Устранение неполадок защищенных узлов
В этой статье описываются решения распространенных проблем, возникающих при развертывании или работе защищенного узла Hyper-V в защищенной структуре.
Область применения: все поддерживаемые версии Windows Server
Если вы не уверены в характере проблемы, сначала попробуйте запустить защищенные структуры диагностика на узлах Hyper-V, чтобы сузить потенциальные причины.
Функция защищенного узла
Если у вас возникли проблемы с узлом Hyper-V, сначала убедитесь, что установлен компонент поддержки Hyper-V для защиты узлов. Без этой функции узел Hyper-V отсутствует некоторые критически важные параметры конфигурации и программное обеспечение, которые позволяют ему передавать аттестацию и подготавливать экранированные виртуальные машины.
Чтобы проверить, установлена ли функция, используйте диспетчер сервера или выполните следующий командлет в окне PowerShell с повышенными привилегиями:
Get-WindowsFeature HostGuardian
Если компонент не установлен, установите его с помощью следующего командлета PowerShell:
Install-WindowsFeature HostGuardian -Restart
Сбои аттестации
Если узел не передает аттестацию со службой защиты узлов, не удается запустить экранированные виртуальные машины. Выходные данные Get-HgsClientConfiguration на этом узле будут отображать сведения о том, почему этот узел завершился сбоем аттестации.
В приведенной ниже таблице описываются значения, которые могут отображаться в поле AttestationStatus и возможные дальнейшие шаги, если это необходимо.
| АттестацияStatus | Описание |
|---|---|
| Срок действия истек | Узел проходил аттестацию ранее, но истек срок действия выданного ему сертификата работоспособности. Проверьте, синхронизировано ли время узла и службы HGS. |
| InsecureHostConfiguration | Узел не прошел аттестацию, так как он не соответствовал политикам аттестации, настроенным в HGS. Дополнительные сведения см. в таблице AttestationSubStatus. |
| NotConfigured | Узел не настроен для использования HGS для аттестации и защиты ключей. Вместо этого он настроен для локального режима. Если этот узел находится в защищенной структуре, используйте Set-HgsClientConfiguration , чтобы предоставить его URL-адреса для сервера HGS. |
| Передано | Узел прошел аттестацию. |
| TransientError | Последняя попытка аттестации завершилась сбоем из-за сетей, служб или другой временной ошибки. Повторите последнюю операцию. |
| TpmError | Узел не смог завершить последнюю попытку аттестации из-за ошибки с TPM. Дополнительные сведения см. в журналах TPM. |
| Несанкционированныйhost | Узел не прошел аттестацию, так как он не был авторизован для запуска экранированных виртуальных машин. Убедитесь, что узел принадлежит группе безопасности, доверенной HGS для запуска экранированных виртуальных машин. |
| Неизвестно | Узел еще не пытался подтвердить использование HGS. |
Если attestationStatus сообщается как InsecureHostConfiguration, одна или несколько причин заполняется в поле AttestationSubStatus. В таблице ниже приведены возможные значения аттестацииSubStatus и советы по устранению проблемы.
| AttestationSubStatus | Пояснение и требуемые меры |
|---|---|
| BitLocker | Том ОС узла не шифруется BitLocker. Чтобы устранить эту проблему, включите BitLocker в томе ОС или отключите политику BitLocker в HGS. |
| CodeIntegrityPolicy | Узел не настроен на использование политики целостности кода или не использует политику, доверенный сервером HGS. Убедитесь, что политика целостности кода настроена, что узел был перезапущен и политика зарегистрирована на сервере HGS. Дополнительные сведения см. в статье "Создание и применение политики целостности кода". |
| DumpsEnabled | Узел настроен для разрешения аварийных дампов или дампов динамической памяти, которые не допускаются политиками HGS. Чтобы устранить эту проблему, отключите дампы на узле. |
| DumpEncryption | Узел настроен, чтобы разрешить аварийные дампы или динамические дампы памяти, но не шифрует эти дампы. Отключите дампы на узле или настройте шифрование дампа. |
| DumpEncryptionKey | Узел настроен для разрешения и шифрования дампов, но не использует сертификат, известный HGS для их шифрования. Чтобы устранить эту проблему, обновите ключ шифрования дампа на узле или зарегистрируйте ключ в HGS. |
| FullBoot | Узел возобновляется из состояния спящего режима или гибернации. Перезапустите узел, чтобы разрешить чистую полную загрузку. |
| HibernationEnabled | Узел настроен для разрешения гибернации без шифрования файла гибернации, который не разрешен политиками HGS. Отключите гибернацию и перезапустите узел или настройте шифрование дампа. |
| HypervisorEnforcedCodeIntegrityPolicy | Узел не настроен на использование политики целостности кода с применением гипервизора. Убедитесь, что целостность кода включена, настроена и применяется гипервизором. Дополнительные сведения см . в руководстве по развертыванию Device Guard. |
| Iommu | Функции безопасности на основе виртуализации узла не настроены для требования устройства IOMMU для защиты от атак прямого доступа к памяти, как это требуется политикам HGS. Убедитесь, что узел имеет IOMMU, включен ли он, и что Device Guard настроен на требование защиты DMA при запуске VBS. |
| PagefileEncryption | Шифрование файлов страницы не включено на узле. Чтобы устранить эту проблему, выполните команду fsutil behavior set encryptpagingfile 1 , чтобы включить шифрование файлов страниц. Дополнительные сведения см. в статье о поведении fsutil. |
| SecureBoot | Безопасная загрузка не включена на этом узле или не используется шаблон безопасной загрузки Майкрософт. Включите безопасную загрузку с помощью шаблона безопасной загрузки Майкрософт, чтобы устранить эту проблему. |
| SecureBootSettings | Базовый план доверенного платформенного модуля на этом узле не соответствует ни одному из доверенных по HGS. Это может произойти при изменении центров запуска UEFI, переменной DBX, флага отладки или пользовательских политик безопасной загрузки путем установки нового оборудования или программного обеспечения. Если вы доверяете текущему оборудованию, встроенному ПО и программному обеспечению этого компьютера, вы можете записать новый базовый план доверенного платформенного модуля и зарегистрировать его в HGS. |
| TcgLogVerification | Невозможно получить или проверить журнал TCG (базовый план доверенного платформенного модуля). Это может указывать на проблему встроенного ПО узла, доверенного платформенного модуля или других аппаратных компонентов. Если узел настроен на попытку загрузки PXE перед загрузкой Windows, устаревшая программа загрузки Net Boot (NBP) также может вызвать эту ошибку. Убедитесь, что все NBP обновлены при включении загрузки PXE. |
| VirtualSecureMode | Функции безопасности на основе виртуализации не выполняются на узле. Убедитесь, что VBS включен и что система соответствует настроенным функциям безопасности платформы. Дополнительные сведения о требованиях К VBS см. в документации по Device Guard. |
Современный TLS
Если вы развернули групповую политику или в противном случае настроили узел Hyper-V, чтобы предотвратить использование TLS 1.0, при попытке запустить экранированную виртуальную машину может возникнуть ошибка "Клиент службы защиты узлов не удалось развернуть средство защиты ключей от имени вызывающего процесса". Это связано с поведением по умолчанию в .NET 4.6, где версия TLS по умолчанию по умолчанию не учитывается при согласовании поддерживаемых версий TLS с сервером HGS.
Чтобы обойти это поведение, выполните следующие две команды, чтобы настроить .NET для использования системных версий TLS по умолчанию для всех приложений .NET.
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:64
reg add HKLM\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /v SystemDefaultTlsVersions /t REG_DWORD /d 1 /f /reg:32
Предупреждение
Параметр версий TLS по умолчанию по умолчанию влияет на все приложения .NET на компьютере. Перед развертыванием на рабочих компьютерах необходимо протестировать разделы реестра в изолированной среде.
Дополнительные сведения о .NET 4.6 и TLS 1.0 см. в разделе "Решение проблемы TLS 1.0", 2nd Edition.