Créer un disque de modèle de machine virtuelle dotée d’une protection maximale Windows
Comme avec les machines virtuelles standard, vous pouvez créer un modèle de machine virtuelle (par exemple, un modèle de machine virtuelle dans Virtual Machine Manager (VMM)) pour faciliter le déploiement de nouvelles machines virtuelles sur l’infrastructure à l’aide d’un disque de modèle pour les locataires et les administrateurs. Étant donné que les machines virtuelles dotées d’une protection maximale sont des ressources sensibles, il existe des étapes supplémentaires pour créer un modèle de machine virtuelle prenant en charge la protection. Cette rubrique décrit les étapes de création d’un disque de modèle protégé et d’un modèle de machine virtuelle dans VMM.
Pour comprendre comment cette rubrique s’intègre dans le processus global de déploiement de machines virtuelles dotées d’une protection maximale, consultez Étapes de configuration du fournisseur de services d’hébergement pour les hôtes protégés et les machines virtuelles dotées d’une protection maximale.
Préparer un VHDX de système d’exploitation
Préparez d’abord un disque de système d’exploitation que vous exécuterez ensuite via l’Assistant de création de disque de modèle protégé. Ce disque sera utilisé comme disque de système d’exploitation dans les machines virtuelles de votre locataire. Vous pouvez utiliser n’importe quel outil existant pour créer ce disque, comme Microsoft Desktop Image Service Manager (DISM), ou configurer manuellement une machine virtuelle avec un VHDX vide et installer le système d’exploitation sur ce disque. Durant la configuration du disque, il doit respecter les impératifs suivants, spécifiques aux machines virtuelles de génération 2 et/ou aux machines virtuelles dotées d’une protection maximale :
Prérequis pour un VHDX | Motif |
---|---|
Doit être un disque de table de partition GUID (GPT) | Nécessaire pour permettre aux machines virtuelles de génération 2 de prendre en charge UEFI |
Le type de disque doit être De base et non Dynamique. Remarque : Cela fait référence au type de disque logique, et non à la fonctionnalité VHDX de « taille dynamique » prise en charge par Hyper-V. |
BitLocker ne prend PAS en charge les disques dynamiques. |
Le disque comporte au moins deux partitions. Une partition doit inclure le lecteur sur lequel Windows est installé. Il s’agit du lecteur que BitLocker va chiffrer. L’autre partition est la partition active, qui contient le chargeur de démarrage et reste non chiffrée pour que l’ordinateur puisse démarrer. | Nécessaire pour BitLocker |
Le système de fichiers est NTFS | Nécessaire pour BitLocker |
Le système d’exploitation installé sur le VHDX est l’un des suivants : - Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 - Windows 10, Windows 8.1, Windows 8 |
Nécessaire à la prise en charge des machines virtuelles de génération 2 et du modèle de démarrage sécurisé Microsoft |
Le système d’exploitation doit être généralisé (exécutez sysprep.exe) | Le provisionnement de modèle implique la spécialisation des machines virtuelles pour la charge de travail d’un locataire spécifique |
Notes
Si vous utilisez VMM, ne copiez pas le disque de modèle dans la bibliothèque VMM à ce stade.
Exécutez Windows Update sur le système d’exploitation du modèle
Sur le disque de modèle, vérifiez que toutes les dernières mises à jour de Windows sont installées dans le système d’exploitation. Les mises à jour publiées récemment améliorent la fiabilité du processus de protection de bout en bout, processus qui peut échouer si le système d’exploitation du modèle n’est pas à jour.
Préparer et protéger le VHDX avec l’Assistant Disque de modèle
Pour utiliser un disque de modèle avec des machines virtuelles dotées d’une protection maximale, le disque doit être préparé et chiffré avec BitLocker à l’aide de l’Assistant de création du disque de modèle doté d’une protection maximale. Cet assistant génère un hachage pour le disque et l’ajoute à un catalogue de signatures de volume (VSC). Le VSC est signé à l’aide d’un certificat que vous spécifiez. Il est utilisé durant le processus de provisionnement afin de garantir que le disque déployé pour un locataire n’a pas été altéré ou remplacé par un disque non approuvé par le locataire. Enfin, BitLocker est installé sur le système d’exploitation du disque (si ce n’est pas déjà fait) pour préparer le disque au chiffrement durant le provisionnement de la machine virtuelle.
Notes
L’Assistant Disque de modèle modifie le disque de modèle que vous spécifiez sur place. Pour effectuer des mises à jour du disque plus tard, vous pouvez effectuer une copie du VHDX non protégé avant d’exécuter l’Assistant. Vous ne pourrez pas modifier un disque qui a été protégé avec l’Assistant Disque de modèle.
Effectuez les étapes suivantes sur un ordinateur exécutant Windows Server 2016, Windows 10 (avec outils d’administration de serveur distant, RSAT installé) ou version ultérieure (il n’a pas besoin d’être un hôte Service Guardian ou un serveur VMM) :
Copiez le VHDX généralisé créé dans Préparer un VHDX de système d’exploitation sur le serveur, s’il n’y est pas déjà.
Pour administrer le serveur localement, installez la fonctionnalité Outils de machine virtuelle dotée d’une protection maximale à partir des Outils d’administration de serveur distant sur le serveur.
Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
Vous pouvez également administrer le serveur à partir d’un ordinateur client sur lequel vous avez installé le les Outils d’administration de serveur distant Windows 10.
Obtenez ou créez un certificat pour signer le VSC pour le VHDX qui deviendra le modèle de disque pour les nouvelles machines virtuelles dotées d’une protection maximale. Les détails de ce certificat seront affichés aux locataires lorsqu’ils créent leurs fichiers de données de protection et autorisent les disques auxquels ils font confiance. Par conséquent, il est important d’obtenir ce certificat auprès d’une autorité de certification mutuellement approuvée par vous et vos locataires. Dans les scénarios d’entreprise où vous êtes à la fois l’hôte et le locataire, vous pouvez envisager d’émettre ce certificat à partir de votre PKI.
Si vous configurez un environnement de test et que vous souhaitez simplement utiliser un certificat auto-signé pour préparer votre disque de modèle, exécutez une commande similaire à la suivante :
New-SelfSignedCertificate -DnsName publisher.fabrikam.com
Démarrez l’Assistant Disque de modèle à partir du dossier Outils d’administration du menu Démarrer ou en tapant TemplateDiskWizard.exe dans une invite de commandes.
Dans la page Certificat, cliquez sur Parcourir pour afficher une liste de certificats. Sélectionnez le certificat avec lequel préparer le modèle de disque. Cliquez sur OK, puis sur Suivant.
Dans la page Disque virtuel, cliquez sur Parcourir pour sélectionner le VHDX que vous avez préparé, puis cliquez sur Suivant.
Dans la page Catalogue de signatures, indiquez un nom de disque convivial et une version. Ces champs sont présents pour vous aider à identifier le disque une fois qu’il a été préparé.
Par exemple, pour le nom de disque, vous pouvez taper WS2016 et pour version, 1.0.0.0
Passez en revue vos sélections dans la page Passer en revue les paramètres de l’Assistant. Lorsque vous cliquez sur Générer, l’Assistant active BitLocker sur le disque du modèle, calcule le hachage du disque et crée le catalogue de signature de volume, qui est stocké dans les métadonnées VHDX.
Attendez que le processus de préparation soit terminé avant d’essayer de monter ou de déplacer le disque de modèle. Ce processus peut prendre un certain temps, en fonction de la taille de votre disque.
Important
Les disques de modèle ne peuvent être utilisés qu’avec le processus d’approvisionnement sécurisé des machines virtuelles dotées d’une protection maximale. La tentative de démarrage d’une machine virtuelle standard (non protégée) à l’aide d’un disque de modèle entraînerait probablement une erreur d’arrêt (écran bleu) et n’est pas prise en charge.
Dans la page Résumé, des informations sur le modèle de disque, le certificat utilisé pour signer le VSC et l’émetteur du certificat s’affichent. Cliquez sur Fermer pour quitter l’Assistant.
Si vous utilisez VMM, suivez les étapes décrites dans les sections restantes de cette rubrique pour incorporer un disque de modèle dans un modèle de machine virtuelle dotée d’une protection maximale dans VMM.
Copiez le disque de modèle dans la bibliothèque VMM
Si vous utilisez VMM, après avoir créé un disque de modèle, vous devez le copier dans un partage de bibliothèque VMM afin que les hôtes puissent télécharger et utiliser le disque lors de l’approvisionnement de nouvelles machines virtuelles. Utilisez la procédure suivante pour copier le disque de modèle dans la bibliothèque VMM, puis actualisez la bibliothèque.
Copiez le fichier VHDX dans le dossier de partage de bibliothèque VMM. Si vous avez utilisé la configuration VMM par défaut, copiez le disque de modèle dans \<\vmmserver>\MSSCVMMLibrary\VHDs.
Actualisez le serveur de bibliothèque. Ouvrez l’espace de travail Bibliothèque, développez Serveurs de bibliothèque, cliquez avec le bouton droit sur le serveur de bibliothèque que vous souhaitez actualiser, puis cliquez sur Actualiser.
Ensuite, fournissez à VMM des informations sur le système d’exploitation installé sur le disque du modèle :
a. Recherchez votre disque de modèle nouvellement importé sur votre serveur de bibliothèque dans l’espace de travail Bibliothèque.
b. Cliquez avec le bouton droit sur le disque, puis cliquez sur Propriétés.
c. Pour système d’exploitation, développez la liste et sélectionnez le système d’exploitation installé sur le disque. La sélection d’un système d’exploitation indique à VMM que le VHDX n’est pas vide.
d. Lorsque vous avez mis à jour les propriétés, cliquez sur OK.
La petite icône de bouclier située à côté du nom du disque indique qu’il s’agit d’un disque modèle préparé pour les machines virtuelles dotées d’une protection maximale. Vous pouvez également cliquer avec le bouton droit sur les en-têtes de colonne et activer la colonne Protection maximale pour afficher une représentation textuelle indiquant si un disque est destiné aux déploiements de machines virtuelles standard ou dotées d’une protection maximale.
Créer le modèle de machine virtuelle dotée d’une protection maximale dans VMM à l’aide du disque de modèle préparé
Avec un disque de modèle préparé dans votre bibliothèque VMM, vous êtes prêt à créer un modèle de machine virtuelle pour les machines virtuelles dotées d’une protection maximale. Les modèles de machine virtuelle pour les machines virtuelles dotées d’une protection maximale diffèrent légèrement des modèles de machine virtuelle traditionnels en cela que certains paramètres sont fixes (machine virtuelle de génération 2, UEFI et démarrage sécurisé activés, etc.) et que d’autres ne sont pas disponibles (la personnalisation du locataire est limitée à une poignée de propriétés de la machine virtuelle). Pour créer le modèle de machine virtuelle, effectuez les étapes suivantes :
Dans l’espace de travail Bibliothèque, cliquez sur Créer un modèle de machine virtuelle sous l’onglet Accueil en haut.
Dans la page Sélectionner une source, cliquez sur Utiliser un modèle d'ordinateur virtuel existant ou un disque dur virtuel stocké dans la bibliothèque, puis cliquez sur Parcourir.
Dans la fenêtre qui s’affiche, sélectionnez un disque de modèle préparé à partir de la bibliothèque VMM. Pour identifier plus facilement les disques préparés, cliquez avec le bouton droit sur un en-tête de colonne et activez la colonne Protection maximale. Cliquez sur OK, puis sur Suivant.
Spécifiez un nom pour de modèle de machine virtuelle, et éventuellement une description, puis cliquez sur Suivant.
Dans la page Configurer le matériel, spécifiez les fonctionnalités des machines virtuelles créées à partir de ce modèle. Vérifiez qu’au moins une carte réseau est disponible et configurée sur le modèle de machine virtuelle. La seule façon pour un locataire de se connecter à une machine virtuelle dotée d’une protection maximale consiste à utiliser la connexion Bureau à distance, la gestion à distance Windows ou d’autres outils d’administration à distance préconfigurés qui fonctionnent sur des protocoles réseau.
Si vous choisissez de tirer parti des pools d’adresses IP statiques dans VMM au lieu d’exécuter un serveur DHCP sur le réseau du locataire, vous devez avertir vos locataires de cette configuration. Lorsqu’un locataire fournit son fichier de données de protection, qui contient le fichier sans assistance pour VMM, il doit fournir des valeurs d’espace réservé spéciales pour les informations du pool d’adresses IP statiques. Pour plus d’informations sur les espaces réservés VMM dans les fichiers sans assistance de locataire, consultez Créer un fichier de réponses.
Dans la page Configurer le système d’exploitation, VMM affiche uniquement quelques options pour les machines virtuelles dotées d’une protection maximale, notamment la clé de produit, le fuseau horaire et le nom de l’ordinateur. Certaines informations sécurisées, comme le mot de passe administrateur et le nom de domaine, sont spécifiées par le locataire via un fichier de données de protection (fichier .PDK).
Notes
Si vous choisissez de spécifier une clé de produit sur cette page, vérifiez qu’elle est valide pour le système d’exploitation sur le disque du modèle. Si une clé de produit incorrecte est utilisée, la création de la machine virtuelle échoue.
Une fois le modèle créé, les locataires peuvent l’utiliser pour créer de nouvelles machines virtuelles. Vous devez vérifier que le modèle de machine virtuelle est l’une des ressources disponibles pour le rôle d’utilisateur Administrateur de locataire (dans VMM, les rôles d’utilisateur se trouvent dans l’espace de travail Paramètres).
Préparer et protéger le VHDX à l’aide de PowerShell
En guise d’alternative à l’exécution de l’Assistant Disque de modèle, vous pouvez copier votre disque et votre certificat de modèle sur un ordinateur exécutant RSAT, et exécuter Protect-TemplateDisk pour lancer le processus de signature.
L’exemple suivant utilise les informations de nom et de version spécifiées par les paramètres TemplateName et Version.
Le disque dur virtuel que vous fournissez au paramètre -Path
sera remplacé par le disque de modèle mis à jour. Veillez donc à effectuer une copie avant d’exécuter la commande.
# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT
Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0
Votre disque de modèle est maintenant prêt à être utilisé pour approvisionner des machines virtuelles dotées d’une protection maximale. Si vous utilisez System Center Virtual Machine Manager pour déployer votre machine virtuelle, vous pouvez maintenant copier le VHDX dans votre bibliothèque VMM.
Vous pouvez également extraire le catalogue de signatures de volume du VHDX. Ce fichier est utilisé pour fournir des informations sur le certificat de signature, le nom du disque et la version aux propriétaires de machines virtuelles qui souhaitent utiliser votre modèle. Ils doivent importer ce fichier dans l’Assistant Fichier de données de protection pour vous autoriser, l’auteur du modèle en possession du certificat de signature, à créer ce modèle et les disques de modèle futurs.
Pour extraire le catalogue de signatures de volume, exécutez la commande suivante dans PowerShell :
Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'