Bảo mật Hyper-V bằng Authorization Manager
Việc bảo mật các máy ảo đang chạy trên Hyper-V là một nhiệm v quan
trọng. Chính vì vậy mà trong phn hai này, chúng tôi sẽ giới thiệu cho các
bạn về cách bảo mật các máy ảo khi chạy trên Hyper-V. Authorization
Manager là một thành phn trong Windows. Hyper-V sử dng kho hàng
của nó để bảo mật cho partition cha của Hyper-V và cá máy ảo đang chạy
trên nó. Các thiết lập chính sách cho Hyper-V được trữ trong một file XML.
Mặc định, Local Administrator có thể quản lý tất cả các khía cạnh của Hyper-
V.
Phần này stập trung vào các chđề sau:
Bảo mật tài nguyên Hyper-V bằng cách sử dụng Authorization
Manager
Từng bước trong sử dụng Authorization Manager
Các nhiệm v (Task), hoạt động (Operation) và hạng mc của Hyper-V
Ví dđơn giản về sử dụng Authorization Manager
Hyper-V sử dụng Authorization Manager để bảo mật cho Partition cha của
Hyper-V và các VM. Trước khi thực hiện với chúng, bạn phải làm quen với
các thuật ngữ cơ bản được sử dụng trong Authorization Manager, bắt đầu với
các thuật ngữ sau:
Authorization Manager sdụng model điều khiển truy cập role (RBAC).
Trong model này, các role được cho phép truy cập đến các hoạt động hoặc
các nhiệm vụ để thực hiện một hành động đã được liệt kê trong danhch các
hoạt động. Hình 1 định nghĩa các thuật ngữ dưới đây:
Hình 1: Mô hình Authorization Manager RABC
Phạm vi - Scope: Scope là đường biên cho một Role nào đó. Bạn có thể tạo
một Scope bằng cách kích chuột phải vào Hyper-V Services trong
Authorization Manager hoặc bằng cách sử dụng kịch bản nhỏ. Khi tạo một
scope mi, có ba thứ có liên quan với mỗi scope mà bạn tạo trong
Authorization Manager như thể hiện trong hình 2:
Hình 2: Màn hình của Authorization Manager
Groups
Definitions
Role Assignments
Hoạt động - Operation: Operation là khối cấp phép cơ bản. Cho ví d,
ngừng và bắt đầu một VM.
Nhiệm vụ - Task và Sự chỉ định role - Role Definition: Task là một bộ các
hoạt động, còn Role Definition là giy phép được gán cho Role Assignment.
Nghĩa vụ role - Role Assignment: Role Assignment gồm có nhiều người
dùng được n các nhiệm vụ hoặc hoạt động nào đó.
Như thể hiện trong hình 1, hai phạm vi được tạo: SCOPE 1 và SCOPE 2. C
hai phạm vi đều gồm có Operation, Task và Role, tuy nhiên các điều khoản là
khác nhau. Role đã định nghĩa trong Scope 1 là User 1 and User 2,
Operation gán cho các Role này là "Start Virtual Machine" và "Stop Virtual
Machine". Tương tự, bạn có thể thấy trong SCOPE 2, các Role ở đây khác
hoàn toàn: User 3 và User 4. Scope 2 ch có một Operation được định nghĩa
cho User 3 và User 4: "Configure Virtual Machine Settings".
Các Operation, Task và Role được đnh nghĩa trong một file XML.
%SystemRoot%ProgramDataMicrosoftWindowsHyper-VInitialStore.XML
Lưu ý: Thư mục ProgramData bị ẩn mặc định trên Windows Server 2008.
Bạn có thể cần phải hiện thư mục này để xem đường dẫn bên trên.
Hyper-V Server sdụng kho hàng này. Nếu file bị mất thì các dịch vụ Hyper-
V sẽ khi lỗi khi khởi chạy. Ban đầu Hyper-V sẽ việc đọc file này để lấy các
điều khoản đã được gán cho VM. Sau đó nó truy vấn một entry của registry
hiển thị bên dưới để lấy đường dẫn của file InitialStore.XML:
HKLMSoftwareMicrosoftWindows NTCurrentVersionVirtualization
Key ở trên lưu hai entry của registry: StoreLocation và ServiceApplication.
Entry StoreLocation định nghĩa đường dẫn của file InitialStore.XML còn
entry ServiceApplication định nghĩa ứng dụng nào trong chính sách mà file
InitialStore.XML được sử dụng. Trong trường hp này, nó là Hyper-V
Services.
Mẹo: File InitialStore.XML được cài đặt chỉ khi bạn kích hoạt Hyper-V Role.
Nếu file này bị mất hoặc b lỗi, bạn có hai tùy chọn sau:
- Copy file từ một Hyper-V Server đang làm việc
Hoặc
- Gắn Install.WIM từ Windows Server 2008 ISO, sau đó tìm kiếm
InitialStore.XML. Copy file này vào Hyper-V Server.
Phạm vi của bài viết này được gii hạn chỉ cho vấn đề bảo mật của Hyper-V
nên chúng tôi sẽ không giải thích nhiều về Authorization Manager và các tính
năng của.