Дневник megavtogal.com

МЕНЮ
  • Контакты
  • Статьи

Guarded host windows 10 что это

Обновлено: 23.01.2025

Сводка: Разъяснение оборудования и Credential Guard для Windows 10 Enterprise, образовательных, выпусков на Latitude, OptiPlex, систем Precision с Skylake KABY Lake с технологиями VT-x и VT-d Свернуть Разъяснение оборудования и Credential Guard для Windows 10 Enterprise, образовательных, выпусков на Latitude, OptiPlex, систем Precision с Skylake KABY Lake с технологиями VT-x и VT-d

Возможно, эта статья была переведена автоматически. Если вы хотите поделиться своим мнением о ее качестве, используйте форму обратной связи в нижней части страницы.

Симптомы

Сводка. «Обзор двух новых функций безопасности Windows 10 Enterprise Ready: Credential Guard и Device Guard».

Что такое Device Guard и Credential Guard?

Device Guard и Credential Guard являются функциями локальной безопасности (LSA) на основе виртуализации (VBS) с помощью драйверов Hypervisor целостности кода (ХВЦИ) и совместимой BIOS в сочетании с операционной средой Windows 10 Enterprise/образовательных Edition. система и доступна только для систем, на которые распространяются Microsoft лицензионное соглашение корпоративного лицензирования (ВЛА).

Credential Guard использует безопасность на основе виртуализации, чтобы изолировать секреты (учетные данные), чтобы доступ к ним мог иметь только привилегированное системное программное обеспечение. Несанкционированный доступ к этим конфиденциальным данным может привести к атакам на хищение учетных данных. Credential Guard предотвращает эти атаки, защищая хэш-коды паролей NT LAN Manager (NTLM) и билеты выдачи билетов Kerberos. Credential Guard использует систему безопасности на основе виртуализации, чтобы изолировать секреты, чтобы доступ к ним мог иметь только привилегированное системное программное обеспечение. Credential Guard не зависит от Device Guard.

Device Guard — это комбинация аппаратных и программных средств безопасности, связанных с предприятием и программного обеспечения, которые, при совместной настройке, будут блокировать устройство, чтобы оно выполняло только доверенные приложения. Если это не доверенное приложение, оно не может быть запущено. Если настроен, устройство блокируется, чтобы он мог запускать только доверенные приложения, определенные в политиках целостности кода. Device Guard зависит от безопасности на базе виртуализации (VBS).

Как они работают?

Функции безопасности на основе виртуализации в Windows 10 Enterprise/образованиях используют широкий спектр элементов безопасности, таких как UEFI, безопасную загрузку, доверенный платформенный модуль (TPM) 2,0. В Dell проверена точность выбора, Latitude и OptiPlex систем, которые должны иметь обновленные драйверы, совместимые с BIOS и ХВЦИ.

UEFI встроенного по версии 2.3.1 или выше: UEFI заблокирован (порядок загрузки, загрузочные записи, параметры безопасной загрузки, модули виртуализации, ИОММУ, Microsoft UEFI CA), поэтому параметры в UEFI нельзя изменить для компрометации безопасности Device Guard.

Credential Guard.

  • Аппаратная защита: Credential Guard повышает безопасность порожденных учетных данных домена, используя преимущества функций безопасности платформы, включая, безопасную загрузку и виртуализацию.
  • Улучшенная защита от расширенных устойчивых угроз: защита учетных данных в производном домене с помощью средств безопасности на основе виртуализации блокирует приемы и средства атаки на хищение учетных данных, используемые в самых современных атаках
    • Вредоносные программы, работающие в операционной системе с правами администратора, не могут извлекать секреты, защищенные средствами безопасности на основе виртуализации.

    SLN304974_ru__1iC_External_Link_BD_v1

    Защита учетных данных в производном домене с помощью Credential Guard

    Device Guard.

    • В случае тысяч новых вредоносных файлов, созданных каждый день, используйте традиционные методы, например антивирусные решения — обнаружение на основе подписей для борьбы с вредоносными программами — обеспечивает недостаточное защитную защиту от новых атак.
    • Device Guard на Windows 10 корпоративных изменений в режиме, в котором приложения являются доверенными, если они не блокируются с помощью антивирусного или иного решения для обеспечения безопасности, в режиме, в котором операционная система доверяет только приложениям, авторизованным вашим предприятием. Эти надежные приложения определяются путем создания политик целостности кода.

    Четыре способа управления Device Guard

    • Групповая политика: Windows 10 предоставляет административный шаблон для настройки и развертывания политик целостности кода, настраиваемых для вашей организации. Этот шаблон также позволяет указать, какие функции защиты данных на аппаратном уровне вы хотите включить и развернуть. Можно управлять этими настройками вместе с существующими объектами групповой политики (GPO), что упрощает внедрение функций Device Guard.
    • Microsoft System Center Configuration Manager: можно использовать System Center Configuration Manager для упрощения развертывания и управления файлами каталогов, политиками целостности кода и компонентами безопасности на аппаратном обеспечении, а также обеспечения контроля версий.
    • Windows PowerShell
    • Microsoft Intune

    Разрешение

    Часто задаваемые вопросы.

    SLN304974_ru__2iC_External_Link_BD_v1

    Что такое Windows 10 корпоративных SKU?
    Windows 10 Enterprise SKU — это другая версия ОС Windows, доступная только для заказчиков Microsoft корпоративного лицензирования, которые приобрели ПК с лицензией на Windows 10 Professional, а затем осуществляют модернизацию до Windows 10 Enterprise для получения инкрементных функций. В Windows 10 Enterprise предусмотрены два средства защиты данных, недоступных на профессиональном или домашнем SKU: Credential Guard и Device Guard. Сравнение функций продуктов Windows OS.

    Что такое Device Guard и Credential Guard?
    Device Guard и Credential Guard — это новые функции безопасности, доступные только в Windows 10 Enterprise на сегодняшний день. Device Guard — это комбинация аппаратных и программных средств безопасности, связанных с предприятием и программного обеспечения, которые, при совместной настройке, будут блокировать устройство, чтобы оно выполняло только доверенные приложения. Если это не доверенное приложение, оно не может быть запущено. Credential Guard использует безопасность на основе виртуализации, чтобы изолировать секреты (учетные данные), чтобы доступ к ним мог иметь только привилегированное системное программное обеспечение. Несанкционированный доступ к этим конфиденциальным данным может привести к атакам на хищение учетных данных. Credential Guard предотвращает эти атаки, защищая хэши паролей NTLM и билеты на получение билетов Kerberos.

    Что такое безопасность на базе виртуализации (VBS)?
    Это защита, использующая гипервизор для защиты ядра и других частей операционной системы. С помощью VBS по умолчанию политика целостности кода в режиме ядра или политика целостности кода, настраиваемая & развертывания, становится более надежной.

    Как убедиться, что включена защита целостности кода на основе виртуализации?
    Простейшим механизмом является запуск приложения «информационная система» (Msinfo32). Выполните поиск по следующей строке: «службы безопасности Device Guard работают». Он должен сообщить: «Hypervisor принудительная целостность кода». Для просмотра с помощью инструментов управления также можно использовать интерфейс инструментария управления Windows (WMI).

    Может ли система продолжать работать в Win10 Enterprise, если система не готова к работе с Win10 Enterprise?
    Да, если система приобретена с Win10 Pro, то заказчики корпоративных лицензий смогут всегда модернизировать систему до Win10 Enterprise и все функции корпоративного уровня, кроме Device Guard и Credential Guard, так как эти две функции безопасности требовать, чтобы функции BIOS, драйвера и процессора были совместимы с требованиями Microsoft.

    Каковы требования для активации Device Guard и Credential Guard в моей Dell системах?
    Заказчикам, которым требуется модернизация систем для активации Device Guard и Credential Guard, требуются три следующих условия:

    SLN304974_ru__2iC_External_Link_BD_v1

    1. Устройства Latitude/OptiPlex/Precision/Win10 должны быть готовы к работе в корпоративной среде. Убедитесь в том, что BIOS и драйверы обновлены до версии, которая может быть готова к работе в рамках предприятия. Сведения о готовности драйверов BIOS/ХВЦИ для каждой платформы см. в разделе «Список платформ».
    2. В конфигурации должны использоваться процессоры с поддержкой рассылки и группы КОНСИСТЕНТНОСТИ. Процессоры, которые являются разрешениями для рассылки и группы КОНСИСТЕНТНОСТИ, означают, что они поддерживают функции Intel VT-x и VT-d, которые являются обязательными требованиями к поддержке Device Guard и Credential Guard на Windows 10. Для того, чтобы узнать, поддерживает ли процессор технологию Intel VT-x и VT-d. См. эту ссылку для :® технические характеристики продукции Intel
    3. Заказчики должны иметь Microsoft корпоративную лицензию; Win10 Enterprise не является SKUом OEM. Заказчики могут получать Win10 Enterprise BITS только от Microsoft непосредственно.

    Подробные требования:

    Требуем Требуется для Credential Guard Требуется для Device Guard
    Оборудование: 64-разрядный ЦП Х Х
    Оборудование: расширения виртуализации — таблицы Intel VT-x, AMD-V и дополнительные таблицы страниц Х Х
    Оборудование: VT-D или AMD VI ИОММУ (блок управления памятью ввода-вывода) Х
    Оборудование: версия доверенного платформенного модуля (TPM) Х
    Встроенное по: UEFI 2.3.1. c или более поздней версии, а также безопасной загрузки Х Х
    Встроенное по: процесс безопасного обновления встроенного по Х Х
    Встроенное по: Защита конфигурации и управления загрузкой Х Х
    Встроенное по: безопасное MORное внедрение Х
    Программное обеспечение: Windows Edition Х Х
    Программное обеспечение: драйверы, совместимые с ХВЦИ Х

    Дополнительные требования для Windows 10 1607

    Требуем Требуется для Credential Guard Требуется для Device Guard
    Встроенное по: безопасная загрузка аппаратно-управляемой платформы Trusted (ХСТИ) Х Х
    Встроенное по: микропрограмма обновлена с помощью обновления Windows Х Х
    Встроенное по: Конфигурация БД

    Необходимо иметь Microsoft корпоративного лицензирования для Win10 Enterprise, который был создан непосредственно из Microsoft (включая заказчиков, выполняющих модернизацию Windows 10 Pro SKU, поставляемых Dell). Dell не предоставляет Windows 10 предприятия в качестве OEM SKU.

    Если вы хотите развернуть Device Guard, см Windows. руководство по развертыванию и развертыванию Credential Guard. Руководство по развертыванию учетных данных и развертывание Credential Guard см. в разделе: требования и рекомендации по планированию развертывания для Credential Guard.

    Какие параметры BIOS необходимо установить для Device Guard и Credential Guard?
    Эти параметры должны быть включены. Убедитесь в том, что у вас установлена последняя версия BIOS, указанная в списке поддерживаемых BIOS.

    SLN304974_ru__2iC_External_Link_BD_v1

    Как проверить Device Guard и Credential Guard?
    Можно использовать инструмент Device Guard и Credential Guard revalidation .

    • Убедитесь, что система поддерживает запуск Device Guard или Credential Guard.
    • Отключение и активация Device Guard или Credential Guard

    Перед запуском средства убедитесь в том, что в PowerShell включена правильная политика выполнения. (См. рис. 1. Уменьшит

    Установку-Ексекутионполици-Ексекутионполици Ремотесигнед

    SLN304974_ru__7Enterprise-DG-CG


    Рис. 1. — Политика выполнения в PowerShell в качестве примера.

    Проверка: DG_Readiness. ps1 — [/группы консистентности/хвЦи] — перезагрузка

    Чтобы включить: DG_Readiness. ps1 – Enable – [группы консистентности] — перезагрузка

    Чтобы отключить: DG_Readiness. ps1 – Disable-[/группы КОНСИСТЕНТНОСТИ]-reboot

    Выполнена ли предварительная настройка системы с помощью Device Guard или Credential Guard?
    Нет, Dell убедиться в том, что проверенные системы полностью проверены на совместимость с встроенным по BIOS и ХВЦИ драйверов, что необходимо для включения систем для устройства или Credential Guard. Необходимо включить эту функцию на основе включенного коммутатора выше или пошаговой процедуры в руководстве по развертыванию (см. раздел Ресурсы).

    Что представляет собой готовность к драйверу ХВЦИ и как узнать, есть ли у меня нужные драйверы?
    ХВЦИ — это Hypervisorная целостность кода. Служба ХВЦИ в Windows 10 определяет, насколько надежно и надежно разрабатывается код, выполняемый в режиме ядра. Она предлагает нулевые дни и уязвимости, позволяя убедиться, что все программное обеспечение, работающее в режиме ядра, в том числе драйверы, безопасно выделять память и работать так, как они предназначены.

    Используйте инструмент Дгреадинесс.

    Для проверки: DG_Readiness. ps1 — ХВЦИ-unreboot

    Примечание. Dell подтвердила готовность драйвера для Dell поддерживаемых драйверов. Если в системе установлены другие драйверы сторонних производителей, необходимо убедиться, что они совместимы с ХВЦИ. Совместимость драйверов с Device Guard в Windows 10

    Какие Dell системы поддерживают защиту устройств и Credential Guard?
    Чтобы активировать Device Guard и Credential Guard, системам Dell Skylake и KABY Lake Generation требуются драйверы, совместимые с BIOS и Hypervisorной целостностью кода (ХВЦИ).

    Ниже приведены все системы, в которых Dell поддерживает эту функцию. В следующей таблице приведен список версий драйверов и версий BIOS для каждой платформы.

    SLN304974_ru__8icon

    Примечание. системы являются готовыми к работе Device Guard. Это означает, что проверка выполняется с помощью Device Guard и Credential Guard. Они не были предварительно настроены. Необходимо настроить Device Guard и Credential Guard в системах, используя шаги по настройке, описанные в руководстве по развертыванию или сценарии Дгреадинесс.

    SLN304974_ru__2iC_External_Link_BD_v1

    Если процессор является технологией vPro, то это означает, что они поддерживают файловую группу или группы КОНСИСТЕНТНОСТИ?
    Да. Кроме того, некоторые процессоры без процессоров vPro также поддерживают эту же функцию: группы КОНСИСТЕНТНОСТИ (VT-x/VT-d). Для того, чтобы узнать, поддерживает ли процессор технологию Intel VT-x и VT-d. См. эту ссылку для :® технические характеристики продукции Intel

    Дополнительные ресурсы

    Руководство по развертыванию Device Guard
    Требования к оборудованию Windows Credential Guard
    Требования к оборудованию Windows Defender Device Guard

    Что такое экранированные виртуальные машины и как их настроить в Windows Server

    Виртуализация может предоставлять хакерам данные и ключи шифрования. Защищенные виртуальные машины Microsoft и Host Guardian Service блокируют их. При всех своих преимуществах, диск для виртуализации всего, создал очень большую проблему безопасности: виртуализация создает единую цель для потенциального нарушения безопасности. Когда хост запускает 50 виртуальных машин (VM) и атакуется, у вас есть настоящая проблема.

    Один скомпрометированный хост компрометирует 50 виртуальных машин, работающих на нем, и теперь у вас есть то, что я с любовью называю моментом «святой»

    Поскольку вы были виртуализированы, вы превратили целую кучу серверов и операционных систем в пару файлов, которые очень легко украсть.

    В отрасли нужен способ защиты от онлайн-и оффлайн-атак, которые могут поставить под угрозу все фермы виртуальных машин. Microsoft проделала определенную работу в этой области в Windows Server 2016 с экранированной виртуальной машиной и ее сестринской службой Host Guardian Service (HGS).

    Что сделали люди в Редмонде

    Безопасность при виртуализации

    Безопасность при виртуализации

    Давайте рассмотрим проблему как набор проблем, которые необходимо решить для решения безопасности для смягчения задач по виртуализации проблем.

    Что такое экранированная виртуальная машина (VM)?

    Защищенная виртуальная машина защищает от проверки, кражи и вмешательства со стороны администраторов вредоносных программ и центров обработки данных, включая администраторов сетей, администраторов хранилищ, администраторов хоста виртуализации и других сетевых администраторов.

    Позвольте мне объяснить, как работает экранированная ВМ: это VM поколения 2. Основной файл данных для виртуальной машины, файла VHDX, зашифровывается с помощью BitLocker, чтобы содержимое виртуальных дисков было защищено.

    Большая проблема для преодоления заключается в том, что вы должны поместить ключ дешифрования где-нибудь. Если вы поместите ключ на хост виртуализации, администраторы могут просмотреть ключ, а шифрование бесполезно. Ключ должен храниться вне хоста в затененной области.

    Что такое экранированная виртуальная машина

    Решение состоит в том, чтобы оснастить VM Generation 2 виртуальным доверенным платформенным модулем (vTPM) и обеспечить, чтобы vTPM защищал ключи шифрования BitLocker так же, как обычный кремниевый TPM обрабатывал ключи для дешифрования BitLocker на обычном ноутбуке.

    (Он даже не запускается в ядре, и все, что он делает, разговаривает с службой-опекуном, чтобы выполнять инструкции по освобождению или удерживанию ключа дешифрования.)

    Что такое служба Host Guardian?

    Как VM знает когда релиз ключа?

    Введите службу Host Guardian Service (HGS), кластер машин, которые обычно предоставляют две службы:

    • аттестация, которая проверяет, что только доверенные хосты Hyper-V могут запускать экранированные виртуальные машины;
    • и Key Protection Service, которая имеет право освобождать или отклонять ключ дешифрования, необходимый для запуска экранированных виртуальных машин, о которых идет речь.

    служба Host Guardian Service

    HGS проверяет экранированные виртуальные машины, проверяет ткань, на которой они пытаются начать и запускать, и говорит: «Да, это одобренная ткань, и эти хосты выглядят так, как будто они не были скомпрометированы. Выпустить Кракена! Я имею в виду ключи ».

    Затем весь shebang расшифровывается и запускается на охраняемых хозяевах. Если какой-либо из этих сдержек и противовесов не удался, то ключи не освобождаются, дешифрование не выполняется, и экранированная виртуальная машина не запускается.

    HGS подтверждает работоспособность хоста, запрашивающего разрешение на запуск виртуальной машины до того, как он освободит ключи для дешифрования экранированной виртуальной машины. Защита также внедрена в аппаратное обеспечение, что делает их почти наверняка самым надежным решением на рынке сегодня.

    Как создать экранированные виртуальные машины

    Как создать экранированные виртуальные машины

    Этот каталог помогает подтвердить, что шаблон не был изменен с момента его создания. Мастер, называемый мастером экранирующих файлов данных, позволяет создавать эти пакеты. Мастер создания защищенного шаблона позволяет сделать этот процесс более плавным.

    Различия между экранированными и обычными виртуальными машинами

    Экранная виртуальная машина действительно экранирована даже от администратора ткани до такой степени, что в диспетчере виртуальных машин System Center или даже в голой Hyper-V Manager вы просто не можете подключиться через консоль VM к экранированной виртуальной машине. Вы должны использовать RDP и аутентифицироваться в гостевой операционной системе, где владелец виртуальной машины может решить, кому разрешено напрямую обращаться к сеансу консоли VM.

    Различия между экранированными и обычными виртуальными машинами

    Администратор не получает автоматический доступ. Это фактически означает что администратор гостевой операционной системы VM становится администратором виртуализации в экранированных сценариях VM, а не владельцем инфраструктуры хоста, как это было бы при типичном развертывании стандартной виртуализации.

    Это делает экранированные виртуальные машины идеальным выбором для контроллеров домена, служб сертификации и любой другой виртуальной машины, выполняющей рабочую нагрузку с особенно высоким воздействием на бизнес. Эта передача возможностей администратора виртуализации ставит вопрос о том, что делать, а затем, когда виртуальная машина запущена, и вы больше не можете обращаться к ней по сети. Для этого нужен «ремонтный гараж».

    Администратор может припарковать поврежденную виртуальную машину внутри другой экранированной виртуальной машины, которая является функциональной и использует вложенную виртуализацию (Hyper-V в Hyper-V) для ее запуска, подключается к экранированному гаражу ремонта по RDP, как и любая другая экранированная виртуальная машина, и выполняет ремонт вложенной нарушенной VM в безопасных пределах экранированного гаража VM.

    После завершения ремонта администратор ткани может вернуть вновь отремонтированную виртуальную машину из экранированного ремонтного гаража и вернуть ее на защищенную ткань, как будто ничего не произошло. Защищенная среда может работать в нескольких режимах: во-первых, чтобы упростить первоначальное принятие, существует режим, в котором роль администратора ткани по-прежнему доверяют.

    Вы можете настроить доверенность Active Directory и группу, в которой эти машины могут зарегистрироваться, а затем вы можете добавить в эту группу хост-машины Hyper-V для получения разрешения на запуск экранированных виртуальных машин. Это более слабая версия полной защиты, так как администратор доверен, и нет никаких проверенных прав на доверенность или аттестация для загрузки и целостности кода.

    С полной моделью администратору структуры не доверяют, доверие охраняемых хостов коренится в физическом TPM, и охраняемые хосты должны соблюдать политику целостности кода для ключей, чтобы расшифровать экранированные виртуальные машины, которые будут выпущены.

    Другие замечания о том, как ведут себя экранированные виртуальные машины и требования к их запуску:

    Последнее слово

    Стремление к виртуализации всех вещей оставило ключевой вектор атаки практически незащищенным до сих пор. Использование экранированных виртуальных машин добавляет супер-уровень безопасности к приложениям которые у вас есть прямо сейчас, даже те которые работают в Linux.

    Безопасность виртуализации — это основная вложенная область в Hyper-V. Помимо защиты узлов или других виртуальных машин от ВМ с вредоносными программами необходимо также защитить их от скомпрометированного узла. Это фундаментальная опасность для каждой платформы виртуализации сегодня, будь то Hyper-V, VMware или любой другой. Простыми словами, если файл виртуальной машины извлекается из системы организации (злонамеренно или случайно), его можно запустить в любой другой системе. Защита ценных ресурсов, таких как контроллеры домена, конфиденциальные файловые серверы и системы отдела кадров, — самая приоритетная задача в организации.

    чтобы помочь защититься от скомпрометированной структуры виртуализации, Windows Server 2016 Hyper-V предоставили экранированные виртуальные машины. экранированная виртуальная машина — это виртуальная машина поколения 2 (поддерживается в Windows Server 2012 и более поздних версиях) с виртуальным доверенным платформенным модулем, шифруется с помощью BitLocker и может выполняться только на работоспособных и утвержденных узлах в структуре. Благодаря экранированным виртуальным машинам и защищенной структуре поставщики облачных служб или администраторы корпоративного частного облака предоставляют более безопасную среду для клиентских виртуальных машин.

    Защищенная структура состоит из:

    • одной службы защиты узла (HGS) (как правило, кластера из 3-х узлов);
    • одного или нескольких защищенных узлов;
    • набора экранированных виртуальных машин. На схеме ниже показано, как служба защиты узла использует аттестации, чтобы обеспечить запуск экранированных виртуальных машин только на известных допустимых узлах, и безопасное освобождение ключей для этих виртуальных машин.

    Когда клиент создает экранированные виртуальные машины, запущенные в защищенной структуре, узлы Hyper-V и эти виртуальные машины защищаются с помощью службы HGS. HGS предоставляет две различные службы: аттестации и защиты ключей. Служба аттестации гарантирует, что экранированные виртуальные машины могут запускаться только на доверенных узлах Hyper-V, тогда как служба защиты ключей предоставляет ключи, с помощью которых можно включить виртуальные машины и выполнить их динамическую миграцию на другие защищенные узлы.

    Структура защищенного узла

    Видео: введение в экранированные виртуальные машины

    Режимы аттестации в решении защищенной структуры

    HGS поддерживает различные режимы аттестации для защищенной структуры:

    • Аттестация, доверенная доверенным платформенным модулем (на основе оборудования)
    • Аттестация ключа узла (на основе пар асимметричных ключей)

    Рекомендуется использовать аттестацию по ключу доверенного платформенного модуля, так как она предоставляет более надежные гарантии, что описано в приведенной ниже таблице. Но в этом случае требуется, чтобы у узлов Hyper-V был доверенный платформенный модуль версии 2.0. Если в настоящее время нет доверенного платформенного модуля (TPM) 2,0 или TPM, можно использовать аттестацию ключа узла. Если вы приобретете новое оборудование и захотите перейти на аттестацию по ключу доверенного платформенного модуля, смените режим аттестации в службе защиты узла без прерывания или с минимальным прерыванием работы структуры.

    Режим аттестации, выбираемый для узлов Гарантии узла
    Аттестация по ключу доверенного платформенного модуля: предоставляет самую надежную защиту, но требует дополнительной настройки. Оборудование и встроенное по узла должны включать в себя TPM 2,0 и UEFI 2.3.1 с включенной безопасной загрузкой. Защищенные узлы утверждаются на основе удостоверения доверенного платформенного модуля, измеряемой последовательности загрузки и политик целостности кода, чтобы гарантировать выполнение только утвержденного кода.
    Аттестация ключа узла: Предназначен для поддержки существующего оборудования узла, когда доверенный платформенный модуль 2,0 недоступен. Такая аттестация требует меньше этапов настройки и совместима со стандартным серверным оборудованием. Защищенные узлы утверждаются в зависимости от принадлежности ключа.

    другой режим с именем "доверенная аттестация с правами администратора" устарел, начиная с Windows Server 2019. Этот режим основан на защищенном членстве узла в назначенной группе безопасности домен Active Directory Services (AD DS). Аттестация ключа узла обеспечивает аналогичную идентификацию узла и проще в настройке.

    Гарантии, предоставляемые службой защиты узла

    HGS, а также методы создания экранированных виртуальных машин обеспечивают следующие гарантии.

    Тип гарантии для виртуальных машин Гарантии экранированной виртуальной машины, предоставленные службой защиты ключей и методами создания экранированных виртуальных машин
    Шифрование дисков с помощью BitLocker (диски ОС и диски данных) Экранированные виртуальные машины используют BitLocker для защиты своих дисков. Ключи BitLocker, необходимые для загрузки виртуальной машины и расшифровки дисков, защищаются виртуальным доверенным платформенным модулем экранированной виртуальной машины с помощью проверенных отраслевых технологий, таких как безопасная измеряемая загрузка. Хотя экранированные виртуальные машины автоматически шифруют и защищают только диск операционной системы, можно также шифровать диски с данными, подключенные к этим машинам.
    Развертывание новых экранированных виртуальных машин из "доверенных" шаблонов дисков и образов При развертывании новых экранированных виртуальных машин клиенты могут указать, каким шаблонам дисков они доверяют. В экранированных шаблонах дисков есть подписи, которые определяются в тот момент, когда их содержимое распознается как надежное. Подписи дисков затем сохраняются в каталоге подписей, который безопасно передается клиентами структуре при создании экранированных виртуальных машин. Во время подготовки экранированных виртуальных машин подпись диска определяется снова и сравнивается с доверенными подписями в каталоге. Если подписи совпадают, машина развертывается. В противном случае шаблон диска такой машины считается ненадежным и происходит сбой развертывания.
    Защита паролей и других секретов при создании экранированной виртуальной машины При создании виртуальных машин необходимо убедиться, что секреты виртуальной машины, такие как подписи доверенных дисков, сертификаты RDP и пароль учетной записи локального администратора виртуальной машины, не будут представлены в структуре. Эти секреты хранятся в файле данных экранирования (PDK-файле) — зашифрованном файле, который защищен ключами клиента и отправлен клиентом в структуру. При создании экранированной виртуальной машины клиент выбирает, какие данные экранирования использовать. При этом секреты безопасно передаются доверенным компонентам внутри защищенной структуры.
    Контроль на уровне клиента в отношении структуры для запуска виртуальной машины Данные экранирования также содержат список защищенных структур, в которых разрешен запуск определенной экранированной виртуальной машины. Это полезно в случаях, когда экранированная виртуальная машина обычно находится в локальном частном облаке, но для аварийного восстановления ее нужно перенести в другое облако (частное или общедоступное). Целевое облако или структура должны поддерживать экранированные виртуальные машины, и эти машины должны разрешать запуск в этой структуре.

    Что такое данные экранирования и зачем они нужны

    Файл данных экранирования (также называемый файлом данных подготовки, или PDK-файлом) — это зашифрованный файл, который создает клиент или владелец виртуальной машины, чтобы защитить важную информацию о конфигурации виртуальной машины (пароль администратора, протокол удаленного рабочего стола и другие сертификаты с информацией об удостоверениях, учетные данные для присоединения домена и т. д.). Администратор структуры использует файл данных экранирования при создании экранированной виртуальной машины, но не может просматривать и использовать содержащиеся в нем сведения.

    Кроме того, файлы данных экранирования содержат следующие секреты:

    На рисунке ниже показан файл данных экранирования и связанные с ним элементы конфигурации.

    Иллюстрация, на которой показан файл данных экранирования и связанные элементы конфигурации.

    Типы виртуальных машин, которые могут выполняться в защищенной структуре

    В защищенной структуре могут запускаться виртуальные машины одного из следующих типов:

    1. Обычная виртуальная машина, которая не обеспечивает защиту, представленную только в предыдущих версиях Hyper-V.
    2. Виртуальная машина с поддержкой шифрования, защиту которой может настроить администратор структуры.
    3. Экранированная виртуальная машина, все средства защиты которой постоянно включены и не могут быть отключены администратором структуры.

    Виртуальные машины с поддержкой шифрования предназначены для случаев, когда есть полное доверие к администратору структуры. Например, предприятие может развернуть защищенную структуру, чтобы выполнять для дисков виртуальной машины шифрование неактивных данных с целью соответствия требованиям. Администраторы структуры по-прежнему могут использовать удобные средства управления, например подключения к консоли виртуальной машины, PowerShell Direct и другие повседневные средства управления и устранения неполадок.

    Экранированные виртуальные машины предназначены для структур, где данные и состояние виртуальной машины должны быть защищены как от администраторов структуры, так и от ненадежного программного обеспечения, которое может выполняться на узлах Hyper-V. К примеру, экранированные виртуальные машины никогда не разрешат подключение к консоли виртуальной машины, тогда как для виртуальных машин с поддержкой шифрования администратор структуры может включить или отключить эту защиту.

    В следующей таблице перечислены различия между поддерживаемыми шифрованием и экранированными виртуальными машинами.

    Возможности Второе поколение. Поддержка шифрования Второе поколение. Экранирование
    Безопасная загрузка Да, необходимо, но есть возможность настройки Да, необходимо, применяется принудительно
    Виртуальный доверенный платформенный модуль Да, необходимо, но есть возможность настройки Да, необходимо, применяется принудительно
    Шифрование состояния виртуальной машины и трафика динамической миграции Да, необходимо, но есть возможность настройки Да, необходимо, применяется принудительно
    Компоненты интеграции Настраивается администратором структуры Некоторые компоненты интеграции заблокированы (например, обмен данными, PowerShell Direct)
    Подключение к виртуальной машине (консоль), HID-устройства (например, клавиатура, мышь) Включено, не может быть отключено включено на узлах, начинающихся с Windows Server версии 1803; Отключено на более ранних узлах
    Последовательные или COM-порты Поддерживается Отключено (не может быть включено)
    Подключение отладчика (к процессу виртуальной машины) 1 Поддерживается Отключено (не может быть включено)

    1 Традиционные отладчики, которые присоединяются непосредственно к процессу, например WinDbg.exe, заблокированы для экранированных виртуальных машин, так как рабочий процесс виртуальной машины (VMWP.exe) является защищенным процессом (PPL). Альтернативные методы отладки, такие как используемые LiveKd.exe, не блокируются. В отличие от экранированных виртуальных машин, Рабочий процесс для поддерживаемых шифрованием виртуальных машин не выполняется в виде PPL, поэтому традиционные отладчики, такие как WinDbg.exe, будут продолжать работать в обычном режиме.

    Как экранированные виртуальные машины, так и виртуальные машины с поддержкой шифрования продолжают поддерживать стандартные возможности управления структуры, в том числе динамическую миграцию, реплику Hyper-V, контрольные точки виртуальной машины и т. д.

    Служба защиты узла в действии. Включение экранированной виртуальной машины

    Файл данных экранирования

    Включается виртуальная машина VM01. Прежде чем защищенный узел сможет включить экранированную виртуальную машину, нужно подтвердить его работоспособность. Чтобы доказать, что он работоспособен, он должен предоставить сертификат работоспособности службе защиты ключей. Он передается в ходе аттестации.

    Узел запрашивает аттестацию. Защищенный узел запрашивает аттестацию. Режим аттестации устанавливается службой защиты узла.

    Аттестация, доверенная доверенным платформенным модулем. узел Hyper-V отправляет сведения, содержащие:

    сведения, определяющие доверенный платформенный модуль (ключ подтверждения);

    сведения о процессах, запущенных в течение последней последовательности загрузки (журнал TCG);

    Сведения о политике целостности кода (CI), примененной на узле.

    Аттестация происходит при запуске узла, а затем каждые 8 часов. Если по какой-либо причине у узла нет сертификата аттестации при попытке запуска виртуальной машины, это также активирует аттестацию.

    Аттестация по группе доверенного администратора. Узел Hyper-V отправляет билет Kerberos, который определяет группы безопасности, в которые входит узел. HGS проверяет, принадлежит ли узел к группе безопасности, которую ранее настроил доверенный администратор HGS.

    Аттестация завершается успешно (или с ошибкой). Режим аттестации определяет, какие проверки необходимы для успешной аттестации работоспособности узла. При использовании аттестации, доверенной для доверенного платформенного модуля, проверяется удостоверение TPM узла, измерения загрузки и политика целостности кода. При использовании аттестации ключа узла проверяется только регистрация ключа узла.

    Сертификат аттестации отправляется на узел. Предполагая, что аттестация прошла успешно, сертификат работоспособности отправляется на узел, а узел считается защищенным (разрешено запускать экранированные виртуальные машины). Узел использует сертификат работоспособности для авторизации службы защиты ключей, чтобы безопасно освободить ключи, необходимые для работы экранированных виртуальных машин.

    Узел запрашивает ключ виртуальной машины. У защищенного узла отсутствуют ключи, необходимые для включения экранированной виртуальной машины (в этом случае VM01). Чтобы получить необходимые ключи, защищенный узел должен предоставить службе защиты ключей следующее:

    • текущий сертификат работоспособности;
    • зашифрованный секрет (предохранитель ключа), содержащий необходимые для включения VM01 ключи. Секрет зашифрован с использованием других ключей, известных только службе защиты ключей.

    Ключ освобождается. Служба защиты ключей проверяет сертификат работоспособности на допустимость. Сертификат не должен быть просрочен, и служба защиты ключей должна доверять службе аттестации, выдавшей его.

    Ключ возвращается на узел. Если сертификат работоспособности допустим, служба защиты ключей пытается расшифровать секрет и безопасно вернуть ключи, необходимые для включения виртуальной машины. Обратите внимание, что ключи шифруются в VBS защищенного узла.


    Экранированные Вм защищают данные ВМ, а так же их состояние с помощью vTPM устройств, которые позволяют BitLocker шифровать диски ВМ. vTPM устройство шифруется с помощью транспортного ключа. HGS является критичным компонентом безопасности, который защищает транспортный ключ. Кроме того, присутствуют значительные улучшения безопасности некоторых компонентов (включая Hyper-V), которые повышают уровень безопасности экранированных ВМ.

    Установка роли HGS


    Большую часть настройки нужно выполнить в PowerShell. Что бы установить эту роль, зайдите в Диспетчер сервера и выберите Host Guardin Service.

    Конфигурация сервера

    После установки роли, необходимо настроить сервер для обеспечения его полной функциональности. Вся настройка проходит с помощью PowerShell.

    первым шагом станет настройка AD леса. Каждый узел в кластере HGS является DC для этого приватного домена. Нужно убедиться, что сервер HGS не находится в домене перед выполнением команды ниже:

    После установки домена, приходит время для настройки HGS кластера и веб сервера для ключей защиты и аттестации. Вам потребуется 2 сертификата (1 для подписи, 1 для шифрования), чтобы выполнить этот шаг.

    Последние 4 параметра указываются для сертификата подписи и шифрования. Сертификаты предоставляются в качестве ссылки на файл защищённые паролем PFX, содержащие публичные и частные ключи каждого сертификата. Эти сертификаты используются службой защиты ключей в HGS для расшифровки ключей от экранированных ВМ. Владельцы экранированных ВМ могут использовать открытые ключи для авторизации, необходимой для запуска ВМ. Если вы тестируете эту роль в пределах тестовой лаборатории, используйте самозаверающие сертификаты, что бы быстрее приступить к работе. Для создания самощаверяющих сертификатов и их экспорта в PFX используйте cmdlet New-SelfSignedCertificate и Export-PfxCertificate.

    При использовании HSM сертификатов с поддержкой или без поддержки экспорта сертификатов из PKI, вы указывает отпечаток сертификата pfx-файл и пароль при запуске Initialize-HgsServer.

    Валидация вашей конфигурации

    После настройки HGS, вы можете запустить диагностику, чтобы убедиться в правильности проделанной работы. Если возникают какие-либо вопросы, вы должны предпринять дополнительные меры:

    Авторизация охраняемого хоста

    Скопируйте файл на HGS сервер и добавьте его с помощью cmdlet

    Аттестация с помощью AD

    Для доверенного администратора аттестации, охраняемая принимающей стороной ожидает, что является участником группы безопасности AD. Используйте Add-HgsAttestationHostGroup:

    Add-HgsAttestationCIPolicy

    На эталонный узел, который полностью настроен, на нём установлено все необходимое ПО, выполните cmdlet New-CIPolicy, чтобы создать политику целостности кода. Эта политика будет применена к каждой машине с такой же конфигурацией, и будет использоваться для предотвращения несанкционированного ПО на хост. Вам необходимо будет создать политику для каждой уникального компьютера или ПО в вашем дата-центре. После создания, вы будете иметь политику целостности кода, которая будет храниться в двоичном файле и иметь расширение p7b. Скопируйте этот файл на ваш сервер HGS и добавьте его в сервис аттестации:

    Get-HgsAttestationBaselinePolicy

    Далее, для каждой уникальной конфигурации оборудования в вашем ЦОД необходимо собрать базовую политику TPM. Этот файл будет содержать в себе информацию о UEFI до той точки, где управление передаётся в загрузчик ОС. Это даёт HGS подтверждение, что система не была подвержена атаке и в ней не находится руткит.

    Что бы захватить политику, выполните следующую команду на эталоном хосте:

    Скопируйте файл на HGS сервер и зарегистрируйте его:

    Конфигурация клиентов

    Остался заключительный шаг настройки каждого охраняемого хоста. Выполните приведённую ниже команду для каждого хоста, который нужно охранять:

    Читайте также:

        
    • Центр синхронизации windows 10
      •   
    • Как установить matlab на ubuntu
      •   
    • Tropico 2 pirate cove вылетает windows 10
      •   
    • Как установить vim centos
      •   
    • Ошибка 0x80070241 при установке windows 7
  • Контакты
  • Политика конфиденциальности