Cấu hình bảo mật Hyper-V bằng
Authorization Manager
Việc bảo mật các máy ảo đang chạy trên Hyper-V là một nhiệm vụ quan
trọng. Chính vì vậy mà trong phần hai này, chúng tôi sẽ giới thiệu cho các
bạn về cách bảo mật các máy ảo khi chạy trên Hyper-V. Authorization
Manager là một thành phần có trong Windows. Hyper-V sử dụng kho hàng
của nó để bảo mật cho partition cha của Hyper-V và cá máy ảo đang chạy
trên nó. Các thiết lập chính sách cho Hyper-V được trữ trong một file XML.
Mặc định, Local Administrator có thể quản lý tất cả các khía cạnh của Hyper-
V.
Phần này sẽ tập trung vào các chđề sau:
Bảo mật tài nguyên Hyper-V bằng cách sử dng Authorization
Manager
Từng bước trong sử dụng Authorization Manager
Các nhiệm v(Task), hoạt động (Operation) và hạng mc ca Hyper-V
Ví dđơn giản về sử dụng Authorization Manager
Hyper-V sử dụng Authorization Manager để bảo mật cho Partition cha ca
Hyper-V và các VM. Trước khi thực hiện với chúng, bạn phải làm quen vi
các thuật ngữ cơ bản được sử dụng trong Authorization Manager, bắt đầu với
các thuật ngữ sau:
Authorization Manager sdụng model điều khiển truy cập role (RBAC).
Trong model này, các role được cho phép truy cập đến các hoạt động hoặc
các nhiệm vụ để thực hiện một hành động đã được liệt kê trong danh sách các
hoạt động. Hình 1 định nghĩa các thuật ngữ dưới đây:
Hình 1: Mô hình Authorization Manager RABC
Phạm vi - Scope: Scope là đường biên cho một Role nào đó. Bạn thể tạo
một Scope bằng cách kích chuột phải vào Hyper-V Services trong
Authorization Manager hoặc bằng cách sử dụng kịch bản nhỏ. Khi tạo một
scope mi, có ba thứ có liên quan với mỗi scope mà bạn tạo trong
Authorization Manager như thể hiện trong hình 2:
Hình 2: Màn hình của Authorization Manager
Groups
Definitions
Role Assignments
Hoạt động - Operation: Operation là khối cấp phép cơ bản. Cho ví dụ,
ngừng và bắt đầu một VM.
Nhiệm vụ - Task và Sự chỉ định role - Role Definition: Task là một bộ các
hoạt động, còn Role Definition là giấy phép được gán cho Role Assignment.
Nghĩa vụ role - Role Assignment: Role Assignment gồm có nhiều người
dùng được n các nhiệm v hoặc hoạt động nào đó.
Như thể hiện trong hình 1, hai phạm vi được tạo: SCOPE 1 và SCOPE 2. C
hai phạm vi đều gồm có Operation, Task và Role, tuy nhiên các điều khoản là
khác nhau. Role đã định nghĩa trong Scope 1 là User 1 and User 2,
Operation gán cho các Role này là "Start Virtual Machine""Stop Virtual
Machine". Tương tự, bạn có thể thấy trong SCOPE 2, các Role ở đây khác
hoàn toàn: User 3 và User 4. Scope 2 ch có một Operation được định nghĩa
cho User 3 và User 4: "Configure Virtual Machine Settings".
Các Operation, Task và Role được đnh nghĩa trong một file XML.
%SystemRoot%ProgramDataMicrosoftWindowsHyper-VInitialStore.XML
Lưu ý: Thư mc ProgramData bị ẩn mặc định trên Windows Server 2008.
Bạn có thể cần phải hiện thư mục này để xem đường dẫn bên trên.
Hyper-V Server sdụng kho hàng này. Nếu file bị mất thì các dch v Hyper-
V sẽ khi lỗi khi khởi chạy. Ban đầu Hyper-V sẽ việc đọc file này để lấy các
điều khoản đã được gán cho VM. Sau đó nó truy vấn một entry của registry
hiển thị bên dưới để lấy đường dẫn của file InitialStore.XML:
HKLMSoftwareMicrosoftWindows NTCurrentVersionVirtualization
Key ở trên lưu hai entry của registry: StoreLocation và ServiceApplication.
Entry StoreLocation định nghĩa đường dẫn của file InitialStore.XML còn
entry ServiceApplication định nghĩa ứng dụng nào trong chính sách mà file
InitialStore.XML được sử dụng. Trong trường hp này, nó là Hyper-V
Services.
Mẹo: File InitialStore.XML được cài đặt chỉ khi bạn kích hoạt Hyper-V Role.
Nếu file này bị mất hoặc bị lỗi, bạn có hai tùy chọn sau:
- Copy file từ một Hyper-V Server đang làm việc
Hoặc
- Gắn Install.WIM từ Windows Server 2008 ISO, sau đó tìm kiếm
InitialStore.XML. Copy file này vào Hyper-V Server.