Экранированные виртуальные машины для клиентов — создание диска шаблона (необязательно)

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Чтобы создать экранированную виртуальную машину, потребуется использовать специально подготовленный подписанный диск шаблона. Метаданные с подписанных дисков шаблонов помогают убедиться, что диски не изменяются после их создания и позволяют клиенту ограничить, какие диски можно использовать для создания экранированных виртуальных машин. Одним из способов предоставления этого диска является клиент, чтобы создать его, как описано в этом разделе.

Внимание

Если вы предпочитаете, вместо этого можно использовать диск шаблона, предоставленный поставщиком услуг размещения. При этом важно развернуть тестовую виртуальную машину с помощью этого диска шаблона и запустить собственные средства (антивирусная программа, сканеры уязвимостей и т. д.) для проверки диска в состоянии доверия.

Подготовка VHDX операционной системы

Чтобы создать экранированный диск шаблона, необходимо сначала подготовить диск ОС, который будет выполняться с помощью мастера диска шаблона. Этот диск будет использоваться в качестве диска ОС на экранированных виртуальных машинах. Для создания этого диска можно использовать любое существующее средство, например Microsoft Desktop Image Service Manager (DISM), или вручную настроить виртуальную машину с пустым VHDX и установить ОС на этом диске. При настройке диска он должен соответствовать следующим требованиям, характерным для виртуальных машин поколения 2 и (или) экранированных виртуальных машин:

Требование для VHDX	Причина
Должен быть диском таблицы разделов GUID (GPT)	Требуется для виртуальных машин поколения 2 для поддержки UEFI
Тип диска должен быть базовым, а не динамическим. Примечание. Это относится к типу логического диска, а не функции VHDX динамического расширения, поддерживаемой Hyper-V.	BitLocker не поддерживает динамические диски.
Диск имеет по крайней мере две секции. Один раздел должен содержать диск, на котором установлена Windows. Это диск, который BitLocker зашифрует. Другой раздел является активным разделом, который содержит загрузчик и остается незашифрованным, чтобы компьютер можно было запустить.	Требуется для BitLocker
Файловая система — NTFS	Требуется для BitLocker
Операционная система, установленная на VHDX, является одной из следующих: — Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 или Windows Server 2012 — Windows 10, Windows 8.1, Windows 8	Требуется для поддержки виртуальных машин поколения 2 и шаблона безопасной загрузки Майкрософт
Операционная система должна быть обобщена (запуск sysprep.exe)	Подготовка шаблонов включает специализированные виртуальные машины для рабочей нагрузки конкретного клиента

Примечание.

Не копируйте диск шаблона в библиотеку VMM на этом этапе.

Обязательные пакеты для создания диска шаблона Nano Server

Если вы планируете запустить Nano Server в качестве гостевой ОС на экранированных виртуальных машинах, необходимо убедиться, что образ Nano Server включает следующие пакеты:

• Microsoft-NanoServer-Guest-Package
• Microsoft-NanoServer-SecureStartup-Package:

Запуск Обновл. Windows в операционной системе шаблона

На диске шаблона убедитесь, что в операционной системе установлены все последние обновления Windows. Недавно выпущенные обновления повышают надежность комплексного процесса экранирования — процесс, который может завершиться сбоем, если операционная система шаблона не обновлена.

Подпись и защита VHDX с помощью мастера диска шаблона

Чтобы использовать диск шаблона с экранированных виртуальных машин, диск должен быть подписан и зашифрован с помощью BitLocker. Для этого вы будете использовать мастер создания экранированного диска шаблона. Этот мастер создаст хэш для диска и добавит его в каталог подписей тома (VSC). VSC подписан с помощью указанного сертификата и используется во время процесса подготовки, чтобы убедиться, что диск, развернутый для клиента, не был изменен или заменен диском, которому клиент не доверяет. Наконец, BitLocker устанавливается на операционной системе диска (если он еще не существует) для подготовки диска к шифрованию во время подготовки виртуальной машины.

Примечание.

Мастер дисков шаблона изменит диск шаблона, указанный на месте. Вы можете создать копию незащищенного VHDX перед запуском мастера, чтобы обновить диск позже. Вы не сможете изменить диск, защищенный с помощью мастера диска шаблона.

Выполните следующие действия на компьютере под управлением Windows Server 2016 (не обязательно быть защищенным узлом или сервером VMM):

1. Скопируйте обобщенный VHDX, созданный в разделе "Подготовка VHDX операционной системы" на сервер, если он еще не существует.

2. Установите функцию экранированных средств виртуальной машины из средств удаленного администрирования сервера на компьютере.

   Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
   

3. Получите или создайте сертификат для подписи VHDX, который станет диском шаблона для новых экранированных виртуальных машин. Сведения об этом сертификате будут включены в файл данных экранирования, который разрешает диск в качестве доверенного диска. Поэтому важно получить этот сертификат из центра сертификации, которому вы и ваш поставщик услуг размещения доверяете. В корпоративных сценариях, где вы являетесь хост-центром и клиентом, вы можете рассмотреть возможность выдачи этого сертификата из PKI.

   Если вы настраиваете тестовую среду и просто хотите использовать самозаверяющий сертификат для подписывания диска шаблона, выполните команду, аналогичную следующей на компьютере:

   New-SelfSignedCertificate -DnsName publisher.fabrikam.com
   

4. Запустите мастер диска шаблона из папки "Администрирование" в меню или введите TemplateDiskWizard.exe в командную строку.

5. На странице "Сертификат" нажмите кнопку "Обзор", чтобы отобразить список сертификатов. Выберите сертификат, с помощью которого необходимо подписать шаблон диска. Нажмите кнопку ОК , а затем — Далее.

6. На странице "Виртуальный диск" нажмите кнопку "Обзор ", чтобы выбрать подготовленный VHDX, а затем нажмите кнопку "Далее".

7. На странице каталога подписей укажите понятное имя и версию диска. Эти поля помогают определить диск после подписания.

   Например, для имени диска можно ввести WS2016 и версии 1.0.0.0.0.

8. Просмотрите выбранные варианты на странице параметров проверки мастера. При нажатии кнопки "Создать" мастер включает BitLocker на диске шаблона, вычисляет хэш диска и создает каталог подписей тома, который хранится в метаданных VHDX.

   Дождитесь завершения процесса подписывания, прежде чем пытаться подключить или переместить диск шаблона. Этот процесс может занять некоторое время в зависимости от размера диска.

9. На странице сводки сведения о шаблоне диска, сертификат, используемый для подписи шаблона, и отображается издатель сертификата. Нажмите кнопку Закрыть, чтобы выйти из мастера.

Укажите шаблон экранированного диска поставщику услуг размещения, а также созданный файл данных экранирования, как описано в разделе "Создание экранированных данных" для определения экранированного виртуальной машины.

Дополнительные справочники

• Развертывание экранированных виртуальных машин
• Защищенная структура и экранированные виртуальные машины