配置Hyper-V虛擬機安全功能

現在Windows Server 2016 Hyper-V在虛擬機安全方面有很多增強，也許最重要的有兩個，SVM（Shielded Virtual Machines）和 vTPM（Virtual TPM），但都是基于硬件。SVM要求主機Host的OS和虛擬機管理都具有獨立的硬件架構，將Guest OS與Host分層運行，來有效控制終端訪問和數據傳輸。而vTPM則更是針對二代VM（虛擬機）的芯片衛士，為 Guest OS中的管理員采用BitLocker進行數據加鎖。

所以，SVM與vTPM的服務對象是非常新潮的二代VM，但對于多數尚處于第一代VM的當前系統很不現實，對此Windows Server 2016提供了Key Storage Drive（以下簡稱KSD）這項安全技術。雖然，KSD的安全功能并不能等同于SVM與vTPM，其作用主要是支持Guest OS管理員能對VM磁盤進行安全保護。那如何啟用KSD？只要打開一代虛擬機，然后在硬件中的安全欄目中即可添加KSD（如圖1）。

瀏覽IDE Controller 0會看到新添加的KSD，它是一個容量較小的磁盤，可以利 用Disk Management或Diskpart對其格式化，文件格式為NTFS，將其盤符命名為“Z：”，然后即可登錄虛擬機進行BitLocker配置。

此時可通過GPOs(Group Policy Objects)對域內的VM進行配置，具體選項為“Computer Configura tionAdmin istrative TemplatesWindows ComponentsBit Locker Drive Encryption”，為此需要勾選“ Require Additional Authentication A t Startup”；另外別忘了在VM的Guest OS運行命令進行local/group策略更新。

現在開始嘗試啟用Bit Locker，首先通過PowerShell命令讓VM的Guest OS 支持 BitLocker，然后進行加密處理。啟用的PowerShell命令如下：

Install-WindowsFea ture BitLocker -Include AllSubFeature -Include ManagementTools -Restart

接下去，可以對C: 盤進行加密，PowerShell命令如下（Z: 就是剛才制作的Key Storage Drive）:

Enable-BitLocker C:-StartupKeyProtector-StartupKeyPath Z:

當然，也可以對其它卷（如E:）上的數據加密，PowerShell命令如下：

Enable-BitLocker E:-StartupKeyProtector-StartupKeyPath Z:-UsedSpaceOnly

加密之后我們測試發現果然如此。