Table of contents
TOC
İçindekiler tablosunu daralt
İçindekiler tablosunu genişlet

HGS tarafından gerekli TPM modu bilgiler yakalayın

Ryan Puffer|Son Güncellenme Tarihi: 14.04.2017
|
1 Katkıda Bulunan

İçin geçerlidir: Windows Server 2016

Bu konuda TPM güvenilir kanıt (TPM modu) kullanarak guarded bilgisayarlarla duruma Hyper-V ana hazırlamak için bir yapı yöneticisi götüren Ara adımları açıklanmaktadır. Bu adımları uygulamadan önce adımları tamamlamak DNS, guarded bilgisayarlarla olacak bilgisayarlarla için yapı yapılandırma.

Önkoşullar

TPM modu kullanarak guarded bilgisayarlarla aşağıdaki gereksinimleri karşılamalıdır:

  • Donanım: bir ana bilgisayar için ilk dağıtım gereklidir. Hyper-V Canlı geçiş ekranlı sanal makine için test etmek için en az iki ana olması gerekir.

    Ana olması gerekir:

    • IOMMU ve ikinci düzey adresi çevirisi (SLAT)
    • TPM 2.0
    • UEFI 2.3.1 veya daha sonra
    • UEFI (BIOS veya "eski" mod değil) kullanarak önyükleme için yapılandırılmış
    • Güvenli Önyükleme etkin
  • İşletim sistemi: Windows Server 2016 veri merkezi sürümü

    Önemli

    Size yüklediğinizden emin olun en son toplu güncelleştirme.

  • Rolü ve Özellikler: Hyper-V rolü ve ana Velinin Hyper-V desteği özelliği. Ana Velinin Hyper-V desteği özelliği yalnızca Windows Server 2016 veri merkezi sürümleri kullanılabilir. Özel yönergeler Nano Server için bu konu sonuna olan.

Uyarı

Ana Velinin Hyper-V desteği özelliği bazı cihazlar ile uyumsuz kod bütünlüğü sanallaştırma tabanlı koruma sağlar. Bu özellik etkinleştirme önce bu yapılandırma, Laboratuvar içinde test öneririz. Bunu yapmak için hatası beklenmeyen hataları için yukarı ve veri kaybı veya bir mavi ekran hatası (Durma hatası olarak da adlandırılır) dahil olmak üzere neden olabilir. Daha fazla bilgi için bkz: kod bütünlüğü, Windows Server 2016 sanallaştırma tabanlı koruma ile uyumlu donanım.

Donanım ve yazılım bilgilerini yakalama

TPM modunda bir TPM tanımlayıcı kullanılır (bir platform tanımlayıcısı veya onay anahtarı olarak da bilinir [EKpub]) belirli bir ana guarded"gibi." yetkisi belirleme başlamak için Bu modu kanıt Güvenli Önyükleme ve kod bütünlüğü ölçü verilen Hyper-V ana sağlıklı bir durumda olduğunu ve yalnızca güvenilen kod çalıştığından emin olmak için kullanır. Sırada neler olduğunu ve sağlıklı olmadığını anlamak kanıt için aşağıdaki bilgileri yakalama gerekir:

  1. TPM tanımlayıcı (EKpub)

    • Bu bilgiler her Hyper-V ana bilgisayar için benzersiz
  2. TPM Temel (önyükleme ölçü)

    • Bu aynı sınıf donanım üzerinde çalışan tüm Hyper-V ana geçerlidir
  3. Kod bütünlüğü ilkeleri (izin verilen ikili beyaz listesi)

    • Bu yaygın donanım ve yazılım paylaşan tüm Hyper-V ana bilgisayarlar için geçerlidir

Temel ve bir "başvuru ana" bilgisayardan le ilkeleri yakalama öneririz diğer bir deyişle, veri merkezi içinde Hyper-V donanım yapılandırmayı benzersiz her sınıfının temsilcisi.

Her ana bilgisayar için (bir platform tanımlayıcısı veya EKpub) TPM tanımlayıcı yakalama

  1. Her ana bilgisayarda TPM kullanımı için hazır olduğunu - diğer bir deyişle, TPM başlatılır ve sahipliği elde edilen emin olun. TPM Yönetim Konsolu (tpm.msc) açarak veya çalıştıran TPM durumunu denetleme Get Tpm yükseltilmiş bir Windows PowerShell penceresinde. TPM değilse hazır durum başlatmak ve kendi sahipliği ayarlamak gerekir. Bu TPM Yönetim Konsolu veya çalıştırarak yapılabilir Başlatma Tpm.

  2. Her guarded ana bilgisayarda, kendi EKpub elde etmek için bir yükseltilmiş Windows PowerShell konsol içinde aşağıdaki komutu çalıştırın. İçin <HostName>, bu ana belirlemek uygun bir şey ile benzersiz ana bilgisayar adını yerine - bu kendi ana bilgisayar adı veya (varsa) bir yapı stok hizmeti tarafından kullanılan adı olabilir. Kolaylık için ana bilgisayarın adını kullanarak çıktı dosyasının adlandırın.

    (Get-PlatformIdentifier -Name '<HostName>').InnerXml | Out-file <Path><HostName>.xml -Encoding UTF8
    
  3. Yukarıdaki adımları her XML dosya benzersiz bir ad vermek emin olmanın bir guarded ana olacak her ana bilgisayar için aynı işlemi tekrarlayın.

  4. Yapabilirsiniz HGS yönetici için oluşturulan XML dosyaları sağlamak HGS ile her ana bilgisayarın TPM tanımlayıcı kaydolun.

Oluşturma ve bir kod bütünlüğü ilke uygulama

Bir kod bütünlüğü ilke yalnızca bir ana bilgisayar üzerinde çalıştırmak için güvendiğiniz yürütülebilir çalışmasına izin verilen sağlamaya yardımcı olur. Kötü amaçlı yazılımlara ve diğer yürütülebilir dosyaları güvenilir yürütülebilir dışında çalışması engellenir.

Her guarded ana TPM modunda ekranlı sanal makine çalıştırma amacıyla uygulanan bir kod bütünlüğü ilke olması gerekir. Sizin için HGS ekleyerek güvendiğiniz tam kod bütünlüğü ilkeleri belirtin. Kod bütünlüğü ilkeleri değil ilkesine uymak veya kısaca denetim herhangi bir yazılım engelleyerek ilke, (günlüğü ilke tanımlanmış değil yazılım çalıştırıldığında olaya) zorlamak için yapılandırabilirsiniz. Bu, ilk le ilke bu herhangi bir şey eksik varsa görmek için denetim (günlük) modunda oluşturun, sonra ana üretim yükleri için ilke zorlamak olduğunu önerilir. LE ilkeleri ve zorlama modu oluşturma hakkında daha fazla bilgi için bkz:

Kullanabilmeniz için önce Yeni CIPolicy bir kod bütünlüğü ilke oluşturmak için cmdlet kullanmak için kural düzeyleri karar gerekir. Birincil düzeyini öneririz Server Core için FilePublisher geri dön ile karma. Bu dosyaları le ilke değiştirme olmadan güncelleştirilecek yayımcılar ile sağlar. Yeni dosyaları veya dosyalar (hangi karma ile cinsinden) Yayımcılar olmadan değişiklikler seçeneklere, yeni sistem gereksinimleri eşleşen yeni bir le ilke oluşturmak gerektirir. Birincil düzeyini öneririz için Server ile masaüstü deneyimi Yayımcı geri dön ile karma. Kullanılabilir le ilke kural düzeyleri hakkında daha fazla bilgi için bkz: kod bütünlüğü ilkeleri dağıtan: ilke kuralları ve dosya kuralları ve cmdlet Yardım.

  1. Referans ana bilgisayarda, yeni bir kod bütünlüğü ilke oluşturun. Aşağıdaki komutları oluşturmadan FilePublisher geri dön ile düzey karma. Sonra Windows ve HGS le ilke sırasıyla ölçmek ve uygulamak için gereken ikili dosyası biçimi için XML dosyasını dönüştürür.

    New-CIPolicy -Level FilePublisher -Fallback Hash -FilePath 'C:\temp\HW1CodeIntegrity.xml' -UserPEs
    
    ConvertFrom-CIPolicy -XmlFilePath 'C:\temp\HW1CodeIntegrity.xml' -BinaryFilePath 'C:\temp\HW1CodeIntegrity.p7b'
    

    Not  yukarıdaki komut le ilke yalnızca denetleme modunda oluşturur. Yetkisiz ikili ana bilgisayarda çalışmasını engellemez. Yalnızca üretim uygulanan ilkeleri kullanmanız gerekir.

  2. Kolayca bulabileceğiniz bir yerde, kod bütünlüğü ilke dosyası (XML) devam edin. Daha sonra le ilke veya gelecekteki güncelleştirmeler sistemde yapılan değişiklikleri birleştirme zorlamak için bu dosyayı düzenlemek gerekecektir.

  3. LE ilke başvurusu ana bilgisayarınız için geçerlidir:

    1. (Dosya adı tam olarak eşleşmelidir) başvuru ana bilgisayarınızda aşağıdaki konuma ikili le ilke dosya (HW1CodeIntegrity.p7b) kopyalayın:
      C:\Windows\System32\CodeIntegrity\SIPolicy.p7b

    2. Ana ilke uygulamak için yeniden başlatın.

  4. Kod bütünlüğü ilke tipik bir iş yükünü çalıştırarak sınayın. Bu sanal makine, herhangi bir yapı Yönetimi aracıları, yedekleme aracıları çalıştıran veya sorun giderme araçları makine üzerinde içerebilir. Herhangi bir kod bütünlüğü ihlal varsa kontrol edin ve gerekiyorsa, le ilke güncelleştirin.

  5. Güncelleştirilmiş le ilke XML dosyanız karşı aşağıdaki komutları çalıştırarak, le ilke zorunlu moduna geçin.

    Set-RuleOption -FilePath 'C:\temp\HW1CodeIntegrity.xml' -Option 3 -Delete
    
    ConvertFrom-CIPolicy -XmlFilePath 'C:\temp\HW1CodeIntegrity.xml' -BinaryFilePath 'C:\temp\HW1CodeIntegrity_enforced.p7b'
    
  6. Aşağıdaki komutları kullanarak le ilke tüm ana (ile aynı donanım ve yazılım yapılandırma) için geçerlidir:

    Copy-Item -Path '<Path to HW1CodeIntegrity\_enforced.p7b>' -Destination 'C:\Windows\System32\CodeIntegrity\SIPolicy.p7b'
    
    Restart-Computer
    

    Not  le ilkeleri bilgisayarlarla için uygulama ve bu makinelerde herhangi bir yazılım güncellerken dikkatli olun. LE ilke ile uyumlu olmayan herhangi çekirdek modu sürücülerindeki başlatılması makine engelliyor olabilir. LE ilkeleri ile ilgili en iyi uygulamalar için bkz: planlama ve cihaz koruma dağıtım işlemi üzerinde Başlarken ve dağıtan cihaz koruma: kod bütünlüğü ilkeleri dağıtan.

  7. İkili dosya sağlar (örneğin, HW1CodeIntegrity_enforced.p7b) kimin HGS yönetici için de kullanabilirsiniz le ilke ile HGS kaydolun.

Donanım benzersiz her sınıf için TPM Temel yakalama

Veri Merkezi yapınızı donanımın benzersiz her sınıf için bir TPM Temel gereklidir. Bir "başvuru ana" yeniden kullanın.

  1. Referans ana bilgisayarda, Hyper-V rolü ve ana Velinin Hyper-V desteği özelliği yüklü olduğundan emin olun.

    Uyarı  ana Velinin Hyper-V desteği özelliği bazı cihazlar ile uyumsuz kod bütünlüğü sanallaştırma tabanlı koruma sağlar. Bu özellik etkinleştirme önce bu yapılandırma, Laboratuvar içinde test öneririz. Bunu yapmak için hatası beklenmeyen hataları için yukarı ve veri kaybı veya bir mavi ekran hatası (Durma hatası olarak da adlandırılır) dahil olmak üzere neden olabilir.

     Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
    
  2. Temel ilke yakalamak için aşağıdaki komutu yükseltilmiş bir Windows PowerShell konsolundan çalıştırın.

     Get-HgsAttestationBaselinePolicy -Path 'HWConfig1.tcglog'
    

    Not  kullanmanız gerekecektir - SkipValidation başvuru ana Güvenli Önyükleme yoksa, bayrak etkin, mevcut bir IOMMU, sanallaştırma dayalı güvenlik etkin ve çalıştıran veya uygulanan bir kod bütünlüğü ilke. Bu doğrulamayı ekranlı VM ana bilgisayarda çalıştırma minimum gereksinimler haberdar olmak için tasarlanmıştır. -SkipValidation bayrak kullanarak cmdlet'in çıktısını değiştirmez. yalnızca hataları kapatır.

  3. TPM Temel (TCGlog dosyası) için HGS yönetici sağlar, böylece şunları yapabilirler güvenilir bir temel olarak kaydetmek.

Nano Sunucu'yu korunan ana bilgisayar olarak yapılandırma

Nano Sunucuları dağıtmak için birkaç farklı yol vardır. Bu bölüm Nano Sunucu Hızlı Başlangıç başlıklı konuyu izler. Özet olarak, New-NanoServerImage cmdlet'ini kullanarak bir VHDX dosyası oluşturacaksınız ve fiziksel bir bilgisayarda, varsayılan önyükleme seçeneğini VHDX dosyası olarak ayarlamak için önyükleme girişini değiştireceksiniz. Nano Sunucu'nun tüm yönetimi Windows PowerShell uzaktan iletişimi aracılığıyla yapılır.

Not

Nano Sunucu korumalı VM'leri yalnızca korunan bir yapı içinde çalıştırabilir; sanal TPM cihazlarının kilidini açmak için HGS kullanmadan korumalı VM'leri çalıştırmak için kullanılamaz. Bu, Nano Sunucu korumalı VM'leri başlatmak için yerel temel malzemenin kullanımını desteklemediği için, yerinde yeni bir korumalı VM oluşturarak bunu korumalı bir yapıya taşımak için Nano Sunucu'yu kullanamayacağınız anlamına gelir.

Nano Sunucu görüntüsü oluşturma

Bu adımlar Nano Sunucu Hızlı Başlangıç başlıklı konudan alınmıştır:

  1. Windows Server 2016 ISO'daki \NanoServer klasöründen NanoServerImageGenerator klasörünü sabit sürücünüzdeki bir klasöre kopyalayın.

  2. Windows PowerShell'i yönetici olarak başlatın, dizini NanoServerImageGenerator klasörünü yerleştirdiğiniz klasör (ör. c:\NanoServer\NanoServerImageGenerator) olarak değiştirin ve ardından şunu çalıştırın:

    Import-Module .\NanoServerImageGenerator -Verbose
    
  3. Aşağıdaki komut kümesini kullanarak Nano Server görüntüsünü oluşturun:

    $mediapath = <location of the mounted ISO image, e.g. E:\>
    
    New-NanoServerImage -MediaPath $mediapath -TargetPath <nanoVHD path> -ComputerName "<nanoserver name>" -OEMDrivers -Compute -DeploymentType Host -Edition Datacenter -Packages Microsoft-NanoServer-SecureStartup-Package, Microsoft-NanoServer-ShieldedVM-Package -EnableRemoteManagementPort -DomainName <Domain Name>
    

    Komut birkaç dakika içinde tamamlanır.

Etki alanı adını belirttiğinizde, Nano Sunucu tanımlanan etki alanına katılır. Bunu yapmak için, cmdlet'i çalıştırdığınız makinenin zaten aynı etki alanına katılmış olması gerekir. Bu, cmdlet'in yerel bilgisayardan bir etki alanı blobu toplamasını sağlar. TPM modunu kullanmayı düşünüyorsanız Nano Sunucu'nun bir etki alanına katılmasını sağlamanız gerekmez. AD modu için, Nano Sunucu'nun bir etki alanına katılması gerekir.

Bir kod bütünlüğü ilkesi oluşturma

TPM modu kullanıyorsanız, yalnızca çevrimdışı Nano Server görüntüyü karşı kod bütünlüğü ilke oluşturabilirsiniz. Nano Server VHDX takma ve çalıştırın yeni CIPolicy Yönetimi sunucudan aşağıdaki gibi bir komut içinde. Bu örnek takılı sürücü G: kullanır.

New-CIPolicy -FilePath .\NanoCI.xml -Level FilePublisher -Fallback Hash -ScanPath G:\ -PathToCatroot G:\Windows\System32\CatRoot\ -UserPEs

Not  le ilke olması gerekir HGS sunucusuna eklenen.

Önyükleme menüsünü yapılandırma

Nano Sunucu görüntüsü oluşturulduktan sonra, görüntüyü varsayılan önyükleme işletim sistemi olarak ayarlamanız gerekir.

Nano Sunucu VHDX dosyasını fiziksel bilgisayara kopyalayın ve bu bilgisayardan önyükleme yapılacak biçimde yapılandırın:

  1. Dosya Gezgini'nde, oluşturulan VHDX'e sağ tıklayın ve Bağla'yı seçin. Bu örnekte, D:\ dizininin altına bağlanmıştır.

  2. Şunu çalıştırın: bcdboot d:\windows

  3. VHDX dosyasına sağ tıklayın ve çıkarmak için Çıkar'ı seçin.

Nano Sunucu'da önyükleme yapmak için bilgisayarı yeniden başlatın. Nano Sunucu artık hazırdır.

IP adresini alma

Nano Sunucu IP adresini almanız veya sunucu adını yönetim için kullanmanız gerekecektir.

  • Nano görüntüyü oluşturmak için verdiğiniz yönetici hesabını ve parolasını kullanarak Kurtarma Konsolu'nda oturum açın.

  • Nano Sunucu bilgisayarının IP adresini alın ve Nano Sunucu'ya bağlanmak ve sunucuyu uzaktan yönetmek için Windows PowerShell uzaktan iletişimini veya başka bir uzaktan yönetim araçlarını kullanın.

Uzaktan yönetim

Nano Sunucu'da Get-PlatformIdentifier gibi komutları çalıştırmak için, Nano Sunucu'ya Windows PowerShell Uzaktan İletişimini kullanarak bir grafik kullanıcı arabirimine sahip bir işletim sistemi bulunan ayrı bir yönetim sunucusundan bağlanmanız gerekir.

Windows PowerShell uzaktan iletişimi oturumu başlatmak için yönetim sunucusunu etkinleştirmek üzere:

Set-Item WSMan:\localhost\Client\TrustedHosts <nano server ip address or name>

Bu cmdlet'in yönetim sunucusunda yalnızca bir kez çalıştırılması gerekir.

Uzak oturum başlatmak için:

Enter-PSSession -ComputerName <nano server name or ip address> -Credential <nano server>\administrator

Zaman zaman, önceki cmdlet'leri çalıştırırken bir erişim reddedildi hatası alabilirsiniz. Nano Sunucu kurtarma konsolunda oturum açıp WinRM seçeneğini seçerek Nano Sunucu'da WinRM ayarlarını ve güvenlik duvarı kurallarını sıfırlayabilirsiniz.

Sonraki adıma

Ana başarıyla onaylar doğrulayın

Ayrıca bkz:

© 2017 Microsoft