现在Windows Server 2016 Hyper-V在虚拟机安全方面有很多增强，也许最重要的有两个，SVM（Shielded Virtual Machines）和 vTPM（Virtual TPM），但都是基于硬件。SVM要求主机Host的OS和虚拟机管理都具有独立的硬件架构，将Guest OS与Host分层运行，来有效控制终端访问和数据传输。而vTPM则更是针对二代VM（虚拟机）的芯片卫士，为 Guest OS中的管理员采用BitLocker进行数据加锁。

所以，SVM与vTPM的服务对象是非常新潮的二代VM，但对于多数尚处于第一代VM的当前系统很不现实，对此Windows Server 2016提供了Key Storage Drive（以下简称KSD）这项安全技术。虽然，KSD的安全功能并不能等同于SVM与vTPM，其作用主要是支持Guest OS管理员能对VM磁盘进行安全保护。那如何启用KSD？只要打开一代虚拟机，然后在硬件中的安全栏目中即可添加KSD（如图1）。

浏览IDE Controller 0会看到新添加的KSD，它是一个容量较小的磁盘，可以利 用Disk Management或Diskpart对其格式化，文件格式为NTFS，将其盘符命名为“Z：”，然后即可登录虚拟机进行BitLocker配置。

此时可通过GPOs(Group Policy Objects)对域内的VM进行配置，具体选项为“Computer Configura tionAdmin istrative TemplatesWindows ComponentsBit Locker Drive Encryption”，为此需要勾选“ Require Additional Authentication A t Startup”；另外别忘了在VM的Guest OS运行命令进行local/group策略更新。

现在开始尝试启用Bit Locker，首先通过PowerShell命令让VM的Guest OS 支持 BitLocker，然后进行加密处理。启用的PowerShell命令如下：

Install-WindowsFea ture BitLocker -Include AllSubFeature -Include ManagementTools -Restart

接下去，可以对C: 盘进行加密，PowerShell命令如下（Z: 就是刚才制作的Key Storage Drive）:

Enable-BitLocker C:-StartupKeyProtector-StartupKeyPath Z:

当然，也可以对其它卷（如E:）上的数据加密，PowerShell命令如下：

Enable-BitLocker E:-StartupKeyProtector-StartupKeyPath Z:-UsedSpaceOnly

加密之后我们测试发现果然如此。