Windows 보호된 VM 서명된 템플릿 디스크 만들기

일반 VM과 마찬가지로 VM 템플릿(예 Virtual Machine Manager(VMM)의 VM 템플릿)을 만들어 테넌트 및 관리자가 템플릿 디스크를 사용하여 패브릭에 새 VM을 쉽게 배포하도록 지원할 수 있습니다. 보호된 VM은 보안에 중요한 자산이므로 보호 기능을 지원하는 VM 템플릿을 만드는 추가 단계가 있습니다. 이 토픽은 VMM에서 보호된 템플릿 디스크 및 VM 템플릿을 만드는 단계를 설명합니다.

이 토픽이 보호된 VM을 배포하는 전체 프로세스에 어떻게 적합한지 이해하려면 보호된 호스트 및 보호된 VM에 대한 호스팅 서비스 공급자 구성 단계를 참조하세요.

운영 체제 VHDX 준비

먼저 보호된 템플릿 디스크 만들기 마법사를 통해 실행할 OS 디스크를 준비합니다. 이 디스크는 테넌트의 VM에서 OS 디스크로 사용됩니다. 기존 도구를 사용하여 Microsoft DISM(데스크톱 이미지 서비스 관리자)과 같은 이 디스크를 만들거나 빈 VHDX를 사용하여 VM을 수동으로 설정하고 해당 디스크에 OS를 설치할 수 있습니다. 디스크를 설정할 때는 2세대 및/또는 보호된 VM과 관련된 다음 요구 사항을 준수해야 합니다.

템플릿 운영 체제에서 Windows 업데이트 실행

템플릿 디스크에서 운영 체제에 최신 Windows 업데이트가 모두 설치되어 있는지 확인합니다. 최근에 릴리스된 업데이트는 템플릿 운영 체제가 최신 상태가 아닌 경우 완료하지 못할 수 있는 프로세스인 엔드 투 엔드 실딩 프로세스의 안정성을 향상시킵니다.

템플릿 디스크 마법사를 사용하여 VHDX 준비 및 보호

보호된 VM에서 템플릿 디스크를 사용하려면 보호된 템플릿 디스크 생성 마법사를 사용하여 디스크를 준비하고 BitLocker를 사용하여 암호화해야 합니다. 이 마법사는 디스크에 대한 해시를 생성하여 볼륨 서명 카탈로그(VSC)에 추가합니다. VSC는 지정하는 인증서를 사용하여 서명되며 테넌트에 대해 배포되는 디스크가 변경되지 않았거나 테스트에서 신뢰하지 않는 디스크로 대체되지 않도록 프로비저닝 프로세스 중에 사용됩니다. 마지막으로, BitLocker는 VM 프로비저닝 중에 암호화를 위해 디스크를 준비하기 위해 디스크의 운영 체제(아직 없는 경우)에 설치됩니다.

Windows Server 2016, Windows 10(원격 서버 관리 도구, RSAT가 설치됨) 이상을 실행하는 컴퓨터에서 다음 단계를 수행합니다(보호된 호스트 또는 VMM 서버일 필요는 없음).

1. 운영 체제 VHDX 준비에서 만든 일반화된 VHDX를 서버에 복사합니다(아직 없는 경우).

2. 서버를 로컬에서 관리하려면 서버에 원격 서버 관리 도구의 보호된 가상 머신 도구 기능을 설치합니다.

   Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
   

   Windows 10 원격 서버 관리 도구를 설치한 클라이언트 컴퓨터에서 서버를 관리할 수도 있습니다.

3. 새 보호된 VM의 템플릿 디스크가 될 VSC에 서명하는 인증서를 가져오거나 만듭니다. 이 인증서에 대한 세부 정보는 테넌트가 보호 데이터 파일을 만들고 신뢰할 수 있는 디스크에 권한을 부여할 때 표시됩니다. 따라서 사용자와 테넌트가 상호 신뢰하는 인증 기관에서 이 인증서를 가져오는 것이 중요합니다. 호스트 및 테넌트인 엔터프라이즈 시나리오에서는 PKI에서 이 인증서를 발급하는 것이 좋습니다.

   테스트 환경을 설정하고 자체 서명된 인증서를 사용하여 템플릿 디스크를 준비하려는 경우 다음과 유사한 명령을 실행합니다.

   New-SelfSignedCertificate -DnsName publisher.fabrikam.com
   

4. 시작 메뉴의 관리 도구 폴더에서 템플릿 디스크 마법사를 시작하거나 TemplateDiskWizard.exe를 명령 프롬프트에 입력합니다.

5. 인증서 페이지에서 찾아보기를 클릭하여 인증서 목록을 표시합니다. 디스크 템플릿을 준비할 인증서를 선택합니다. 확인을 클릭하고 다음을 클릭합니다.

6. 가상 디스크 페이지에서 찾아보기를 클릭하여 준비한 VHDX를 선택한 다음, 다음을 클릭합니다.

7. 서명 카탈로그 페이지에서 친숙한 디스크 이름 및 버전을 제공합니다. 이러한 필드는 준비된 후 디스크를 식별하는 데 도움이 됩니다.

   예를 들어 디스크 이름의 경우 WS2016을 입력하고 버전에 1.0.0.0을 입력할 수 있습니다.

8. 마법사의 설정 검토 페이지에서 선택 항목을 검토합니다. 생성을 클릭하면 마법사가 템플릿 디스크에서 BitLocker를 사용하도록 설정하고, 디스크의 해시를 계산하고, VHDX 메타데이터에 저장된 볼륨 서명 카탈로그를 만듭니다.

   템플릿 디스크를 탑재하거나 이동하기 전에 준비 프로세스가 완료될 때까지 기다립니다. 디스크 크기에 따라 이 프로세스를 완료하는 데 시간이 걸릴 수 있습니다.

   Important

   템플릿 디스크는 보호된 보안 VM 프로비저닝 프로세스에서만 사용할 수 있습니다. 템플릿 디스크를 사용하여 일반 미보호 VM을 부팅하려고 하면 중지 오류(파란색 화면)가 발생할 수 있으며 이러한 방식은 지원되지 않습니다.

9. 요약 페이지에서 디스크 템플릿에 대한 정보, VSC에 서명하는 데 사용되는 인증서 및 인증서 발급자 정보가 표시됩니다. 닫기를 클릭하여 마법사를 종료합니다.

VMM을 사용하는 경우 이 항목의 나머지 섹션에 있는 단계에 따라 템플릿 디스크를 VMM의 보호된 VM 템플릿에 통합합니다.

VMM 라이브러리에 템플릿 디스크 복사

VMM을 사용하는 경우 템플릿 디스크를 생성된 후 VMM 라이브러리 공유에 복사하여 새로운 VM을 프로비저닝할 때 호스트가 디스크를 다운로드하고 사용할 수 있도록 해야 합니다. 다음 절차에 따라 템플릿 디스크를 VMM 라이브러리에 복사한 다음 라이브러리를 새로 고칩니다.

1. VHDX 파일을 VMM 라이브러리 공유 폴더에 복사합니다. 기본 VMM 구성을 사용한 경우 템플릿 디스크를 \<\vmmserver>\MSSCVMMLibrary\VHDs에 복사합니다.

2. 라이브러리 서버를 새로 고칩니다. 라이브러리 스페이스를 열고 라이브러리 서버를 확장하고 새로 고칠 라이브러리 서버를 마우스 오른쪽 단추로 클릭한 다음 새로 고침을 클릭합니다.

3. 다음으로, 템플릿 디스크에 설치된 운영 체제에 대한 정보를 VMM에 제공합니다.

   a. 라이브러리 작업 영역의 라이브러리 서버에서 새로 가져온 템플릿 디스크를 찾습니다.

   b. 파일을 마우스 오른쪽 단추로 클릭한 후 속성을 클릭합니다.

   c. 운영 체제의 경우 목록을 확장하고 디스크에 설치된 운영 체제를 선택합니다. 운영 체제를 선택하면 VHDX가 비어 있지 않음을 VMM에 표시합니다.

   d. 속성을 업데이트한 경우 확인을 클릭합니다.

디스크 이름 옆에 있는 작은 방패 아이콘은 디스크를 보호된 VM에 대해 준비된 템플릿 디스크로 나타냅니다. 열 머리글을 마우스 오른쪽 단추로 클릭하고 보호 열을 토글하여 디스크가 일반 VM 배포용인지 아니면 보호된 VM 배포용인지 여부를 나타내는 텍스트 표현을 볼 수도 있습니다.

준비된 템플릿 디스크를 사용하여 VMM에서 보호된 VM 템플릿 만들기

VMM 라이브러리에 준비된 템플릿 디스크를 사용하면 보호된 VM에 대한 VM 템플릿을 만들 준비가 됩니다. 보호된 VM에 대한 VM 템플릿은 특정 설정이 고정되어 있고(2세대 VM, UEFI 및 보안 부팅 사용 등) 다른 템플릿을 사용할 수 없다는 점에서 기존 VM 템플릿과 약간 다릅니다(테넌트 사용자 지정은 VM의 몇 가지 선택 속성으로 제한됨). VM 가이드를 만들려면 다음 단계를 수행합니다.

1. 라이브러리 작업 영역의 상단에 있는 홈 탭에서 VM 템플릿 만들기를 클릭합니다.

2. 원본 선택 페이지에서 라이브러리에 보관된 기존 VM 템플릿 또는 가상 하드 디스크 사용을 클릭한 후 찾아보기를 클릭합니다.

3. 표시되는 창에서 VMM 라이브러리에서 준비된 템플릿 디스크를 선택합니다. 준비된 디스크를 보다 쉽게 식별하려면 열 머리글을 마우스 오른쪽 단추로 클릭하고 보호 열을 활성화합니다. 확인과 다음을 차례로 클릭합니다.

4. VM 템플릿 이름 및 원하는 경우 설명을 지정하고 다음을 클릭합니다.

5. 하드웨어 구성 페이지에서 이 템플릿에서 만든 VM의 기능을 지정합니다. 하나 이상의 NIC를 사용할 수 있으며 VM 템플릿에서 구성해야 합니다. 테넌트가 보호된 VM에 연결하는 유일한 방법은 원격 데스크톱 연결, Windows 원격 관리 또는 네트워킹 프로토콜을 통해 작동하는 기타 미리 구성된 원격 관리 도구를 사용하는 것입니다.

   테넌트 네트워크에서 DHCP 서버를 실행하는 대신 VMM에서 고정 IP 풀을 활용하도록 선택하는 경우 테넌트에게 이 구성에 대해 경고해야 합니다. 테넌트가 VMM에 대한 무인 파일을 포함하는 보호 데이터 파일을 제공하는 경우 고정 IP 풀 정보에 대한 특수 자리 표시자 값을 제공해야 합니다. 테넌트 unattend 파일의 VMM 자리 표시자에 대한 자세한 내용은 응답 파일 만들기를 참조하세요.

6. 운영 체제 구성 페이지에서 VMM은 제품 키, 표준 시간대 및 컴퓨터 이름을 포함하여 보호된 VM에 대한 몇 가지 옵션만 표시합니다. 관리자 암호 및 도메인 이름과 같은 일부 보안 정보는 보호된 데이터 파일(.PDK 파일)을 통해 테넌트에 의해 지정됩니다.

   참고 항목

   이 페이지에서 제품 키를 지정하도록 선택한 경우 템플릿 디스크의 운영 체제에 대해 유효한지 확인합니다. 잘못된 제품 키를 사용하면 VM를 만들 수 없습니다.

템플릿을 만든 후 테넌트는 템플릿을 사용하여 새 가상 머신을 만들 수 있습니다. VM 템플릿이 테넌트 관리자 사용자 역할에 사용할 수 있는 리소스 중 하나인지 확인해야 합니다(VMM에서 사용자 역할은 설정 작업 영역에 위치).

PowerShell을 사용하여 VHDX 준비 및 보호

템플릿 디스크 마법사를 실행하는 대신 템플릿 디스크와 인증서를 RSAT를 실행하는 컴퓨터에 복사하고 Protect-TemplateDisk를 실행하여 서명 프로세스를 시작할 수 있습니다. 다음 예제에서는 TemplateName 및 버전 매개 변수에 의해 지정된 이름과 버전 정보를 사용합니다. -Path 매개 변수에 제공하는 VHDX는 업데이트된 템플릿 디스크로 재정의되므로 명령을 실행하기 전에 복사본을 만들어야 합니다.

# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT

Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0

이제 템플릿 디스크를 사용하여 보호된 VM을 프로비저닝할 준비가 되었습니다. System Center Virtual Machine Manager를 사용하여 VM을 배포하는 경우 이제 VHDX를 VMM 라이브러리에 복사할 수 있습니다.

VHDX에서 볼륨 서명 카탈로그를 추출할 수도 있습니다. 이 파일은 서명 인증서, 디스크 이름 및 버전에 대한 정보를 템플릿을 사용하려는 VM 소유자에게 제공하는 데 사용됩니다. 서명 인증서를 소유한 템플릿 작성자인 사용자에게 권한을 부여하려면 이 파일을 데이터 파일 보호 마법사로 가져와서 이 디스크와 향후 템플릿 디스크를 만들어야 합니다.

볼륨 서명 카탈로그를 추출하려면 PowerShell에서 다음 명령을 실행합니다.

Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'

다음 단계

추가 참조

• 보호된 호스트 및 보호된 VM에 대한 서비스 공급자 구성 단계 호스팅
• 보호된 패브릭 및 보호된 VM