Problemen met beveiligde hosts oplossen
In dit artikel worden oplossingen beschreven voor veelvoorkomende problemen die optreden bij het implementeren of gebruiken van een beveiligde Hyper-V-host in uw beveiligde infrastructuur.
Van toepassing op: Alle ondersteunde versies van Windows Server
Als u niet zeker weet wat de aard van uw probleem is, voert u eerst de beveiligde infrastructuurdiagnose uit op uw Hyper-V-hosts om de mogelijke oorzaken te beperken.
Beveiligde hostfunctie
Als u problemen ondervindt met uw Hyper-V-host, controleert u eerst of de Host Guardian Hyper-V-ondersteuningsfunctie is geïnstalleerd. Zonder deze functie ontbreekt de Hyper-V-host aan enkele kritieke configuratie-instellingen en software waarmee attestation kan worden doorgegeven en afgeschermde VM's kunnen worden ingericht.
Als u wilt controleren of de functie is geïnstalleerd, gebruikt u Serverbeheer of voert u de volgende cmdlet uit in een PowerShell-venster met verhoogde bevoegdheid:
Get-WindowsFeature HostGuardian
Als de functie niet is geïnstalleerd, installeert u deze met de volgende PowerShell-cmdlet:
Install-WindowsFeature HostGuardian -Restart
Attestation-fouten
Als een host geen attestation doorgeeft aan de Host Guardian-service, kan deze geen afgeschermde VM's uitvoeren. In de uitvoer van Get-HgsClientConfiguration op die host ziet u informatie over waarom de attestation van die host is mislukt.
In de onderstaande tabel worden de waarden uitgelegd die kunnen worden weergegeven in het veld AttestationStatus en mogelijke volgende stappen, indien van toepassing.
| AttestationStatus | Uitleg |
|---|---|
| Verlopen | De host heeft eerder attestation doorgegeven, maar het statuscertificaat dat is uitgegeven, is verlopen. Zorg ervoor dat de host- en HGS-tijd gesynchroniseerd zijn. |
| InsecureHostConfiguration | De host heeft attestation niet doorgegeven omdat deze niet voldoet aan het attestation-beleid dat is geconfigureerd op HGS. Zie de tabel AttestationSubStatus voor meer informatie. |
| Niet geconfigureerd | De host is niet geconfigureerd voor het gebruik van een HGS voor attestation- en sleutelbeveiliging. Deze is geconfigureerd voor de lokale modus. Als deze host zich in een beveiligde infrastructuur bevindt, gebruikt u Set-HgsClientConfiguration om deze te voorzien van de URL's voor uw HGS-server. |
| Geslaagd | De host heeft attestation doorgegeven. |
| TransientError | De laatste attestation-poging is mislukt vanwege een netwerk-, service- of andere tijdelijke fout. Voer de laatste bewerking opnieuw uit. |
| TpmError | De host kan de laatste attestation-poging niet voltooien vanwege een fout met uw TPM. Zie uw TPM-logboeken voor meer informatie. |
| UnauthorizedHost | De host heeft attestation niet doorstaan omdat deze niet is gemachtigd om afgeschermde VM's uit te voeren. Zorg ervoor dat de host deel uitmaakt van een beveiligingsgroep die wordt vertrouwd door HGS om afgeschermde VM's uit te voeren. |
| Onbekend | De host heeft nog niet geprobeerd om te bevestigen met HGS. |
Wanneer AttestationStatus wordt gerapporteerd als InsecureHostConfiguration, worden een of meer redenen ingevuld in het veld AttestationSubStatus . In de onderstaande tabel worden de mogelijke waarden voor AttestationSubStatus en tips voor het oplossen van het probleem uitgelegd.
| AttestationSubStatus | Wat betekent het en wat u moet doen |
|---|---|
| BitLocker | Het besturingssysteemvolume van de host wordt niet versleuteld door BitLocker. U kunt dit oplossen door BitLocker in te schakelen op het besturingssysteemvolume of het BitLocker-beleid op HGS uit te schakelen. |
| CodeIntegrityPolicy | De host is niet geconfigureerd voor het gebruik van een code-integriteitsbeleid of maakt geen gebruik van een beleid dat wordt vertrouwd door de HGS-server. Zorg ervoor dat een code-integriteitsbeleid is geconfigureerd, dat de host opnieuw is opgestart en dat het beleid is geregistreerd bij de HGS-server. Zie Een code-integriteitsbeleid maken en toepassen voor meer informatie. |
| DumpsEnabled | De host is geconfigureerd om crashdumps of live geheugendumps toe te staan. Dit is niet toegestaan door uw HGS-beleid. U kunt dit oplossen door dumps op de host uit te schakelen. |
| DumpEncryption | De host is geconfigureerd om crashdumps of live geheugendumps toe te staan, maar versleutelt deze dumps niet. Schakel dumps op de host uit of configureer dumpversleuteling. |
| DumpEncryptionKey | De host is geconfigureerd voor het toestaan en versleutelen van dumps, maar gebruikt geen certificaat dat bekend is bij HGS om ze te versleutelen. U kunt dit oplossen door de dumpversleutelingssleutel op de host bij te werken of de sleutel te registreren bij HGS. |
| FullBoot | De host is hervat vanuit een slaapstand of sluimerstand. Start de host opnieuw om een schone, volledige opstartbewerking mogelijk te maken. |
| SluimerstandEnabled | De host is geconfigureerd om de sluimerstand toe te staan zonder het sluimerstandbestand te versleutelen. Dit is niet toegestaan door uw HGS-beleid. Schakel de sluimerstand uit en start de host opnieuw op of configureer dumpversleuteling. |
| HypervisorEnforcedCodeIntegrityPolicy | De host is niet geconfigureerd voor het gebruik van een door hypervisor afgedwongen code-integriteitsbeleid. Controleer of code-integriteit is ingeschakeld, geconfigureerd en afgedwongen door de hypervisor. Zie de Device Guard-implementatiehandleiding voor meer informatie. |
| Iommu | De beveiligingsfuncties op basis van virtualisatie van de host zijn niet geconfigureerd om een IOMMU-apparaat te vereisen voor beveiliging tegen aanvallen met directe geheugentoegang, zoals vereist door uw HGS-beleid. Controleer of de host een IOMMU heeft, of deze is ingeschakeld en of Device Guard is geconfigureerd om DMA-beveiligingen te vereisen bij het starten van VBS. |
| PagefileEncryption | Versleuteling van paginabestanden is niet ingeschakeld op de host. U kunt dit oplossen door fsutil behavior set encryptpagingfile 1 paginabestandsversleuteling in te schakelen. Zie fsutil-gedrag voor meer informatie. |
| SecureBoot | Beveiligd opstarten is niet ingeschakeld op deze host of niet met behulp van de Microsoft Secure Boot-sjabloon. Schakel Beveiligd opstarten in met de Microsoft Secure Boot-sjabloon om dit probleem op te lossen. |
| SecureBootSettings | De TPM-basislijn op deze host komt niet overeen met een van de basislijnen die worden vertrouwd door HGS. Dit kan gebeuren wanneer uw UEFI-startinstanties, DBX-variabele, foutopsporingsvlag of aangepaste beveiligingsbeleidsregels worden gewijzigd door nieuwe hardware of software te installeren. Als u de huidige hardware, firmware en softwareconfiguratie van deze machine vertrouwt, kunt u een nieuwe TPM-basislijn vastleggen en registreren bij HGS. |
| TcgLogVerification | Het TCG-logboek (TPM-basislijn) kan niet worden verkregen of geverifieerd. Dit kan duiden op een probleem met de firmware van de host, de TPM of andere hardwareonderdelen. Als uw host is geconfigureerd om PXE-opstartpogingen uit te voeren voordat Windows wordt opgestart, kan een verouderd Net Boot Program (NBP) deze fout ook veroorzaken. Zorg ervoor dat alle NBP's up-to-date zijn wanneer PXE-opstartbewerking is ingeschakeld. |
| VirtualSecureMode | Beveiligingsfuncties op basis van virtualisatie worden niet uitgevoerd op de host. Zorg ervoor dat VBS is ingeschakeld en of uw systeem voldoet aan de geconfigureerde platformbeveiligingsfuncties. Zie de Device Guard-documentatie voor meer informatie over VBS-vereisten. |
Moderne TLS
Als u een groepsbeleid hebt geïmplementeerd of op een andere manier uw Hyper-V-host hebt geconfigureerd om te voorkomen dat TLS 1.0 wordt gebruikt, kan de Host Guardian-serviceclient een sleutelbeveiliging niet uitpakken namens een aanroepprocesfouten bij het opstarten van een afgeschermde VM. Dit komt door een standaardgedrag in .NET 4.6, waarbij de standaard TLS-versie van het systeem niet wordt overwogen bij het onderhandelen over ondersteunde TLS-versies met de HGS-server.
Als u dit gedrag wilt omzeilen, voert u de volgende twee opdrachten uit om .NET te configureren voor het gebruik van de standaard TLS-versies van het systeem voor alle .NET-apps.
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:64
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:32
Waarschuwing
De standaardinstelling voor TLS-versies van het systeem is van invloed op alle .NET-apps op uw computer. Zorg ervoor dat u de registersleutels in een geïsoleerde omgeving test voordat u ze implementeert op uw productiemachines.
Zie Voor meer informatie over .NET 4.6 en TLS 1.0 het oplossen van het TLS 1.0-probleem, 2e editie.