部署受保護的虛擬機（概述）

Hyper-V第二代虛擬機支持哪些系統能夠參看：

https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/plan/should-i-create-a-generation-1-or-2-virtual-machine-in-hyper-v

受保護的虛擬機主要有2部分構成：

• VHDx經過「模板磁盤嚮導」將進行簽名加密VHDx

• 密碼，RDP證書等機密信息經過「防禦數據文件嚮導」生成受保護的數據文件PDK

只有簽名過得VHDx結合PDK文件才能作受保護的虛擬機（VM）：

其中PDK有2張作法：1種是資料加密，不受保護；1種是資料加密的同時受保護，那麼受保護的資料加密只能在受保護的Hyper-V主機上才能啓動

受保護的虛擬機主要是受保護的數據文件：

受保護的數據文件（也稱爲配置數據文件（PDK文件））是租戶或VM全部者建立的加密文件，用於保護重要的VM配置信息，例如管理員密碼，RDP證書和其餘身份相關證書，域加入憑證，等等。管理員在建立受保護的VM時使用受保護的數據文件（PDK），但沒法查看或使用文件中包含的信息（文件內容是加密編譯的）

其中，受保護的數據文件（PDK）包含的敏感信息以下：

• 管理員憑據

• 答案文件（unattend.xml）

• 一種安全策略，用於肯定使用此受保護的數據（PDK）建立的VM是否配置爲受保護的或支持加密

• 請記住，配置爲受保護的VM受到管理員的保護，而僅支持加密的VM則不受保護

• 用於保護與VM的遠程桌面鏈接的RDP證書

• 卷簽名目錄，其中包含容許從中建立新VM的受信任簽名模板磁盤簽名列表

• 密鑰保護程序（或KPS），用於定義屏蔽虛擬機被受權運行的受保護Hyper-V環境

受保護的數據文件（PDK文件）保證將以VM全部者想要的方式建立VM。例如，當VM全部者在受保護的數據文件（PDK）中放置應答文件（unattend.xml）並將其傳遞給受保護的Hyper-V主機時，受保護的Hyper-V環境的IT管理員是沒法查看或更改該應答文件的。一樣的，受保護的Hyper-V環境的IT管理員在建立受保護的VM時不能替換不一樣的VHDX文件，由於受保護的數據文件（PDK）包含了具體某一個簽名加密過得VHDx文件加密信息與之匹配。

下圖顯示了受保護數據文件（PDK）和相關配置元素

對於之前傳統的已經存在的虛擬機也是能夠保護的，流程以下：

要準備建立受保護的數據文件（PDK），須要挨個完成如下步驟：

• 獲取遠程桌面鏈接的證書

• 建立答案文件

• 獲取卷簽名目錄文件

• 選擇可信任的HGS羣集進行驗證

而後您能夠建立屏蔽數據文件：

• 建立新建虛擬機時讓新虛擬機受保護數據文件（PDK）並添加監護域（人）

• 建立新建虛擬機時讓新虛擬機僅加密的數據文件（PDK）並添加監護域（人）

• 建立對現有虛擬機進行保護的數據文件（PDK）並添加監護域（人）

• 建立對現有虛擬機進行僅加密的數據文件（PDK）並添加監護域（人）

後面的文章會一一爲你們分享。