部署受保护的虚拟机(概述)-创新互联

Hyper-V第二代虚拟机支持哪些系统可以参看:

成都网站建设、网站设计过程中,需要针对客户的行业特点、产品特性、目标受众和市场情况进行定位分析,以确定网站的风格、色彩、版式、交互等方面的设计方向。成都创新互联还需要根据客户的需求进行功能模块的开发和设计,包括内容管理、前台展示、用户权限管理、数据统计和安全保护等功能。

https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/plan/should-i-create-a-generation-1-or-2-virtual-machine-in-hyper-v

受保护的虚拟机主要有2部分构成:

  • VHDx通过“模板磁盘向导”将进行签名加密VHDx

  • 密码,RDP证书等机密信息通过“防护数据文件向导”生成受保护的数据文件PDK

只有签名过得VHDx结合PDK文件才能做受保护的虚拟机(VM):

其中PDK有2张做法:1种是资料加密,不受保护;1种是资料加密的同时受保护,那么受保护的资料加密只能在受保护的Hyper-V主机上才能启动

部署受保护的虚拟机(概述)

受保护的虚拟机主要是受保护的数据文件:

受保护的数据文件(也称为配置数据文件(PDK文件))是租户或VM所有者创建的加密文件,用于保护重要的VM配置信息,例如管理员密码,RDP证书和其他身份相关证书,域加入凭证,等等。管理员在创建受保护的VM时使用受保护的数据文件(PDK),但无法查看或使用文件中包含的信息(文件内容是加密编译的)

其中,受保护的数据文件(PDK)包含的敏感信息如下:

  • 管理员凭据

  • 答案文件(unattend.xml)

  • 一种安全策略,用于确定使用此受保护的数据(PDK)创建的VM是否配置为受保护的或支持加密

    • 请记住,配置为受保护的VM受到管理员的保护,而仅支持加密的VM则不受保护

  • 用于保护与VM的远程桌面连接的RDP证书

  • 卷签名目录,其中包含允许从中创建新VM的受信任签名模板磁盘签名列表

  • 密钥保护程序(或KPS),用于定义屏蔽虚拟机被授权运行的受保护Hyper-V环境

受保护的数据文件(PDK文件)保证将以VM所有者想要的方式创建VM。例如,当VM所有者在受保护的数据文件(PDK)中放置应答文件(unattend.xml)并将其传递给受保护的Hyper-V主机时,受保护的Hyper-V环境的IT管理员是无法查看或更改该应答文件的。同样的,受保护的Hyper-V环境的IT管理员在创建受保护的VM时不能替换不同的VHDX文件,因为受保护的数据文件(PDK)包含了具体某一个签名加密过得VHDx文件加密信息与之匹配。

下图显示了受保护数据文件(PDK)和相关配置元素

部署受保护的虚拟机(概述)

对于以前传统的已经存在的虚拟机也是可以保护的,流程如下:

部署受保护的虚拟机(概述)

要准备创建受保护的数据文件(PDK),需要挨个完成以下步骤:

  • 获取远程桌面连接的证书

  • 创建答案文件

  • 获取卷签名目录文件

  • 选择可信任的HGS群集进行验证

然后您可以创建屏蔽数据文件:

  • 创建新建虚拟机时让新虚拟机受保护数据文件(PDK)并添加监护域(人)

  • 创建新建虚拟机时让新虚拟机仅加密的数据文件(PDK)并添加监护域(人)

  • 创建对现有虚拟机进行保护的数据文件(PDK)并添加监护域(人)

  • 创建对现有虚拟机进行仅加密的数据文件(PDK)并添加监护域(人)

后面的文章会一一为大家分享。

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


网页标题:部署受保护的虚拟机(概述)-创新互联
链接分享:http://ybzwz.com/article/gssei.html