Microsoft在Windows Server 2019中的重大改进

在Windows Server 2019中，Microsoft为其屏蔽虚拟机安全控制改进了弹性和冗余的问题，该Shielded VMs于Windows Server 2016提出。

Shielded VMs最初提供了一种保护虚拟机资产的方法，将它与虚拟机管理程序基础设施隔离开来，这也有助于向审计人员证明系统已被充分隔离和控制。现在，Window Server 2019中的Shielded VM增强功能提供了实时故障恢复配置以及基于主机和策略的安全性改进。

主机密钥证明

在Windows Server 2016下，密钥身份验证基于可信平台模块（TPM）密码处理器和Microsoft Active Directory身份验证。这两者都是很好的解决方案，但在扩展性和冗余方面受到了限制。

Windows Server 2019中新添加的的主机密钥证明提供了基于证书的解决方案，允许组织使用标准证书存储机制存储密钥。将Shielded VMs与基于TPM的系统隔离的组织可以继续使用基于TPM的证明。

主机密钥证明为Shielded VMs开辟了新的方案，无需再受Active Directory或基于TPM环境的限制，包括扩展Shielded VMs以及改善冗余。

故障恢复配置

Windows Server 2016中的主机监护服务（HGS）用于配置保护主机和Shielded VMs，并提供运行Shielded VMs所需的认证和密钥保护。当HGS无法访问，Shielded VMs系统需要启动时，Windows Server 2019中的故障恢复配置为HGS冗余提供了一个附加层。Shielded VMs环境可以配置主HGS服务器和辅助HGS服务器，以便如果主服务器中断，Shielded VMs可以连接到辅助HGS服务器以验证启动过程。

这可以解决远程/分支机构问题，如果重大中断导致服务器关闭，重新启动后，本地HGS服务器尚未联机或可能处于严重故障状态，但远程办公室需要启动其系统并且运行。

通过故障恢复配置，当分支机构系统尝试向本地HGS服务器进行身份验证并失败时，系统将通过WAN到达主数据中心HGS服务器进行身份验证，以便启动可以继续。这种弹性是可选配置。

改进了Shielded VMs的工具和策略

Windows Server 2019中的Shielded VMs在工具和策略的可用性方面有许多改进。其中包括：

VMConnect和PS Direct：Windows Server 2016中的Shielded VMs阻止来自主机系统控制台（使用VMConnect）的Shielded VMs访问或从控制台到Shielded VMs（使用PS Direct）的远程访问。虽然这种保护的目的是防止恶意主机管理员访问Shielded VMs，但有时候主机管理员确实需要与Shielded VMs系统和应用程序所有者一起工作，例如在Shielded VMs和主机基础设施之间进行网络或通信控制时需要审查。 Windows Server 2019中增加了通过VMConnect和PS Direct可以访问Shielded VMs的功能，以便对解决问题和调试时可能需要的Shielded VMs的组件进行外部访问。

Shielded VM PowerShell Cmdlets：Microsoft发布了一个可与Windows Server 2019和Windows Server 2016配合使用的Guarded Fabric Tools模块。它引入了像New-ShieldedVM和New-ShieldingDataAnswerFile这样的新的cmdlet用于Shielded VM部署PowerShell控件。由于企业正在利用PowerShell创建标准部署模板，这些新的cmdlet大大提高了在企业中创建Shielded VMs的一致性。

代码完整性策略：从Windows Server1709版（2017年9月对Windows Server 2016的更新）开始，微软的Device Guard增强功能提供了示例策略，可帮助组织评估并最终锁定系统，并查找“已知有效”代码。这可以确保恶意软件不会在系统不能识别并发送非标准、不支持或未识别代码的警报的情况下，进入系统并在系统上运行。代码完整性策略将帮助运行Shielded VM保护系统的组织从内到外评估其安全风险。