Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Как и в случае с обычными виртуальными машинами, можно создать шаблон виртуальной машины (например, шаблон виртуальной машины в Virtual Machine Manager (VMM)) чтобы упростить арендаторам и администраторам развертывание новых виртуальных машин на фабрике с помощью диска шаблона. Так как экранированные виртуальные машины являются ресурсами, чувствительными к безопасности, существуют дополнительные шаги по созданию шаблона виртуальной машины, поддерживающего экранирование. В этом разделе рассматриваются действия по созданию экранированного диска шаблона и шаблона виртуальной машины в VMM.
Чтобы понять, как этот раздел соответствует общему процессу развертывания экранированных виртуальных машин, см. инструкции по настройке поставщика услуг размещения для защищенных узлов и экранированных виртуальных машин.
Подготовка VHDX образа операционной системы
Сначала подготовьте диск ОС, который затем вы обработаете с помощью мастера по созданию экранированного шаблона. Этот диск будет использоваться в качестве диска ОС на виртуальных машинах клиента. Для создания этого диска можно использовать любое существующее средство, например Microsoft Desktop Image Service Manager (DISM), или вручную настроить виртуальную машину с пустым VHDX и установить ОС на этом диске. При настройке диска он должен соответствовать следующим требованиям, характерным для виртуальных машин поколения 2 и (или) экранированных виртуальных машин:
| Требование для VHDX | Reason |
|---|---|
| Должен быть диском таблицы разделов GUID (GPT) | Требуется для виртуальных машин поколения 2 для поддержки UEFI |
| Тип диска должен быть базовым , а не динамическим. Примечание. Это относится к типу логического диска, а не функции VHDX динамического расширения, поддерживаемой Hyper-V. |
BitLocker не поддерживает динамические диски. |
| Диск имеет по крайней мере две секции. Один раздел должен содержать диск, на котором установлена Windows. Это диск, который BitLocker зашифрует. Другой раздел является активным разделом, который содержит загрузчик и остается незашифрованным, чтобы компьютер можно было запустить. | Требуется для BitLocker |
| Файловая система — NTFS | Требуется для BitLocker |
| Операционная система, установленная на VHDX, является одной из следующих: — Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012 — Windows 10, Windows 8.1, Windows 8 |
Требуется для поддержки виртуальных машин поколения 2 и шаблона безопасной загрузки Майкрософт |
| Операционная система должна быть приведена к стандартному виду (запустите sysprep.exe) | Подготовка шаблонов включает специализированные виртуальные машины для рабочей нагрузки конкретного клиента |
Note
Если вы используете VMM, не копируйте диск шаблона в библиотеку VMM на этом этапе.
Запустите обновление Windows в примерной операционной системе
На диске шаблона убедитесь, что в операционной системе установлены все последние обновления Windows. Недавно выпущенные обновления повышают надежность комплексного процесса экранирования — процесс, который может завершиться сбоем, если операционная система шаблона не обновлена.
Подготовьте и защитите VHDX с помощью мастера шаблонного диска.
Чтобы использовать диск шаблона с экранированными виртуальными машинами, диск должен быть подготовлен и зашифрован с помощью BitLocker, используя Мастера создания экранированного шаблона диска. Этот мастер создаст хэш для диска и добавит его в каталог сигнатур тома (VSC). VSC подписан с помощью указанного сертификата и используется во время процесса подготовки, чтобы убедиться, что диск, развернутый для клиента, не был изменен или заменен диском, которому клиент не доверяет. Наконец, BitLocker устанавливается на операционной системе диска (если он еще не существует) для подготовки диска к шифрованию во время подготовки виртуальной машины.
Note
Мастер дисков шаблона изменит диск шаблона, указанный на месте. Вы можете создать копию незащищенного VHDX перед запуском мастера, чтобы обновить диск позже. Вы не сможете изменить диск, защищенный с помощью мастера шаблонов диска.
Выполните следующие действия на компьютере под управлением Windows Server 2016, Windows 10 (с средствами удаленного управления серверами, установленными RSAT) или более поздней версии (не требуется быть защищенным узлом или сервером VMM):
Скопируйте обобщенный VHDX, созданный в разделе "Подготовка VHDX операционной системы" на сервер, если его там еще нет.
Чтобы локально администрировать сервер, установите функцию экранированных средств виртуальной машины из средств удаленного администрирования сервера на сервере.
Install-WindowsFeature RSAT-Shielded-VM-Tools -RestartВы также можете администрировать сервер с клиентского компьютера, на котором установлены средства удаленного администрирования сервера Windows 10.
Получите или создайте сертификат для подписи VSC для VHDX, который станет диском шаблона для новых экранированных виртуальных машин. Сведения об этом сертификате будут отображаться арендаторам при создании файлов данных защиты и авторизации дисков, которым они доверяют. Поэтому важно получить этот сертификат из центра сертификации, взаимно доверенным вами и вашими арендаторами. В корпоративных сценариях, где вы являетесь узлом и клиентом, вы можете рассмотреть возможность выдачи этого сертификата из PKI.
Если вы настраиваете тестовую среду и хотите использовать самозаверяющий сертификат для подготовки диска шаблона, выполните следующую команду:
New-SelfSignedCertificate -DnsName publisher.fabrikam.comЗапустите Мастер диска шаблона из папки «Административные инструменты» в меню «Пуск» или введите TemplateDiskWizard.exe в командную строку.
На странице "Сертификат" нажмите кнопку "Обзор ", чтобы отобразить список сертификатов. Выберите сертификат, с помощью которого необходимо подготовить шаблон диска. Нажмите кнопку ОК , а затем — Далее.
На странице "Виртуальный диск" нажмите кнопку "Обзор ", чтобы выбрать подготовленный VHDX, а затем нажмите кнопку "Далее".
На странице каталога подписей укажите понятное имя иверсию диска. Эти поля помогают определить диск после его подготовки.
Например, для имени диска можно ввести WS2016, а для версии — 1.0.0.0.
Просмотрите выбранные варианты на странице просмотра настроек мастера. При нажатии кнопки "Создать" мастер включает BitLocker на диске шаблона, вычисляет хэш диска и создает каталог подписей тома, который хранится в метаданных VHDX.
Не пытайтесь подключить или переместить диск шаблона до завершения процесса подготовки. Этот процесс может занять некоторое время в зависимости от размера диска.
Important
Диски шаблонов можно использовать только с процессом подготовки защищенных экранированных виртуальных машин. Попытка загрузить незащищенную виртуальную машину с помощью диска шаблона, скорее всего, приведет к ошибке остановки (синему экрану) и не поддерживается.
На странице "Сводка " отображаются сведения о шаблоне диска, сертификате, используемом для подписи VSC, и издателе сертификата. Нажмите кнопку Закрыть, чтобы выйти из мастера.
Если вы используете VMM, выполните действия, описанные в остальных разделах этого раздела, чтобы включить диск шаблона в шаблон экранированных виртуальных машин в VMM.
Копирование диска шаблона в библиотеку VMM
Если вы используете VMM, после создания диска шаблона необходимо скопировать его в общую папку библиотеки VMM, чтобы узлы могли скачать и использовать диск при подготовке новых виртуальных машин. Выполните следующую процедуру, чтобы скопировать диск шаблона в библиотеку VMM, а затем обновить библиотеку.
Скопируйте VHDX-файл в папку общего ресурса библиотеки VMM. Если вы использовали конфигурацию VMM по умолчанию, скопируйте диск шаблона в папку \<\vmmserver>\MSSCVMMLibrary\VHDs.
Обновите сервер библиотеки. Откройте рабочую область библиотеки , разверните серверы библиотеки, щелкните правой кнопкой мыши сервер библиотеки, который требуется обновить, и нажмите кнопку "Обновить".
Затем предоставьте VMM сведения об операционной системе, установленной на диске шаблона:
a. Найдите новый импортированный диск шаблона на сервере библиотеки в рабочей области библиотеки .
b. Щелкните диск правой кнопкой мыши и выберите пункт "Свойства".
c. Для операционной системы разверните список и выберите операционную систему, установленную на диске. Выбор операционной системы указывает VMM, что VHDX не является пустым.
d. После обновления свойств нажмите кнопку "ОК".
Маленький значок щита рядом с именем диска обозначает диск как подготовленный диск шаблона для экранированных виртуальных машин. Вы также можете щелкнуть правой кнопкой мыши заголовки столбцов и переключить экранированный столбец, чтобы увидеть текстовое представление, указывающее, предназначен ли диск для обычных или экранированных развертываний виртуальных машин.
Создание шаблона экранированных виртуальных машин в VMM с помощью подготовленного диска шаблона
С помощью подготовленного диска шаблона в библиотеке VMM можно создать шаблон виртуальной машины для экранированных виртуальных машин. Шаблоны виртуальных машин для экранированных виртуальных машин немного отличаются от традиционных шаблонов виртуальных машин тем, что некоторые параметры зафиксированы (используются виртуальные машины поколения 2, включены UEFI и безопасная загрузка), а другие недоступны (кастомизация арендатора ограничена несколькими выбранными свойствами виртуальной машины). Чтобы создать шаблон виртуальной машины, выполните следующие действия.
В рабочей области библиотеки нажмите кнопку "Создать шаблон виртуальной машины " на вкладке "Главная" в верхней части экрана.
На странице "Выбор источника " щелкните "Использовать существующий шаблон виртуальной машины" или виртуальный жесткий диск, хранящийся в библиотеке, и нажмите кнопку "Обзор".
В появившемся окне выберите подготовленный диск шаблона из библиотеки VMM. Чтобы упростить определение подготовленных дисков, щелкните правой кнопкой мыши заголовок столбца и включите экранированный столбец. Нажмите кнопку "ОК " и " Далее".
Укажите имя шаблона виртуальной машины и при необходимости описание, а затем нажмите кнопку "Далее".
На странице "Настройка оборудования" укажите возможности виртуальных машин, созданных на основе этого шаблона. Убедитесь, что на шаблоне виртуальной машины доступен и настроен хотя бы один сетевой адаптер. Единственным способом подключения клиента к экранируемой виртуальной машине является подключение к удаленному рабочему столу, удаленное управление Windows или другие предварительно настроенные средства удаленного управления, работающие над сетевыми протоколами.
Если вы решили использовать статические пулы IP-адресов в VMM вместо запуска DHCP-сервера в сети клиента, вам потребуется предупредить клиентов об этой конфигурации. Когда клиент предоставляет файл данных экранирования, который содержит файл ответов для VMM, он должен предоставить специальные значения заполнителей для информации о статическом пуле IP-адресов. Дополнительные сведения о заполнителях VMM в файлах автоматического выполнения клиента см. в разделе "Создание файла ответа".
На странице "Настройка операционной системы " VMM отображает только несколько вариантов экранированных виртуальных машин, включая ключ продукта, часовой пояс и имя компьютера. Некоторые безопасные сведения, такие как пароль администратора и доменное имя, задаются клиентом через файл данных экранирования (). PDK-файл).
Note
Если вы решили указать ключ продукта на этой странице, убедитесь, что он действителен для операционной системы на диске шаблона. Если используется неправильный ключ продукта, создание виртуальной машины завершится ошибкой.
После создания шаблона клиенты могут использовать его для создания новых виртуальных машин. Необходимо убедиться, что шаблон виртуальной машины является одним из ресурсов, доступных роли пользователя администратора клиента (в VMM роли пользователей находятся в рабочей области "Параметры ").
Подготовка и защита VHDX с помощью PowerShell
В качестве альтернативы запуску мастера диска шаблона можно скопировать диск шаблона и сертификат на компьютер под управлением RSAT и запустить Protect-TemplateDisk , чтобы инициировать процесс подписи.
В следующем примере используются сведения о имени и версии, указанные параметрами TemplateName и Version .
VHDX, который вы предоставляете параметру -Path, будет перезаписан обновленным диском шаблона, поэтому перед выполнением команды обязательно создайте копию.
# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT
Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0
Теперь диск шаблона готов к развертыванию экранированных виртуальных машин. Если вы используете System Center диспетчер виртуальных машин для развертывания виртуальной машины, теперь можно скопировать VHDX в библиотеку VMM.
Вы можете также извлечь каталог подписей тома из VHDX. Этот файл используется для предоставления сведений о сертификате подписи, имени диска и версии владельцам виртуальных машин, которые хотят использовать шаблон. Они должны импортировать этот файл в мастер импорта файлов экранирования данных, чтобы авторизовать вас, автор шаблона, обладающий сертификатом подписи, создавать эти и будущие диски шаблонов для них.
Чтобы извлечь каталог подписей тома, выполните следующую команду в PowerShell:
Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'