Als u dit beleid uitschakelt en het gebruik van hosts zonder een IOMMU ingeschakeld kunnen tenant VM-geheimen rechtstreeks geheugen aanvallen worden blootgesteld.
Hgs_NoHibernationVereist de slaapstand worden uitgeschakeld op de Hyper-V-host. Als u dit beleid uitschakelt, kan hosts afgeschermde VM geheugen opslaan naar een sluimerstandbestand niet-versleutelde leiden.
Hgs_NoDumpsVereist geheugendumps worden uitgeschakeld op de Hyper-V-host. Als u dit beleid uitschakelt, is het raadzaam dat u dump codering om te voorkomen dat afgeschermde virtuele machine geheugen wordt opgeslagen in niet-versleutelde crashdumpbestanden configureren.
Hgs_DumpEncryptionVereist geheugendumps, indien ingeschakeld op de Hyper-V-host, worden versleuteld met een versleutelingssleutel die wordt vertrouwd door de HGS. Dit beleid is niet van toepassing als dumpen niet zijn ingeschakeld op de host. Als dit beleid en Hgs_NoDumps zijn beide uitgeschakeld afgeschermde VM geheugen kan worden opgeslagen op een niet-versleutelde dumpbestand.
Hgs_DumpEncryptionKeyNegatieve beleid om ervoor te zorgen hosts die zijn geconfigureerd, zodat geheugen dumps met behulp van een versleutelingssleutel van de beheerder gedefinieerde dump bestand bekend is dat de HGS. Dit beleid is niet van toepassing wanneer Hgs_DumpEncryption is uitgeschakeld.

Nieuwe autoriseren beveiligde hosts

Voor het autoriseren van een nieuwe host om te worden van een beveiligde host (bijvoorbeeld Attestation kunnen uitvoeren), HSG de host moeten vertrouwen en (indien geconfigureerd voor gebruik door TPM vertrouwde attesten) de software die wordt uitgevoerd. De stappen voor het autoriseren van een nieuwe host verschillen op basis van de attestation-modus waarvoor HGS is geconfigureerd. De attestation-modus voor uw beveiligde fabric controleren, voert Get-HgsServerop een willekeurig knooppunt HGS.

De softwareconfiguratie

Zorg ervoor dat Windows Server 2016 Datacenter edition is geïnstalleerd op de nieuwe Hyper-V-host. Windows Server 2016 Standard uitvoeren niet afgeschermde VM's in een beveiligde fabric. De host worden geïnstalleerd met een van de installatieopties (server met Bureaubladervaring, Server Core en Nano Server).

Op de server met Bureaubladervaring en Server Core moet u de Hyper-V en ondersteuning voor Host Guardian-Hyper-V server-functies installeren:

Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart

Voor Nano Server, moet u voorbereiden van de installatiekopie met de berekenen, Microsoft-NanoServer-SecureStartup-Package en Microsoft-NanoServer-ShieldedVM-Package pakketten.

Beheerders-attestation

Voor het registreren van een nieuwe host in de HGS bij het gebruik van beheerders-attestation, moet u eerst de host aan een beveiligingsgroep toevoegen in het domein waaraan deze gekoppeld. Elk domein heeft meestal één beveiligingsgroep voor beveiligde hosts. Als u die groep met HGS al hebt geregistreerd, is de enige actie die u moet uitvoeren op te starten van de host voor het vernieuwen van het groepslidmaatschap.

U kunt controleren welke beveiligingsgroepen door HGS worden vertrouwd door de volgende opdracht uit te voeren:

Get-HgsAttestationHostGroup

Voor het registreren van een nieuwe beveiligingsgroep met HGS, eerst vastleggen van de beveiligings-id (SID) van de groep in het domein van de host en de SID registreren bij de HGS.

Add-HgsAttestationHostGroup -Name "Contoso Guarded Hosts" -Identifier "S-1-5-21-3623811015-3361044348-30300820-1013"

Instructies voor het instellen van de vertrouwensrelatie tussen de host het domein en de HGS zijn beschikbaar in de Implementatiehandleiding.

TPM vertrouwde attesten

Wanneer HGS is geconfigureerd in de TPM-modus, slagen hosts voor alle vergrendelde beleidsregels en 'ingeschakeld' voorafgegaan door 'Hgs_', evenals ten minste één TPM basislijn, TPM-id en code-integriteitsbeleid. Telkens wanneer die u een nieuwe host toevoegen moet u de nieuwe TPM-id registreren bij de HGS. Als de host wordt uitgevoerd dezelfde software (en de dezelfde code integrity-beleid is toegepast) en TPM basislijn als een andere host in uw omgeving, niet moet u nieuwe beleidsregels voor CI of basislijnen toe te voegen.

Toevoegen van de TPM-id voor een nieuwe host op de nieuwe host, voer de volgende opdracht voor het vastleggen van de TPM-id. Zorg ervoor dat een unieke naam voor de host waarmee u opzoeken op HGS opgeven. U moet deze informatie als u buiten gebruik stellen van de host of wilt voorkomen dat het actieve afgeschermde VM's in de HGS.

(Get-PlatformIdentifier -Name "Host01").InnerXml | Out-File C:\temp\host01.xml -Encoding UTF8

Dit bestand kopiëren naar uw HSG-server, voert u de volgende opdracht voor het registreren van de host met HGS.

Add-HgsAttestationTpmHost -Name 'Host01' -Path C:\temp\host01.xml

Toevoegen van een nieuwe TPM basislijn als de nieuwe host met een nieuwe hardware of configuratie van de firmware voor uw omgeving hebt, moet u mogelijk een nieuwe TPM basislijn nemen. Voer hiertoe de volgende opdracht op de host.

Get-HgsAttestationBaselinePolicy -Path 'C:\temp\hardwareConfig01.tcglog'
Opmerking

Als u een foutmelding dat uw host validatie is mislukt en wordt niet met succes bevestigen ontvangt, maak u geen zorgen. Dit is een vereiste controle om te controleren of dat uw host kunt uitvoeren afgeschermde VM's en waarschijnlijk betekent dat u nog niet hebt toegepast een code-integriteitsbeleid of andere instelling vereist. Lees het foutbericht, breng de gewenste wijzigingen door deze aanbevolen en probeer het opnieuw. U kunt ook kunt u de validatie op dit moment overslaan door het toevoegen van de -SkipValidationvlag aan de opdracht.

De TPM basislijn kopieert naar de server HGS en klik vervolgens met de volgende opdracht te registreren. We raden u aan een naamconventie die helpt u begrijpen van de hardware en firmware van de configuratie van deze klasse van Hyper-V-host.

Add-HgsAttestationTpmPolicy -Name 'HardwareConfig01' -Path 'C:\temp\hardwareConfig01.tcglog'

Toevoegen van een nieuwe code-integriteitsbeleid als u de code integrity-beleid op uw Hyper-V-hosts hebt gewijzigd, moet u het nieuwe beleid registreren bij HGS voordat deze hosts met succes Attestation. Op een referentie-host, die als een master-installatiekopie voor de vertrouwde Hyper-V-machines in uw omgeving fungeert, vastleggen van een nieuwe CI beleid met behulp van de New-CIPolicyopdracht. We raden u aan het gebruik van de FilePublisher niveau en Hash terugval voor Hyper-V-host CI-beleid. U moet eerst een CI-beleid maken in de controlemodus om ervoor te zorgen dat alles werkt zoals verwacht. Na de validatie van de werkbelasting van een voorbeeld van het systeem, kunt u het beleid af te dwingen en de afgedwongen versie kopiëren naar de HGS. Raadpleeg voor een volledige lijst met configuratieopties voor code integrity-beleid, de Device Guard documentatie.

# Capture a new CI policy with the FilePublisher primary level and Hash fallback and enable user mode code integrity protections
New-CIPolicy -FilePath 'C:\temp\ws2016-hardware01-ci.xml' -Level FilePublisher -Fallback Hash -UserPEs

# Apply the CI policy to the system
ConvertFrom-CIPolicy -XmlFilePath 'C:\temp\ws2016-hardware01-ci.xml' -BinaryFilePath 'C:\temp\ws2016-hardware01-ci.p7b'
Copy-Item 'C:\temp\ws2016-hardware01-ci.p7b' 'C:\Windows\System32\CodeIntegrity\SIPolicy.p7b'
Restart-Computer

# Check the event log for any untrusted binaries and update the policy if necessary
# Consult the Device Guard documentation for more details

# Change the policy to be in enforced mode
Set-RuleOption -FilePath 'C:\temp\ws2016-hardare01-ci.xml' -Option 3 -Delete

# Apply the enforced CI policy on the system
ConvertFrom-CIPolicy -XmlFilePath 'C:\temp\ws2016-hardware01-ci.xml' -BinaryFilePath 'C:\temp\ws2016-hardware01-ci.p7b'
Copy-Item 'C:\temp\ws2016-hardware01-ci.p7b' 'C:\Windows\System32\CodeIntegrity\SIPolicy.p7b'
Restart-Computer

Nadat u uw beleid hebt gemaakt hebt, getest en afgedwongen, het binaire bestand (.p7b) kopiëren naar uw server HGS en registreren van het beleid.

Add-HgsAttestationCiPolicy -Name 'WS2016-Hardware01' -Path 'C:\temp\ws2016-hardware01-ci.p7b'

Toevoegen van een versleutelingssleutel geheugendump

Wanneer de Hgs_NoDumps beleid is uitgeschakeld en Hgs_DumpEncryption beleid is ingeschakeld, beveiligde hosts zijn toegestaan voor geheugendumps (inclusief crashdumps) moeten worden ingeschakeld, zolang deze geheugendumps worden versleuteld. Beveiligde hosts geeft alleen attestation als ze geheugendumps uitgeschakeld hebben of ze zijn versleuteld met een sleutel die bekend is dat de HGS. Standaard worden er geen versleutelingssleutels dump geconfigureerd op HGS.

Een versleutelingssleutel dump toevoegen aan HGS, gebruikt u de Add-HgsAttestationDumpPolicycmdlet om te voorzien van de hash van de versleutelingssleutel dump HGS. Als u een basislijn TPM op een Hyper-V-host geconfigureerd met de versleuteling dump vastleggen, de hash is opgenomen in de tcglog en kan worden geleverd aan de Add-HgsAttestationDumpPolicycmdlet.

Add-HgsAttestationDumpPolicy -Name 'DumpEncryptionKey01' -Path 'C:\temp\TpmBaselineWithDumpEncryptionKey.tcglog'

U kunt de tekenreeks van de hash aan de cmdlet ook rechtstreeks opgeven.

Add-HgsAttestationDumpPolicy -Name 'DumpEncryptionKey02' -PublicKeyHash '<paste your hash here>'

Zorg ervoor dat elke unieke dump versleutelingssleutel toevoegen aan HGS als u ervoor kiest verschillende sleutels gebruiken voor uw beveiligde fabric. Hosts die zijn geheugendumps worden versleuteld met een sleutel niet bekend bij de HGS geeft geen attestation.

Raadpleeg de documentatie Hyper-V voor meer informatie over versleuteling op hosts configureren dump.

Als het systeem attestation doorgegeven controleren

Na de registratie van de benodigde informatie met HGS, moet u controleren als de host attestation slaagt. Voer op de toegevoegde Hyper-V-host Set-HgsClientConfigurationen de juiste URL's voor uw cluster HGS opgeven. Deze URL's kunnen worden verkregen door het uitvoeren van Get-HgsServerop een willekeurig knooppunt HGS.

Set-HgsClientConfiguration -KeyProtectionServerUrl 'http://hgs.relecloud.com/KeyProtection' -AttestationServerUrl 'http://hgs.relecloud.com/Attestation'

Als de resulterende status geeft niet aan 'IsHostGuarded: waar' moet u problemen met de configuratie. Voer de volgende opdracht om een gedetailleerd rapport over problemen die kunnen helpen bij het oplossen van de mislukte attestation op de host die de attestation is mislukt.

Get-HgsTrace -RunDiagnostics -Detailed

Attestation-beleid

Als de huidige status van het beleid dat is geconfigureerd op de HGS wilt bekijken, voer de volgende opdrachten op elk knooppunt HGS:

# List all trusted security groups for admin-trusted attestation
Get-HgsAttestationHostGroup

# List all policies configured for TPM-trusted attestation
Get-HgsAttestationPolicy

Als u een beleidsinstelling die niet langer voldoet aan uw beveiligingseisen (bijvoorbeeld een oude code integrity-beleid die nu als onveilig wordt beschouwd) vinden, kunt u deze uitschakelen door het vervangen van de naam van het beleid in de volgende opdracht:

Disable-HgsAttestationPolicy -Name 'PolicyName'

Op deze manier kunt u Enable-HgsAttestationPolicyopnieuw inschakelen van een beleid.

Als u een beleid en wilt verwijderen uit alle HGS knooppunten niet meer nodig hebt, voert u Remove-HgsAttestationPolicy -Name 'PolicyName'permanent verwijderen van het beleid.

Attestation-modi wijzigen

Als u uw beveiligde fabric met beheerders-attestation gestart, wilt u waarschijnlijk upgraden naar de veel sterkere TPM attestation-modus als er voldoende TPM 2.0-compatibele hosts in uw omgeving. Wanneer u klaar om over te schakelen bent, kunt u alle van de attestation-artefacten (CI beleidsregels, TPM basislijnen en TPM-id's) in de HGS vooraf laden terwijl u HGS uitvoeren met beheerders-attestation. U doet dit door gewoon Volg de instructies in de autoriseren van een nieuwe beveiligde host sectie.

Als u al uw beleid aan HGS hebt toegevoegd, is de volgende stap voor het uitvoeren van een synthetische attestation probeert op uw hosts om te zien als ze attestation in de TPM-modus doorgeven zou. Dit heeft geen invloed op de huidige operationele status van de HGS. De onderstaande opdrachten moeten worden uitgevoerd op een computer die toegang tot alle hosts in de omgeving en ten minste één knooppunt van de HGS heeft. Als uw firewall of andere beveiligingsbeleid te voorkomen dit dat, kunt u deze stap overslaan. Indien mogelijk, wordt u aangeraden de synthetische attestation zodat u een goede indicatie van of naar de TPM-modus ' spiegelen' ervoor uitvaltijd voor uw virtuele machines dat zorgt wordt uitgevoerd.

# Get information for each host in your environment
$hostNames = 'host01.contoso.com', 'host02.contoso.com', 'host03.contoso.com'
$credential = Get-Credential -Message 'Enter a credential with admin privileges on each host'
$targets = @()
$hostNames | ForEach-Object { $targets += New-HgsTraceTarget -Credential $credential -Role GuardedHost -HostName $_ }

$hgsCredential = Get-Credential -Message 'Enter an admin credential for HGS'
$targets += New-HgsTraceTarget -Credential $hgsCredential -Role HostGuardianService -HostName 'HGS01.relecloud.com'

# Initiate the synthetic attestation attempt
Get-HgsTrace -RunDiagnostics -Target $targets -Diagnostic GuardedFabricTpmMode 

Controleer na de volledige diagnostische gegevens de outputted informatie om te bepalen als op alle hosts attestation in de TPM-modus zou zijn mislukt. De diagnostische gegevens opnieuw uitvoeren totdat u een 'pass' van elke host krijgen, gaat u verder met de HGS wijzigen in TPM-modus.

Wijzigen in een TPM modus duurt slechts een tweede om te voltooien. Voer de volgende opdracht op een willekeurig knooppunt HGS bijwerken de attestation-modus.

Set-HgsServer -TrustTpm

Als u problemen en wilt terugkeren naar de modus Active Directory, kunt u doen door het uitvoeren vanSet-HgsServer -TrustActiveDirectory.

Zodra u hebt bevestigd dat alles werkt zoals verwacht, moet u alle vertrouwde Active Directory-hostgroepen verwijderen uit de HGS en verwijderen van de vertrouwensrelatie tussen de HGS en fabric-domeinen. Als u de Active Directory-vertrouwensrelatie in plaats laat, loopt u het risico iemand opnieuw inschakelen van de vertrouwensrelatie en HGS overschakelen naar de modus Active Directory, waardoor niet-vertrouwde code uit te voeren is niet ingeschakeld op uw beveiligde hosts.

Sleutelbeheer

De beveiligde fabric-oplossing maakt gebruik van verschillende paren van openbare en persoonlijke sleutels valideren de integriteit van de verschillende onderdelen in de oplossing en tenant geheimen versleutelen. De Host Guardian-Service is geconfigureerd met ten minste twee certificaten (met openbare en persoonlijke sleutels), die worden gebruikt voor het ondertekenen en versleutelen van de sleutels die worden gebruikt om op te starten afgeschermde VM's. Deze toetsen moeten zorgvuldig worden beheerd. Als de persoonlijke sleutel door een aanvaller is verkregen, worden ze kunnen de VM's waarop uw fabric unshield of instellen van een cluster van iemand anders HGS die gebruikmaakt van zwakkere attestation-beleid voor het overslaan van de bescherming die u in plaats bewaren. Moet u de persoonlijke sleutel tijdens een ramp kwijtraken en deze niet vinden in een back-up, moet u een nieuw sleutelpaar instellen en elke virtuele machine opnieuw is opgegeven voor het autoriseren van uw nieuwe certificaten hebben.

Deze sectie bevat algemene Sleutelbeheer onderwerpen waarmee u kunt uw sleutels configureren zodat ze functionele en veilig zijn.

Toevoegen van nieuwe sleutels

Terwijl de HGS moeten worden geïnitialiseerd met één set van sleutels, kunt u meer dan één versleuteling en ondertekening sleutel aan HGS toevoegen. De twee meest voorkomende redenen waarom u nieuwe sleutels aan de HGS toevoegen zijn:

  1. Ter ondersteuning van 'bring uw eigen sleutel' scenario waarbij tenants hun persoonlijke sleutels kopiëren naar uw hardware security module en de sleutels om op te starten hun afgeschermde VM's alleen te autoriseren.
  2. Als u wilt de bestaande sleutels voor HGS vervangen door eerst toevoegen van de nieuwe sleutels en beide sets van sleutels te houden totdat elke virtuele machine is configuratie bijgewerkt voor het gebruik van de nieuwe sleutels.

Het proces voor het toevoegen van uw nieuwe sleutels verschilt op basis van het type certificaat dat u gebruikt.

Optie 1: Een certificaat dat is opgeslagen in een HSM toevoegen

Onze aanbevolen benadering voor het beveiligen van HGS sleutels is het gebruik van certificaten die zijn gemaakt in een hardware security module (HSM). HSM's Zorg ervoor dat het gebruik van uw sleutels is gekoppeld aan fysieke toegang tot een apparaat vertrouwelijke in uw datacenter. Elke HSM verschilt en heeft een unieke proces voor het maken van certificaten en met HGS te registreren. De onderstaande stappen zijn bedoeld om te bieden ruwe richtlijnen voor het gebruik van HSM back-certificaten. Raadpleeg de documentatie van de leverancier van uw HSM voor exacte stappen en mogelijkheden.

  1. De HSM-software installeren op elk knooppunt HGS in uw cluster. Afhankelijk van of u een netwerk of lokale HSM-apparaat hebt, moet u mogelijk de HSM om uw machine toegang tot de sleutelarchief configureren.
  2. 2 certificaten maken in de HSM met 2048 bits RSA-sleutels voor versleuteling en ondertekening
    1. Maken van een versleutelingscertificaat met de uitwisselen van gegevens eigenschap voor gebruik in uw HSM sleutel
    2. Maken van een handtekeningcertificaat met de digitale handtekening eigenschap voor gebruik in uw HSM sleutel
  3. Installeer de certificaten in het lokale certificaatarchief van elk knooppunt HGS per richtlijnen van de leverancier van de HSM.
  4. Als uw HSM gedetailleerde machtigingen worden gebruikt voor het verlenen van specifieke toepassingen of gebruikers toestemming voor het gebruik van de persoonlijke sleutel, moet u uw HGS group managed service accounttoegang verlenen tot het certificaat. U kunt de naam van het gMSA-account HGS vinden door te voeren (Get-IISAppPool -Name KeyProtection).ProcessModel.UserName
  5. De certificaten voor ondertekening en versleuteling toevoegen aan HGS door de vingerafdrukken vervangen met die van uw certificaten in de volgende opdrachten:

     Add-HgsKeyProtectionCertificate -CertificateType Encryption -Thumbprint "AABBCCDDEEFF00112233445566778899"
     Add-HgsKeyProtectionCertificate -CertificateType Signing -Thumbprint "99887766554433221100FFEEDDCCBBAA"
    

Optie 2: Niet exporteerbaar softwarecertificaten toevoegen

Als u een back-software certificaat uitgegeven door een van uw bedrijf hebt of een openbare certificeringsinstantie die een niet-exporteerbare persoonlijke sleutel heeft, moet u uw certificaat toevoegen aan de HGS via de vingerafdruk.

  1. Het certificaat installeren op uw machine volgens de instructies van uw certificeringsinstantie.
  2. De HGS group managed service account leestoegang tot de persoonlijke sleutel van het certificaat verleent. U kunt de naam van het gMSA-account HGS vinden door te voeren (Get-IISAppPool -Name KeyProtection).ProcessModel.UserName
  3. Het certificaat registreren bij HGS met behulp van de volgende opdracht en vervangen in de vingerafdruk van het certificaat (wijzigen versleuteling naar ondertekening voor het ondertekenen van certificaten):

     Add-HgsKeyProtectionCertificate -CertificateType Encryption -Thumbprint "AABBCCDDEEFF00112233445566778899"
    
Belangrijk

U moet handmatig installeren van de persoonlijke sleutel en leestoegang tot het gMSA-account op elk knooppunt HGS. HSG kan niet automatisch worden gerepliceerd persoonlijke sleutels voor eventuele certificaat dat is geregistreerd door de vingerafdruk.

Optie 3: Certificaten die zijn opgeslagen in een PFX-bestanden toe te voegen

Als u een back-software certificaat met een exporteerbare persoonlijke sleutel die kan worden opgeslagen in de PFX-indeling en beveiligd met een wachtwoord hebt, kunt HGS automatisch beheren van uw certificaten voor u. Certificaten die zijn toegevoegd met PFX-bestanden automatisch worden gerepliceerd naar elk knooppunt van het cluster HGS en HGS toegang tot de persoonlijke sleutels worden beveiligd. Als u wilt toevoegen een nieuw certificaat met een PFX-bestand, voer de volgende opdrachten op elk knooppunt HGS (wijzigen versleuteling naar ondertekening voor het ondertekenen van certificaten):

$certPassword = Read-Host -AsSecureString -Prompt "Provide the PFX file password"
Add-HgsKeyProtectionCertificate -CertificateType Encryption -CertificatePath "C:\temp\encryptionCert.pfx" -CertificatePassword $certPassword

Identificeren en het wijzigen van de primaire certificaten terwijl HGS kunt ondersteuning voor meerdere certificaten voor ondertekening en versleuteling, een paar wordt gebruikt als de 'primair' certificaten. Dit zijn de certificaten die worden gebruikt als iemand de guardian-metagegevens voor dat cluster HGS downloads. Als u wilt controleren welke certificaten die momenteel zijn gemarkeerd als uw primaire certificaten, voer de volgende opdracht:

Get-HgsKeyProtectionCertificate -IsPrimary $true

Om een nieuwe primaire versleuteling of een certificaat voor ondertekening, de vingerafdruk van het gewenste certificaat zoeken en deze markeren als primaire met de volgende opdrachten:

Get-HgsKeyProtectionCertificate
Set-HgsKeyProtectionCertificate -CertificateType Encryption -Thumbprint "AABBCCDDEEFF00112233445566778899" -IsPrimary
Set-HgsKeyProtectionCertificate -CertificateType Signing -Thumbprint "99887766554433221100FFEEDDCCBBAA" -IsPrimary

Vernieuwen of vervangen van sleutels

Wanneer u de certificaten die worden gebruikt door HGS maakt, wordt de certificaten een vervaldatum volgens het beleid van uw certificeringsinstantie en uw verzoek om informatie worden toegewezen. Normaal gesproken in scenario's waarin de geldigheid van het certificaat belangrijk zoals de HTTP-communicatie te beveiligen, moeten certificaten worden vernieuwd voordat ze zijn verlopen om te voorkomen dat een onderbreking van de service of worrisome foutbericht weergegeven. HSG maakt geen gebruik van certificaten in die zin. HSG is gewoon gebruik van certificaten als een handige manier om te maken en opslaan van een asymmetrisch sleutelpaar. Een verlopen versleuteling of een handtekeningcertificaat op HGS geeft niet aan een zwak punt of verlies van bescherming voor afgeschermde VM's. Certificaat intrekkingscontroles worden verder niet uitgevoerd door HGS. Als een HGS of verlenende CA-certificaat is ingetrokken, wordt deze geen invloed op de HGS gebruik van het certificaat.

De enige keer dat u wilt maken zich zorgen over een certificaat HGS is als u reden hebt om van mening bent dat de persoonlijke sleutel heeft gestolen. In dat geval wordt loopt de integriteit van de afgeschermde VM's risico omdat bezit is van de persoonlijke helft van de HSG-versleuteling en ondertekening sleutelpaar voldoende is voor de afscherming beveiligingen op een virtuele machine verwijderen of een valse HGS server waarvoor zwakkere attestation beleid voldoen.

Als u merkt dat u in dat geval of certificaatsleutels regelmatig vernieuwen door nalevingsstandaarden zijn vereist, overzicht van de volgende stappen uit de procedure voor het wijzigen van de sleutels op een server HGS. Houd er rekening mee dat de volgende richtlijnen vertegenwoordigt een grote onderneming die tot een onderbreking van de service op elke virtuele machine aangeboden door het cluster HGS leidt. Juiste planning voor het wijzigen van de sleutels HGS is vereist voor het minimaliseren van onderbrekingen en zorg ervoor dat de beveiliging van tenant-VM's.

Uitvoeren op een knooppunt HSG de volgende stappen voor het registreren van een nieuw sleutelpaar van versleuteling en ondertekening van certificaten. Zie de sectie over toevoegen van nieuwe sleutels voor gedetailleerde informatie over de verschillende manieren nieuwe sleutels toevoegen aan de HGS.

  1. Maak een nieuw sleutelpaar versleutelings-en handtekeningcertificaten voor uw server HGS. In het ideale geval worden deze in een hardware security module worden gemaakt.
  2. Registreren van de nieuwe versleuteling en ondertekening van certificaten met toevoegen HgsKeyProtectionCertificate

     Add-HgsKeyProtectionCertificate -CertificateType Signing -Thumbprint <Thumbprint>
     Add-HgsKeyProtectionCertificate -CertificateType Encryption -Thumbprint <Thumbprint>
    
  3. Als u vingerafdrukken gebruikt, moet u gaat u naar elk knooppunt in het cluster voor het installeren van de persoonlijke sleutel en de HGS gMSA toegang verlenen tot de sleutel.
  4. De nieuwe certificaten van de standaardcertificaten in HGS maken

     Set-HgsKeyProtectionCertificate -CertificateType Signing -Thumbprint <Thumbprint> -IsPrimary
     Set-HgsKeyProtectionCertificate -CertificateType Signing -Thumbprint <Thumbprint> -IsPrimary
    

Op dit moment afscherming van gegevens die zijn gemaakt met metagegevens die zijn verkregen van het knooppunt HSG de nieuwe certificaten gebruikt, maar bestaande VM's blijven werken omdat de oudere certificaten er nog steeds zijn. Om ervoor te zorgen dat alle bestaande virtuele machines met de nieuwe sleutels werken, moet u de sleutelbeveiliging op elke virtuele machine bijwerken. Dit is een actie die de eigenaar van de virtuele machine (persoon of entiteit in bezit is van de guardian 'eigenaar') is vereist om te worden betrokken. Voor elke afgeschermde VM, moet u de volgende stappen uitvoeren:

  1. Sluit de virtuele machine. Worden de virtuele machine kan niet ingeschakeld weer totdat de resterende stappen zijn voltooid, anders moet u het proces opnieuw starten.
  2. De huidige sleutelbeveiliging opslaan in een bestand: Get-VMKeyProtector -VMName 'VM001' | Out-File '.\VM001.kp'
  3. De KP overbrengen naar de eigenaar van de virtuele machine
  4. Het downloaden van de eigenaar van de bijgewerkte guardian-informatie van HGS hebben en importeer deze op hun lokale systeem
  5. De huidige KP lezen in het geheugen, de nieuwe guardian toegang verlenen aan de KP en sla deze op een nieuw bestand via de volgende opdrachten uit te voeren:

     $kpraw = Get-Content -Path .\VM001.kp
     $kp = ConvertTo-HgsKeyProtector -Bytes $kpraw
     $newGuardian = Get-HgsGuardian -Name 'UpdatedHgsGuardian'
     $updatedKP = Grant-HgsKeyProtectorAccess -KeyProtector $kp -Guardian $newGuardian
     $updatedKP.RawData | Out-File .\updatedVM001.kp
    
  6. Kopieer het bijgewerkte KP terug naar de hosting fabric
  7. De KP van toepassing op de oorspronkelijke virtuele machine:

    $updatedKP = Get-Content -Path .\updatedVM001.kp
    Set-VMKeyProtector -VMName VM001 -KeyProtector $updatedKP
    
  8. Ten slotte de virtuele machine starten en zorg ervoor dat deze met succes wordt uitgevoerd.
Opmerking

Als de eigenaar van de virtuele machine Hiermee stelt u een onjuiste sleutelbeveiliging op de virtuele machine en staat niet toe dat uw fabric om uit te voeren van de virtuele machine, kunt u zich niet de afgeschermde VM wordt opgestart. Als u wilt terugkeren naar de laatste bekende goede sleutelbeveiliging, uitvoeren Set-VMKeyProtector -RestoreLastKnownGoodKeyProtector

Nadat alle virtuele machines zijn bijgewerkt voor het autoriseren van de nieuwe guardian-sleutels, kunt u uitschakelen en verwijder de oude sleutels.

  1. De vingerafdrukken van de oude certificaten van ophalen Get-HgsKeyProtectionCertificate -IsPrimary $false
  2. Elk certificaat uitschakelen door het vervangen van het certificaattype en de vingerafdruk in de volgende opdracht: Set-HgsKeyProtectionCertificate -CertificateType Encryption -Thumbprint <Thumbprint> -IsEnabled $false
  3. Nadat u virtuele machines kunnen nog steeds worden gestart met verwijderen de certificaten die zijn uitgeschakeld, de certificaten uit de HGS met Remove-HgsKeyProtectionCertificate -CertificateType Encryption -Thumbprint <Thumbprint>
Belangrijk

Back-ups van de virtuele machine wordt oude sleutelbeveiliging gegevens bevatten die toestaan dat de oude certificaten worden gebruikt voor de virtuele machine wordt opgestart. Als u weet dat uw persoonlijke sleutel er inbreuk is gemaakt, moet u wordt ervan uitgegaan dat de virtuele machine back-ups kunnen worden geknoeid, ook, en de juiste actie ondernemen. Vernietigen van de virtuele machine verwijdert configuratie van de back-ups (.vmcx) de sleutelbeveiligingen ten koste van de BitLocker-herstelwachtwoord gebruiken om op te starten van de virtuele machine de volgende keer dat u nodig hebt.

Replicatie tussen knooppunten

Elk knooppunt in het cluster HGS moet worden geconfigureerd met dezelfde versleuteling, ondertekening, en (indien geconfigureerd) SSL-certificaten. Dit is nodig om ervoor te zorgen Hyper-V-hosts contact opnemen met een willekeurig knooppunt in het cluster kunnen hebben hun aanvragen dat met succes wordt verwerkt.

Als u HGS server met certificaten op basis van PFX geïnitialiseerd en vervolgens de HGS wordt automatisch de openbare en persoonlijke sleutel van deze certificaten repliceren op elk knooppunt in het cluster. U moet alleen de sleutels op één knooppunt toevoegen.

Als u HGS server met certificaatverwijzingen geïnitialiseerd of vingerafdrukken en vervolgens HGS alleen repliceert de openbare sleutel in het certificaat op elk knooppunt. Bovendien HGS zichzelf kan geen verlenen toegang tot de persoonlijke sleutel op een knooppunt in dit scenario. Daarom is het uw verantwoordelijkheid om:

  1. De persoonlijke sleutel op elk knooppunt HGS installeren
  2. De HGS groep beheerd service-account (gMSA) toegang verlenen tot de persoonlijke sleutel op elk knooppunt dat deze taken toevoegen extra operationele overhead, maar ze vereist voor een back-HSM sleutels en certificaten met niet-exporteerbare persoonlijke sleutels zijn.

SSL-certificaten nooit zijn gerepliceerd in een formulier. Het is uw verantwoordelijkheid voor het initialiseren van elke server HGS met het SSL-certificaat en elke server bijwerken wanneer u ervoor kiest te vernieuwen of vervangen van het SSL-certificaat. Bij het vervangen van het SSL-certificaat, het wordt aanbevolen dat u doen met behulp van de Set HgsServer cmdlet.

Unconfiguring HGS

Als u moet de buiten gebruik stellen of een server HGS aanzienlijk opnieuw te configureren, kunt u doen met behulp van de wissen HgsServer of Uninstall-HgsServer cmdlets.

De configuratie van de HGS wissen

Als u wilt een knooppunt verwijderen uit het cluster HGS, gebruikt u de wissen HgsServer cmdlet. Deze cmdlet wordt de volgende wijzigingen aanbrengen op de server waar het wordt uitgevoerd:

  • De registratie van de services attestation en sleutelbeveiliging bescherming
  • Hiermee verwijdert u het eindpunt 'microsoft.windows.hgs' JEA management
  • Hiermee verwijdert u de lokale computer uit de HGS failover-cluster

Als de server is de laatste HGS knooppunt in het cluster, wordt het cluster en gedistribueerde netwerknaam resource wordt ook vernietigd overeenkomt.

# Removes the local computer from the HGS cluster
Clear-HgsServer

Nadat de bewerking clear is voltooid, de HGS-server worden opnieuw geïnitialiseerd met Initialize-HgsServer. Als u gebruikt Install-HgsServer voor het instellen van een Active Directory Domain Services-domein, dat domein blijft geconfigureerde en operationele na het wissen opnieuw.

HSG verwijderen

Als u wilt verwijderen van een knooppunt uit het cluster HGS en degraderen van de Active Directory-domeincontroller die is uitgevoerd, gebruikt u de Uninstall-HgsServer cmdlet. Deze cmdlet wordt de volgende wijzigingen aanbrengen op de server waar het wordt uitgevoerd:

  • De registratie van de services attestation en sleutelbeveiliging bescherming
  • Hiermee verwijdert u het eindpunt 'microsoft.windows.hgs' JEA management
  • Hiermee verwijdert u de lokale computer uit de HGS failover-cluster
  • De Active Directory-domeincontroller verlagen als geconfigureerd

Als de server de laatste HGS knooppunt in het cluster is, wordt het domein, failover-cluster en de clusterbron gedistribueerde netwerknaam ook verwijderd.

# Removes the local computer from the HGS cluster and demotes the ADDC (restart required)
$newLocalAdminPassword = Read-Host -AsSecureString -Prompt "Enter a new password for the local administrator account"
Uninstall-HgsServer -LocalAdministratorPassword $newLocalAdminPassword -Restart

Nadat de bewerking verwijderen voltooid is en de computer opnieuw is opgestart, kunt u opnieuw installeren ADDC en HGS met Install-HgsServer of de computer koppelen aan een domein en initialiseren van de HSG-server in het domein met Initialize-HgsServer.

Als u niet langer gebruiken van de computer als een knooppunt HGS wilt, kunt u de functie van Windows.

Uninstall-WindowsFeature HostGuardianServiceRole
© 2017 Microsoft