Cấu hình bảo mật Hyper-V Authorization Manager

Cấu hình bảo mật Hyper-V bằng Authorization ManagerViệc bảo mật các máy ảo đang chạy trên Hyper-V là một nhiệm vụ quan trọng. Chính vì vậy mà trong phần hai này, chúng tôi sẽ giới thiệu cho các bạn về cách bảo mật các máy ảo khi chạy trên Hyper-V. Authorization Manager là một thành phần có trong Windows. Hyper-V sử dụng kho hàng của nó để bảo mật cho partition cha của Hyper-V và cá máy ảo đang chạy trên nó. Các thiết lập chính sách cho Hyper-V được trữ trong một file XML. Mặc định, Local Administrator có...
Nội dung trích xuất từ tài liệu:
Cấu hình bảo mật Hyper-V Authorization Manager Cấu hình bảo mật Hyper-V bằng Authorization ManagerViệc bảo mật các máy ảo đang chạy trên Hyper-V là một nhiệm vụ quantrọng. Chính vì vậy mà trong phần hai này, chúng tôi sẽ giới thiệu cho cácbạn về cách bảo mật các máy ảo khi chạy trên Hyper-V. AuthorizationManager là một thành phần có trong Windows. Hyper-V sử dụng kho hàngcủa nó để bảo mật cho partition cha của Hyper-V và cá máy ảo đang chạytrên nó. Các thiết lập chính sách cho Hyper-V được trữ trong một file XML.Mặc định, Local Administrator có thể quản lý tất cả các khía cạnh của Hyper-V.Phần này sẽ tập trung vào các chủ đề sau: Bảo mật tài nguyên Hyper-V bằng cách sử dụng Authorization  Manager Từng bước trong sử dụng Authorization Manager  Các nhiệm vụ (Task), hoạt động (Operation) và hạng mục của Hyper-V  Ví dụ đơn giản về sử dụng Authorization Manager Hyper-V sử dụng Authorization Manager để bảo mật cho Partition cha củaHyper-V và các VM. Trước khi thực hiện với chúng, bạn phải làm quen vớicác thuật ngữ cơ bản được sử dụng trong Authorization Manager, bắt đầu vớicác thuật ngữ sau:Authorization Manager sử dụng model điều khiển truy cập role (RBAC).Trong model này, các role được cho phép truy cập đến các hoạt động hoặccác nhiệm vụ để thực hiện một hành động đã được liệt kê trong danh sách cáchoạt động. Hình 1 định nghĩa các thuật ngữ dưới đây: Hình 1: Mô hình Authorization Manager RABCPhạm vi - Scope: Scope là đường biên cho một Role nào đó. Bạn có thể tạomột Scope bằng cách kích chuột phải vào Hyper-V Services trongAuthorization Manager hoặc bằng cách sử dụng kịch bản nhỏ. Khi tạo mộtscope mới, có ba thứ có liên quan với mỗi scope mà bạn tạo trongAuthorization Manager như thể hiện trong hình 2: Hình 2: Màn hình của Authorization Manager Groups  Definitions  Role Assignments Hoạt động - Operation: Operation là khối cấp phép cơ bản. Cho ví dụ,ngừng và bắt đầu một VM.Nhiệm vụ - Task và Sự chỉ định role - Role Definition: Task là một bộ cáchoạt động, còn Role Definition là giấy phép được gán cho Role Assignment.Nghĩa vụ role - Role Assignment: Role Assignment gồm có nhiều ngườidùng được gán các nhiệm vụ hoặc hoạt động nào đó.Như thể hiện trong hình 1, hai phạm vi được tạo: SCOPE 1 và SCOPE 2. Cảhai phạm vi đều gồm có Operation, Task và Role, tuy nhiên các điều khoản làkhác nhau. Role đã định nghĩa trong Scope 1 là User 1 and User 2, vàOperation gán cho các Role này là Start Virtual Machine và Stop VirtualMachine. Tương tự, bạn có thể thấy trong SCOPE 2, các Role ở đây kháchoàn toàn: User 3 và User 4. Scope 2 chỉ có một Operation được định nghĩacho User 3 và User 4: Configure Virtual Machine Settings.Các Operation, Task và Role được định nghĩa trong một file XML.%SystemRoot%ProgramDataMicrosoftWindowsHyper-VInitialStore.XMLLưu ý: Thư mục ProgramData bị ẩn mặc định trên Windows Server 2008.Bạn có thể cần phải hiện thư mục này để xem đường dẫn bên trên.Hyper-V Server sử dụng kho hàng này. Nếu file bị mất thì các dịch vụ Hyper-V sẽ khi lỗi khi khởi chạy. Ban đầu Hyper-V sẽ việc đọc file này để lấy cácđiều khoản đã được gán cho VM. Sau đó nó truy vấn một entry của registryhiển thị bên dưới để lấy đường dẫn của file InitialStore.XML:HKLMSoftwareMicrosoftWindows NTCurrentVersionVirtualizationKey ở trên lưu hai entry của registry: StoreLocation và ServiceApplication.Entry StoreLocation định nghĩa đường dẫn của file InitialStore.XML cònentry ServiceApplication định nghĩa ứng dụng nào trong chính sách mà fileInitialStore.XML được sử dụng. Trong trường hợp này, nó là Hyper-VServices.Mẹo: File InitialStore.XML được cài đặt chỉ khi bạn kích hoạt Hyper-V Role.Nếu file này bị mất hoặc bị lỗi, bạn có hai tùy chọn sau:- Copy file từ một Hyper-V Server đang làm việcHoặc- Gắn Install.WIM từ Windows Server 2008 ISO, sau đó tìm kiếmInitialStore.XML. Copy file này vào Hyper-V Server.Phạm vi của bài viết này được giới hạn chỉ cho vấn đề bảo mật của Hyper-Vnên chúng tôi sẽ không giải thích nhiều về Authorization Manager và các tínhnăng của nó.Mặc định, Hyper-V Server định nghĩa một Scope, 33 Operation và một Role,tất cả những thứ này được lưu trong một file XML được nói ở trên. Mặc định,Local Administrator trên partition cha được cấu hình là Default Role và tất cảđều được gán các đặc quyền để cấu hình Hyper-V và các VM đang chạy trênnó. Bạn có thể xem và cấu hình chúng bằng cách sử dụng AuthorizationManager MMC. Tên MMC là AzMan.MSC. Người dùng phải là một thànhviên của nhóm quản trị nội bộ trên partition cha để có thể sử dụngAuthorization Manager.Hướng dẫn từng bước cho Authorization Manager1. Vào Start Menu > đánh AzMan.MSC2. Kích phải vào Red Cross > kích Open ...