Создание диска шаблона виртуальной машины с экранированием Windows
Как и в случае с обычными виртуальными машинами, можно создать шаблон виртуальной машины (например, шаблон виртуальной машины в диспетчер виртуальных машин (VMM)), чтобы упростить развертывание новых виртуальных машин в структуре с помощью диска шаблона. Так как экранированные виртуальные машины являются ресурсами, чувствительными к безопасности, существуют дополнительные шаги по созданию шаблона виртуальной машины, поддерживающего экранирование. В этом разделе рассматриваются действия по созданию экранированного диска шаблона и шаблона виртуальной машины в VMM.
Чтобы понять, как этот раздел соответствует общему процессу развертывания экранированных виртуальных машин, см . инструкции по настройке поставщика услуг размещения для защищенных узлов и экранированных виртуальных машин.
Подготовка VHDX операционной системы
Сначала подготовьте диск ОС, который будет выполняться с помощью мастера создания экранированного шаблона. Этот диск будет использоваться в качестве диска ОС на виртуальных машинах клиента. Для создания этого диска можно использовать любое существующее средство, например Microsoft Desktop Image Service Manager (DISM), или вручную настроить виртуальную машину с пустым VHDX и установить ОС на этом диске. При настройке диска он должен соответствовать следующим требованиям, характерным для виртуальных машин поколения 2 и (или) экранированных виртуальных машин:
Требование для VHDX | Причина |
---|---|
Должен быть диском таблицы разделов GUID (GPT) | Требуется для виртуальных машин поколения 2 для поддержки UEFI |
Тип диска должен быть базовым, а не динамическим. Примечание. Это относится к типу логического диска, а не функции VHDX динамического расширения, поддерживаемой Hyper-V. |
BitLocker не поддерживает динамические диски. |
Диск имеет по крайней мере две секции. Один раздел должен содержать диск, на котором установлена Windows. Это диск, который BitLocker зашифрует. Другой раздел является активным разделом, который содержит загрузчик и остается незашифрованным, чтобы компьютер можно было запустить. | Требуется для BitLocker |
Файловая система — NTFS | Требуется для BitLocker |
Операционная система, установленная на VHDX, является одной из следующих: — Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012 — Windows 10, Windows 8.1, Windows 8 |
Требуется для поддержки виртуальных машин поколения 2 и шаблона безопасной загрузки Майкрософт |
Операционная система должна быть обобщена (запуск sysprep.exe) | Подготовка шаблонов включает специализированные виртуальные машины для рабочей нагрузки конкретного клиента |
Примечание.
Если вы используете VMM, не копируйте диск шаблона в библиотеку VMM на этом этапе.
Запуск Обновл. Windows в операционной системе шаблона
На диске шаблона убедитесь, что в операционной системе установлены все последние обновления Windows. Недавно выпущенные обновления повышают надежность комплексного процесса экранирования — процесс, который может завершиться сбоем, если операционная система шаблона не обновлена.
Подготовка и защита VHDX с помощью мастера диска шаблона
Чтобы использовать диск шаблона с экранированных виртуальных машин, диск должен быть подготовлен и зашифрован с помощью BitLocker с помощью мастера создания экранированного диска шаблона. Этот мастер создаст хэш для диска и добавит его в каталог подписей тома (VSC). VSC подписан с помощью указанного сертификата и используется во время процесса подготовки, чтобы убедиться, что диск, развернутый для клиента, не был изменен или заменен диском, которому клиент не доверяет. Наконец, BitLocker устанавливается на операционной системе диска (если он еще не существует) для подготовки диска к шифрованию во время подготовки виртуальной машины.
Примечание.
Мастер дисков шаблона изменит диск шаблона, указанный на месте. Вы можете создать копию незащищенного VHDX перед запуском мастера, чтобы обновить диск позже. Вы не сможете изменить диск, защищенный с помощью мастера диска шаблона.
Выполните следующие действия на компьютере под управлением Windows Server 2016, Windows 10 (с средствами удаленного управления серверами, установленными RSAT) или более поздней версии (не требуется быть защищенным узлом или сервером VMM):
Скопируйте обобщенный VHDX, созданный в разделе "Подготовка VHDX операционной системы" на сервер, если он еще не существует.
Чтобы локально администрировать сервер, установите функцию экранированных средств виртуальной машины из средств удаленного администрирования сервера на сервере.
Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
Вы также можете администрировать сервер с клиентского компьютера, на котором установлены средства удаленного администрирования сервера Windows 10.
Получите или создайте сертификат для подписи VSC для VHDX, который станет диском шаблона для новых экранированных виртуальных машин. Сведения об этом сертификате будут отображаться клиентам при создании файлов данных экранирования и авторизации дисков, которым они доверяют. Поэтому важно получить этот сертификат из центра сертификации, взаимно доверенный вами и вашими клиентами. В корпоративных сценариях, где вы являетесь узлом и клиентом, вы можете рассмотреть возможность выдачи этого сертификата из PKI.
Если вы настраиваете тестовую среду и хотите использовать самозаверяющий сертификат для подготовки диска шаблона, выполните следующую команду:
New-SelfSignedCertificate -DnsName publisher.fabrikam.com
Запустите мастер диска шаблона из папки "Администрирование" в меню или введите TemplateDiskWizard.exe в командную строку.
На странице "Сертификат" нажмите кнопку "Обзор", чтобы отобразить список сертификатов. Выберите сертификат, с помощью которого необходимо подготовить шаблон диска. Нажмите кнопку ОК , а затем — Далее.
На странице "Виртуальный диск" нажмите кнопку "Обзор ", чтобы выбрать подготовленный VHDX, а затем нажмите кнопку "Далее".
На странице каталога подписей укажите понятное имя и версию диска. Эти поля помогают определить диск после его подготовки.
Например, для имени диска можно ввести WS2016 и версии 1.0.0.0.0.
Просмотрите выбранные варианты на странице параметров проверки мастера. При нажатии кнопки "Создать" мастер включает BitLocker на диске шаблона, вычисляет хэш диска и создает каталог подписей тома, который хранится в метаданных VHDX.
Дождитесь завершения процесса подготовки, прежде чем пытаться подключить или переместить диск шаблона. Этот процесс может занять некоторое время в зависимости от размера диска.
Внимание
Диски шаблонов можно использовать только с процессом подготовки защищенных экранированных виртуальных машин. Попытка загрузить обычную виртуальную машину с помощью диска шаблона, скорее всего, приведет к ошибке остановки (синий экран) и не поддерживается.
На странице "Сводка" отображаются сведения о шаблоне диска, сертификате, используемом для подписи VSC, и издателе сертификата. Нажмите кнопку Закрыть, чтобы выйти из мастера.
Если вы используете VMM, выполните действия, описанные в остальных разделах этого раздела, чтобы включить диск шаблона в шаблон экранированных виртуальных машин в VMM.
Копирование диска шаблона в библиотеку VMM
Если вы используете VMM, после создания диска шаблона необходимо скопировать его в общую папку библиотеки VMM, чтобы узлы могли скачать и использовать диск при подготовке новых виртуальных машин. Выполните следующую процедуру, чтобы скопировать диск шаблона в библиотеку VMM, а затем обновить библиотеку.
Скопируйте VHDX-файл в папку общего ресурса библиотеки VMM. Если вы использовали конфигурацию VMM по умолчанию, скопируйте диск шаблона в папку \<\vmmserver>\MSSCVMMLibrary\VHD.
Обновите сервер библиотеки. Откройте рабочую область библиотеки, разверните серверы библиотеки, щелкните правой кнопкой мыши сервер библиотеки, который требуется обновить, и нажмите кнопку "Обновить".
Затем предоставьте VMM сведения об операционной системе, установленной на диске шаблона:
a. Найдите новый импортированный диск шаблона на сервере библиотеки в рабочей области библиотеки .
b. Щелкните диск правой кнопкой мыши и выберите пункт "Свойства".
c. Для операционной системы разверните список и выберите операционную систему, установленную на диске. Выбор операционной системы указывает VMM, что VHDX не является пустым.
d. Обновив свойства, нажмите кнопку ОК.
Маленький значок щита рядом с именем диска обозначает диск как подготовленный диск шаблона для экранированных виртуальных машин. Вы также можете щелкнуть правой кнопкой мыши заголовки столбцов и переключить экранированный столбец, чтобы увидеть текстовое представление, указывающее, предназначен ли диск для обычных или экранированных развертываний виртуальных машин.
Создание шаблона экранированных виртуальных машин в VMM с помощью подготовленного диска шаблона
С помощью подготовленного диска шаблона в библиотеке VMM можно создать шаблон виртуальной машины для экранированных виртуальных машин. Шаблоны виртуальных машин для экранированных виртуальных машин немного отличаются от традиционных шаблонов виртуальных машин в том, что некоторые параметры исправлены (виртуальные машины поколения 2, включена UEFI и безопасная загрузка), а другие — недоступны (настройка клиента ограничена несколькими свойствами виртуальной машины). Чтобы создать шаблон виртуальной машины, выполните следующие действия.
В рабочей области библиотеки нажмите кнопку "Создать шаблон виртуальной машины" на вкладке "Главная" в верхней части экрана.
На странице Выбор источника щелкните Использовать существующий шаблон виртуальной машины или виртуальный жесткий диск, хранящийся в библиотеке, а затем нажмите кнопку Обзор.
В появившемся окне выберите подготовленный диск шаблона из библиотеки VMM. Чтобы упростить определение подготовленных дисков, щелкните правой кнопкой мыши заголовок столбца и включите экранированный столбец. Нажмите кнопку "ОК" и "Далее".
Укажите имя шаблона виртуальной машины и при необходимости описание, а затем нажмите кнопку "Далее".
На странице "Настройка оборудования" укажите возможности виртуальных машин, созданных на основе этого шаблона. Убедитесь, что на шаблоне виртуальной машины доступен хотя бы один сетевой адаптер. Единственным способом подключения клиента к экранируемой виртуальной машине является подключение к удаленному рабочему столу, удаленное управление Windows или другие предварительно настроенные средства удаленного управления, работающие над сетевыми протоколами.
Если вы решили использовать статические пулы IP-адресов в VMM вместо запуска DHCP-сервера в сети клиента, вам потребуется предупредить клиентов об этой конфигурации. Когда клиент предоставляет файл данных экранирования, содержащий автоматический файл VMM, он должен предоставить специальные значения заполнителей для данных статического ПУЛа IP-адресов. Дополнительные сведения о заполнителях VMM в файлах автоматического выполнения клиента см. в разделе "Создание файла ответа".
На странице "Настройка операционной системы" VMM отображает только несколько вариантов экранированных виртуальных машин, включая ключ продукта, часовой пояс и имя компьютера. Некоторые безопасные сведения, такие как пароль администратора и доменное имя, задаются клиентом через файл данных экранирования (). PDK-файл).
Примечание.
Если вы решили указать ключ продукта на этой странице, убедитесь, что он действителен для операционной системы на диске шаблона. Если используется неправильный ключ продукта, создание виртуальной машины завершится ошибкой.
После создания шаблона клиенты могут использовать его для создания новых виртуальных машин. Необходимо убедиться, что шаблон виртуальной машины является одним из ресурсов, доступных роли пользователя администратора клиента (в VMM роли пользователей находятся в рабочей области "Параметры ").
Подготовка и защита VHDX с помощью PowerShell
В качестве альтернативы запуску мастера диска шаблона можно скопировать диск шаблона и сертификат на компьютер под управлением RSAT и запустить Protect-TemplateDisk , чтобы инициировать процесс подписи.
В следующем примере используются сведения о имени и версии, указанные параметрами TemplateName и Version .
VHDX, предоставленный -Path
параметру, будет перезаписан обновленным диском шаблона, поэтому перед выполнением команды обязательно создайте копию.
# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT
Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0
Теперь диск шаблона готов к подготовке экранированных виртуальных машин. Если вы используете System Center диспетчер виртуальных машин для развертывания виртуальной машины, теперь можно скопировать VHDX в библиотеку VMM.
Вы также можете извлечь каталог подписей тома из VHDX. Этот файл используется для предоставления сведений о сертификате подписи, имени диска и версии владельцам виртуальных машин, которые хотят использовать шаблон. Они должны импортировать этот файл в мастер экранирования данных, чтобы авторизовать вас, автор шаблона в сертификате подписи, чтобы создать эти и будущие диски шаблонов для них.
Чтобы извлечь каталог подписей тома, выполните следующую команду в PowerShell:
Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'