現(xiàn)在Windows Server 2016 Hyper-V在虛擬機(jī)安全方面有很多增強(qiáng)，也許最重要的有兩個(gè)，SVM（Shielded Virtual Machines）和 vTPM（Virtual TPM），但都是基于硬件。SVM要求主機(jī)Host的OS和虛擬機(jī)管理都具有獨(dú)立的硬件架構(gòu)，將Guest OS與Host分層運(yùn)行，來有效控制終端訪問和數(shù)據(jù)傳輸。而vTPM則更是針對(duì)二代VM（虛擬機(jī)）的芯片衛(wèi)士，為 Guest OS中的管理員采用BitLocker進(jìn)行數(shù)據(jù)加鎖。

所以，SVM與vTPM的服務(wù)對(duì)象是非常新潮的二代VM，但對(duì)于多數(shù)尚處于第一代VM的當(dāng)前系統(tǒng)很不現(xiàn)實(shí)，對(duì)此Windows Server 2016提供了Key Storage Drive（以下簡稱KSD）這項(xiàng)安全技術(shù)。雖然，KSD的安全功能并不能等同于SVM與vTPM，其作用主要是支持Guest OS管理員能對(duì)VM磁盤進(jìn)行安全保護(hù)。那如何啟用KSD？只要打開一代虛擬機(jī)，然后在硬件中的安全欄目中即可添加KSD（如圖1）。

瀏覽IDE Controller 0會(huì)看到新添加的KSD，它是一個(gè)容量較小的磁盤，可以利 用Disk Management或Diskpart對(duì)其格式化，文件格式為NTFS，將其盤符命名為“Z：”，然后即可登錄虛擬機(jī)進(jìn)行BitLocker配置。

此時(shí)可通過GPOs(Group Policy Objects)對(duì)域內(nèi)的VM進(jìn)行配置，具體選項(xiàng)為“Computer Configura tionAdmin istrative TemplatesWindows ComponentsBit Locker Drive Encryption”，為此需要勾選“ Require Additional Authentication A t Startup”；另外別忘了在VM的Guest OS運(yùn)行命令進(jìn)行l(wèi)ocal/group策略更新。

現(xiàn)在開始嘗試啟用Bit Locker，首先通過PowerShell命令讓VM的Guest OS 支持 BitLocker，然后進(jìn)行加密處理。啟用的PowerShell命令如下：

Install-WindowsFea ture BitLocker -Include AllSubFeature -Include ManagementTools -Restart

接下去，可以對(duì)C: 盤進(jìn)行加密，PowerShell命令如下（Z: 就是剛才制作的Key Storage Drive）:

Enable-BitLocker C:-StartupKeyProtector-StartupKeyPath Z:

當(dāng)然，也可以對(duì)其它卷（如E:）上的數(shù)據(jù)加密，PowerShell命令如下：

Enable-BitLocker E:-StartupKeyProtector-StartupKeyPath Z:-UsedSpaceOnly

加密之后我們測(cè)試發(fā)現(xiàn)果然如此。