Cấu hình bảo mật Hyper-V bằng
Authorization Manager
Việc bảo mật các máy ảo đang chạy trên Hyper-V là một nhiệm vụ quan
trọng. Chính vì vậy mà trong phần hai này, chúng tôi sẽ giới thiệu cho các
bạn về cách bảo mật các máy ảo khi chạy trên Hyper-V. Authorization
Manager là một thành phần có trong Windows. Hyper-V sử dụng kho hàng
của nó để bảo mật cho partition cha của Hyper-V và cá máy ảo đang chạy
trên nó. Các thiết lập chính sách cho Hyper-V được trữ trong một file XML.
Mặc định, Local Administrator có thể quản lý tất cả các khía cạnh của Hyper-
V.
Phần này sẽ tập trung vào các chủ đề sau:
 Bảo mật tài nguyên Hyper-V bằng cách sử dụng Authorization
Manager
 Từng bước trong sử dụng Authorization Manager
 Các nhiệm vụ (Task), hoạt động (Operation) và hạng mục của Hyper-V
 Ví dụ đơn giản về sử dụng Authorization Manager
Hyper-V sử dụng Authorization Manager để bảo mật cho Partition cha của
Hyper-V và các VM. Trước khi thực hiện với chúng, bạn phải làm quen với
các thuật ngữ cơ bản được sử dụng trong Authorization Manager, bắt đầu với
các thuật ngữ sau:
Authorization Manager sử dụng model điều khiển truy cập role (RBAC).
Trong model này, các role được cho phép truy cập đến các hoạt động hoặc
các nhiệm vụ để thực hiện một hành động đã được liệt kê trong danh sách các
hoạt động. Hình 1 định nghĩa các thuật ngữ dưới đây:

Hình 1: Mô hình Authorization Manager RABC
Phạm vi - Scope: Scope là đường biên cho một Role nào đó. Bạn có thể tạo
một Scope bằng cách kích chuột phải vào Hyper-V Services trong
Authorization Manager hoặc bằng cách sử dụng kịch bản nhỏ. Khi tạo một
scope mới, có ba thứ có liên quan với mỗi scope mà bạn tạo trong
Authorization Manager như thể hiện trong hình 2:

Hình 2: Màn hình của Authorization Manager
 Groups
 Definitions
 Role Assignments
Hoạt động - Operation: Operation là khối cấp phép cơ bản. Cho ví dụ,
ngừng và bắt đầu một VM.
Nhiệm vụ - Task và Sự chỉ định role - Role Definition: Task là một bộ các
hoạt động, còn Role Definition là giấy phép được gán cho Role Assignment.
Nghĩa vụ role - Role Assignment: Role Assignment gồm có nhiều người
dùng được gán các nhiệm vụ hoặc hoạt động nào đó.
Như thể hiện trong hình 1, hai phạm vi được tạo: SCOPE 1 và SCOPE 2. Cả
hai phạm vi đều gồm có Operation, Task và Role, tuy nhiên các điều khoản là
khác nhau. Role đã định nghĩa trong Scope 1 là User 1 and User 2, và
Operation gán cho các Role này là "Start Virtual Machine" và "Stop Virtual
Machine". Tương tự, bạn có thể thấy trong SCOPE 2, các Role ở đây khác
hoàn toàn: User 3 và User 4. Scope 2 chỉ có một Operation được định nghĩa
cho User 3 và User 4: "Configure Virtual Machine Settings".
Các Operation, Task và Role được định nghĩa trong một file XML.
%SystemRoot%ProgramDataMicrosoftWindowsHyper-VInitialStore.XML

Lưu ý: Thư mục ProgramData bị ẩn mặc định trên Windows Server 2008.
Bạn có thể cần phải hiện thư mục này để xem đường dẫn bên trên.
Hyper-V Server sử dụng kho hàng này. Nếu file bị mất thì các dịch vụ Hyper-
V sẽ khi lỗi khi khởi chạy. Ban đầu Hyper-V sẽ việc đọc file này để lấy các
điều khoản đã được gán cho VM. Sau đó nó truy vấn một entry của registry
hiển thị bên dưới để lấy đường dẫn của file InitialStore.XML:
HKLMSoftwareMicrosoftWindows NTCurrentVersionVirtualization

Key ở trên lưu hai entry của registry: StoreLocation và ServiceApplication.

Entry StoreLocation định nghĩa đường dẫn của file InitialStore.XML còn
entry ServiceApplication định nghĩa ứng dụng nào trong chính sách mà file
InitialStore.XML được sử dụng. Trong trường hợp này, nó là Hyper-V
Services.
Mẹo: File InitialStore.XML được cài đặt chỉ khi bạn kích hoạt Hyper-V Role.
Nếu file này bị mất hoặc bị lỗi, bạn có hai tùy chọn sau:
- Copy file từ một Hyper-V Server đang làm việc
Hoặc
- Gắn Install.WIM từ Windows Server 2008 ISO, sau đó tìm kiếm
InitialStore.XML. Copy file này vào Hyper-V Server.
Phạm vi của bài viết này được giới hạn chỉ cho vấn đề bảo mật của Hyper-V
nên chúng tôi sẽ không giải thích nhiều về Authorization Manager và các tính
năng của nó.
Mặc định, Hyper-V Server định nghĩa một Scope, 33 Operation và một Role,
tất cả những thứ này được lưu trong một file XML được nói ở trên. Mặc định,
Local Administrator trên partition cha được cấu hình là Default Role và tất cả
đều được gán các đặc quyền để cấu hình Hyper-V và các VM đang chạy trên
nó. Bạn có thể xem và cấu hình chúng bằng cách sử dụng Authorization
Manager MMC. Tên MMC là AzMan.MSC. Người dùng phải là một thành
viên của nhóm quản trị nội bộ trên partition cha để có thể sử dụng
Authorization Manager.
Hướng dẫn từng bước cho Authorization Manager
1. Vào Start Menu > đánh "AzMan.MSC"
2. Kích phải vào Red Cross > kích "Open Authorization Store"
3. Trỏ đến %SystemRoot%ProgramDataMicrosoftWindowsHyper-
VInitialStore.XML > kích Ok.
4. Khi kích OK, Authorization Manager sẽ đọc file InitialStore.XML và load
nội dung từ file này để hiển thị trong snap-in như thể hiện bên dưới:
Ba hạng mục chính được định nghĩa trong Authorization Manager để kiểm
soát Hyper-V Server và các máy ảo VM. Các hạng mục này bao gồm:

 Hyper-V Services Operations
 Hyper-V Network Operations
 Hyper-V Virtual Machine Operations

Hình 3: Authorization Manager Snap-in
Như được giới thiệu từ trước, có 33 hoạt động Operation. Các hoạt động này
được chia thành các hạng mục trên. Bảng bên dưới thể hiện các hoạt động có
trong các hạng mục này:
Như thể hiện trong hình 4, bằng sử dụng Authorization Manager, bạn có thể
ủy nhiệm hai kiểu hoạt động cho Hyper-V và VMs Configuration. Các hoạt
động này là: Modify hoặc Read. Các ủy nhiệm này được yêu cầu trong tổ
chức lớn, nơi một nhóm chịu trách nhiệm cho việc thay đổi Hyper-V
Configuration và một nhóm chịu trách nhiệm cho việc kiểm tra Hyper-V VM
và các thứ khác.

Hình 4: Các hạng mục của Operation trong Authorization Manager
Administrator Role là role được định nghĩa trong Authorization Manager,
gồm có 33 hoạt động mặc định. Role này hoàn toàn đủ điều khiển các khía
cạnh Hyper-V, gồm có các máy ảo và cấu hình của nó.
Ví dụ sẽ cho phép người dùng không phải quản trị viên nội bộ có thể quản lý
máy chủ Hyper-V và các máy ảo.
Mặc định, quản trị viên nội bộ trên máy chủ Hyper-V được phép điều khiển
Hyper-V Server và tất cả các máy ảo đang chạy trên nó. Bạn có thể ủy nhiệm
sự điều khiển này cho một người dùng, người là thành viên của miền Active
Directory. Đây là một ví dụ cho phép một người nào đó trong tổ chức của bạn
có thể điều khiển Hyper-V Server và VM thay cho việc sử dụng tài khoản
Local Administrator trên Hyper-V Server. Bạn có thể sử dụng Local Store
của Authorization Manager cho ví dụ này.
1. Mở AzMan.MSC
2. Kích phải vào "Open Authorization Store" > chọn file XML từ location

này:
ProgramDataMicrosoftWindowsHyper-VInitialStore.XML.
3. Kích OK để mở các thiết lập chính sách InitialStore.XML trong
Authorization Manager.
4. Mở rộng phần Microsoft Hyper-V Services > Role Assignments.
5. Trong panel bên phải, kích "Administrator" chọn "Assign Users and
Groups" sau đó chọn "From Windows and Active Directory".
6. Nhập vào tên của User hoặc Security Group mà bạn muốn cho phép họ
điều khiển Hyper-V và VM.
7. Kích OK, sau đó đóng Authorization Manager snap-in.
Ở ví dụ trên, người dùng trong miền Active Directory có thể điều khiển máy
chủ Hyper-V và các máy ảo VM đang chạy trên nó.
Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn về
sự điều khiển trên Hyper-V và các máy ảo đang chạy trên nó.
Kết luận
Trong phần này, chúng tôi đã giới thiệu cho các bạn Authorization Model có
thể cung cấp sự bảo mật cho các máy ảo đang chạy trên Hyper-V Server. Bên
cạnh đó chúng tôi cũng giới thiệu một số nhiệm vụ có sẵn với Authorization
Manager, cung cấp một ví dụ đơn giản về cách cấu hình người dùng ngoài
quản trị viên để có thể điều khiển Hyper-V Server và các máy ảo.