部署受保护的虚拟机（概述）

Hyper-V第二代虚拟机支持哪些系统能够参看：

https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/plan/should-i-create-a-generation-1-or-2-virtual-machine-in-hyper-v

受保护的虚拟机主要有2部分构成：

• VHDx经过“模板磁盘向导”将进行签名加密VHDx

• 密码，RDP证书等机密信息经过“防御数据文件向导”生成受保护的数据文件PDK

只有签名过得VHDx结合PDK文件才能作受保护的虚拟机（VM）：

其中PDK有2张作法：1种是资料加密，不受保护；1种是资料加密的同时受保护，那么受保护的资料加密只能在受保护的Hyper-V主机上才能启动

受保护的虚拟机主要是受保护的数据文件：

受保护的数据文件（也称为配置数据文件（PDK文件））是租户或VM全部者建立的加密文件，用于保护重要的VM配置信息，例如管理员密码，RDP证书和其余身份相关证书，域加入凭证，等等。管理员在建立受保护的VM时使用受保护的数据文件（PDK），但没法查看或使用文件中包含的信息（文件内容是加密编译的）

其中，受保护的数据文件（PDK）包含的敏感信息以下：

• 管理员凭据

• 答案文件（unattend.xml）

• 一种安全策略，用于肯定使用此受保护的数据（PDK）建立的VM是否配置为受保护的或支持加密

• 请记住，配置为受保护的VM受到管理员的保护，而仅支持加密的VM则不受保护

• 用于保护与VM的远程桌面链接的RDP证书

• 卷签名目录，其中包含容许从中建立新VM的受信任签名模板磁盘签名列表

• 密钥保护程序（或KPS），用于定义屏蔽虚拟机被受权运行的受保护Hyper-V环境

受保护的数据文件（PDK文件）保证将以VM全部者想要的方式建立VM。例如，当VM全部者在受保护的数据文件（PDK）中放置应答文件（unattend.xml）并将其传递给受保护的Hyper-V主机时，受保护的Hyper-V环境的IT管理员是没法查看或更改该应答文件的。一样的，受保护的Hyper-V环境的IT管理员在建立受保护的VM时不能替换不一样的VHDX文件，由于受保护的数据文件（PDK）包含了具体某一个签名加密过得VHDx文件加密信息与之匹配。

下图显示了受保护数据文件（PDK）和相关配置元素

对于之前传统的已经存在的虚拟机也是能够保护的，流程以下：

要准备建立受保护的数据文件（PDK），须要挨个完成如下步骤：

• 获取远程桌面链接的证书

• 建立答案文件

• 获取卷签名目录文件

• 选择可信任的HGS群集进行验证

而后您能够建立屏蔽数据文件：

• 建立新建虚拟机时让新虚拟机受保护数据文件（PDK）并添加监护域（人）

• 建立新建虚拟机时让新虚拟机仅加密的数据文件（PDK）并添加监护域（人）

• 建立对现有虚拟机进行保护的数据文件（PDK）并添加监护域（人）

• 建立对现有虚拟机进行仅加密的数据文件（PDK）并添加监护域（人）

后面的文章会一一为你们分享。