Microsoft在Windows Server 2019中的重大改進

在Windows Server 2019中，Microsoft為其屏蔽虛擬機安全控制改進了彈性和冗餘的問題，該Shielded VMs於Windows Server 2016提出。

Shielded VMs最初提供了一種保護虛擬機資產的方法，將它與虛擬機管理程序基礎設施隔離開來，這也有助於向審計人員證明系統已被充分隔離和控制。現在，Window Server 2019中的Shielded VM增強功能提供了實時故障恢復配置以及基於主機和策略的安全性改進。

主機密鑰證明

在Windows Server 2016下，密鑰身份驗證基於可信平台模塊（TPM）密碼處理器和Microsoft Active Directory身份驗證。這兩者都是很好的解決方案，但在擴展性和冗餘方面受到了限制。

Windows Server 2019中新添加的的主機密鑰證明提供了基於證書的解決方案，允許組織使用標準證書存儲機制存儲密鑰。將Shielded VMs與基於TPM的系統隔離的組織可以繼續使用基於TPM的證明。

主機密鑰證明為Shielded VMs開闢了新的方案，無需再受Active Directory或基於TPM環境的限制，包括擴展Shielded VMs以及改善冗餘。

故障恢復配置

Windows Server 2016中的主機監護服務（HGS）用於配置保護主機和Shielded VMs，並提供運行Shielded VMs所需的認證和密鑰保護。當HGS無法訪問，Shielded VMs系統需要啟動時，Windows Server 2019中的故障恢復配置為HGS冗餘提供了一個附加層。Shielded VMs環境可以配置主HGS伺服器和輔助HGS伺服器，以便如果主伺服器中斷，Shielded VMs可以連接到輔助HGS伺服器以驗證啟動過程。

這可以解決遠程/分支機構問題，如果重大中斷導致伺服器關閉，重新啟動後，本地HGS伺服器尚未聯機或可能處於嚴重故障狀態，但遠程辦公室需要啟動其系統並且運行。

通過故障恢復配置，當分支機構系統嘗試向本地HGS伺服器進行身份驗證並失敗時，系統將通過WAN到達主數據中心HGS伺服器進行身份驗證，以便啟動可以繼續。這種彈性是可選配置。

改進了Shielded VMs的工具和策略

Windows Server 2019中的Shielded VMs在工具和策略的可用性方面有許多改進。其中包括：

VMConnect和PS Direct：Windows Server 2016中的Shielded VMs阻止來自主機系統控制台（使用VMConnect）的Shielded VMs訪問或從控制台到Shielded VMs（使用PS Direct）的遠程訪問。雖然這種保護的目的是防止惡意主機管理員訪問Shielded VMs，但有時候主機管理員確實需要與Shielded VMs系統和應用程序所有者一起工作，例如在Shielded VMs和主機基礎設施之間進行網路或通信控制時需要審查。 Windows Server 2019中增加了通過VMConnect和PS Direct可以訪問Shielded VMs的功能，以便對解決問題和調試時可能需要的Shielded VMs的組件進行外部訪問。

Shielded VM PowerShell Cmdlets：Microsoft發布了一個可與Windows Server 2019和Windows Server 2016配合使用的Guarded Fabric Tools模塊。它引入了像New-ShieldedVM和New-ShieldingDataAnswerFile這樣的新的cmdlet用於Shielded VM部署PowerShell控制項。由於企業正在利用PowerShell創建標準部署模板，這些新的cmdlet大大提高了在企業中創建Shielded VMs的一致性。

代碼完整性策略：從Windows Server1709版（2017年9月對Windows Server 2016的更新）開始，微軟的Device Guard增強功能提供了示例策略，可幫助組織評估並最終鎖定系統，並查找「已知有效」代碼。這可以確保惡意軟體不會在系統不能識別並發送非標準、不支持或未識別代碼的警報的情況下，進入系統並在系統上運行。代碼完整性策略將幫助運行Shielded VM保護系統的組織從內到外評估其安全風險。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！