Implémenter une machine virtuelle dotée d'une protection maximale

  • 12 minutes

En tant qu’administrateur Windows Server, vous devez examiner et vérifier que vous comprenez les étapes impliquées pour créer et déployer une machine virtuelle protégée.

Implémenter des machines virtuelles dotées d’une protection maximale

Voici les étapes générales nécessaires à l’implémentation de machines virtuelles dotées d’une protection maximale. Les étapes incluent certaines étapes liées à VMM.

Tâche 1 : Installer et configurer le SGH

  1. Vérifiez les prérequis SGH et préparez votre environnement pour le déploiement de SGH :

    1. Vérifiez que votre matériel et votre système d’exploitation répondent aux exigences requises pour le SGH, en notant que :

      • HGS peut être exécuté sur des machines physiques ou virtuelles, mais les machines physiques sont recommandées.
      • Si vous souhaitez exécuter HGS en tant que cluster physique à 3 nœuds, vous devez disposer de 3 serveurs physiques.
      • Conditions requises pour l’attestation :
        • L’attestation de clé d’hôte nécessite l’édition Standard ou Datacenter de Windows Server 2019 pour l’attestation v2.
        • L’attestation basée sur TPM nécessite Windows Server 2019 ou Windows Server 2016, Édition Standard ou Datacenter.

    2. Installez les rôles de serveur SGH appropriés et configurez votre domaine d’infrastructure (hôte) pour autoriser le transfert DNS entre le domaine d’infrastructure et le domaine HGS.

    Remarque

    Lorsque vous déployez HGS, vous êtes invité à fournir des certificats de signature et de chiffrement utilisés pour protéger les informations sensibles nécessaires pour démarrer une machine virtuelle protégée. Il est recommandé d’utiliser une autorité de certification approuvée pour obtenir ces deux certificats ; toutefois, il est possible d’utiliser des certificats auto-signés. Ces deux certificats restent toujours sur l’hôte SGH.

  2. Configurez le premier nœud SGH :

    • Sélectionnez si vous souhaitez installer SGH dans sa propre forêt AD DS dédiée ou dans une forêt bastion existante.

  3. Configurez des nœuds SGH supplémentaires en fonction de votre environnement :

    1. Chaque nœud SGH nécessite l’accès aux mêmes certificats de signature et de chiffrement. Gérez-les en choisissant l’une des deux options suivantes :

      • Exportez vos certificats dans un fichier PFX avec un mot de passe et autorisez HGS à gérer les certificats pour vous.
      • Installez les certificats dans le magasin de certificats de l’ordinateur local sur chaque nœud SGH et fournissez l’empreinte numérique à HGS.

      L’une ou l’autre option est valide, mais nécessite des étapes légèrement différentes lors de l’ajout d’un nœud.

    2. Ajoutez des nœuds supplémentaires à l’aide de l’un des deux scénarios possibles suivants :

      • Ajoutez des nœuds SGH à une nouvelle forêt SGH dédiée.

        • Pour ajouter des nœuds SGH à une nouvelle forêt SGH dédiée avec des certificats PFX (Personal Information Exchange) :

          1. Promouvoir le nœud SGH vers un contrôleur de domaine.
          2. Initialisez le serveur SGH.

        • Pour ajouter des nœuds SGH à une nouvelle forêt SGH dédiée avec des empreintes de certificat :

          1. Promouvoir le nœud SGH vers un contrôleur de domaine.
          2. Initialisez le serveur SGH.
          3. Installez les clés privées pour les certificats.

      • Ajoutez des nœuds SGH à une forêt bastion existante.

        • Pour ajouter des nœuds SGH à une forêt bastion existante avec des certificats PFX :

          1. Joignez le nœud au domaine existant.
          2. Accordez les droits de l’ordinateur pour récupérer un mot de passe MSA (Managed Service Account) et exécuter Install-ADServiceAccount.
          3. Initialisez le serveur SGH.

        • Pour ajouter des nœuds SGH à une forêt bastion existante avec des empreintes de certificat :

          1. Joignez le nœud au domaine existant.
          2. Accordez les droits de l’ordinateur pour récupérer un mot de passe MSA et exécuter Install-ADServiceAccount.
          3. Initialisez le serveur SGH.
          4. Installez les clés privées pour les certificats.

    Remarque

    HGS utilise un compte de service managé de groupe (gMSA) comme identité de compte pour récupérer et utiliser ses certificats sur plusieurs nœuds.

    Important

    Dans les environnements de production, le SGH doit être configuré dans un cluster à haute disponibilité pour s’assurer que les machines virtuelles protégées peuvent être alimentées même si un nœud SGH tombe en panne.

  4. Configurez le DNS de l’infrastructure pour autoriser les hôtes protégés à résoudre le cluster SGH.

  5. Vérifiez la configuration requise pour l’attestation sur les hôtes :

    1. Passez en revue les conditions préalables de l’hôte pour le mode d’attestation que vous avez choisi : TPM, Clé ou Mode Administrateur.
    2. Ajoutez les hôtes au SGH.

  6. Créez une clé hôte (mode clé) ou collectez des informations sur l’hôte (mode TPM) :

    • Afin de préparer les hôtes Hyper-V à devenir des hôtes protégés grâce à l'attestation de clé d'hôte (mode Clé), créez une paire de clés d'hôte (ou utilisez un certificat existant), puis ajoutez la partie publique de la clé au HGS.

    • Pour préparer les hôtes Hyper-V à devenir des hôtes protégés à l'aide de l'attestation en mode TPM (mode clé), capturez l'identifiant TPM des hôtes (clé d'approbation), la configuration de référence TPM et la stratégie CI.

  7. Ajoutez des clés d’hôte (mode clé) ou des informations TPM (mode TPM) à la configuration SGH.

  8. Confirmez que le SGH atteste les hôtes comme des hôtes Service Guardian.

  9. (Facultatif) Configurez l’infrastructure de calcul VMM pour déployer et gérer des hôtes protégés et des machines virtuelles protégées Hyper-V.

Tâche 2 : Préparer un fichier .vhdx du système d’exploitation

  1. Préparez un disque de système d’exploitation (fichier .vhdx) à l’aide de l’une des options suivantes :

    • Utilisez Hyper-V, Windows PowerShell ou l’utilitaire Microsoft Desktop Image Service Manager (DISM).
    • Configurez manuellement une machine virtuelle avec un fichier .vhdx vide et installez le système d’exploitation sur ce disque.

  2. Installez les dernières mises à jour sur le disque du système d’exploitation en exécutant Windows Update.

Tâche 3 : Créer un disque de modèle de machine virtuelle protégée dans VMM

  1. Préparez et protégez le fichier .vhdx à l’aide de l'Assistant de création du disque de modèle doté d’une protection maximale.

    • Pour utiliser un disque de modèle avec des machines virtuelles dotées d’une protection maximale, vous devez préparer le disque et le chiffrer avec BitLocker à l’aide de l’Assistant Création de disque de modèle protégé.

  2. Copiez le disque de modèle dans la bibliothèque VMM.

    • Si vous utilisez VMM, après avoir créé un disque de modèle, copiez-le dans un partage de bibliothèque VMM afin que les hôtes puissent télécharger et utiliser le disque lors de l’approvisionnement de nouvelles machines virtuelles protégées.

Tâche 4 : Créer le fichier de données de protection

  1. Préparez-vous à créer le fichier de données de protection (PDK) :

    1. Obtenez un certificat pour la connexion au Bureau à distance.
    2. Créez un fichier de réponses.
    3. Extrayez le fichier du catalogue de signatures de volume.
    4. Définissez les structures de confiance.

  2. Créez le fichier de données de protection.

  3. Ajoutez des tuteurs autorisés à utiliser le fichier de données de protection.

Tâche 5 : Déployer une machine virtuelle protégée

  1. Déployez une machine virtuelle protégée à l’aide de Windows Azure Pack ou VMM :

    1. Chargez le fichier de données de protection en fonction des exigences de votre méthode de déploiement choisie, comme Windows Azure Pack ou VMM.
    2. Provisionnez une nouvelle machine virtuelle protégée.

Tâche 6 : Démarrer une machine virtuelle protégée

Le processus de démarrage d’une machine virtuelle protégée est le suivant :

  1. Un utilisateur demande de démarrer la machine virtuelle protégée.

  2. Le service d’attestation HGS valide les informations d’identification de l’hôte protégé et envoie un certificat d’attestation à l’hôte protégé.

  3. L’hôte protégé envoie son certificat d’attestation et son KPI au kpS et demande une clé pour déverrouiller la machine virtuelle protégée.

  4. Le kpS détermine la validité d’un certificat d’attestation, déchiffre le kp, récupère la clé pour déverrouiller la machine virtuelle protégée et envoie la clé à l’hôte protégé.

  5. L’hôte protégé utilise la clé pour déverrouiller et démarrer la machine virtuelle protégée.

    Remarque

    > incluent l’Assistant de Création de Disque Modèle Protégé, accessible à partir du menu Outils du Gestionnaire de serveur.