Esplorare l'attestazione TPM

  • 5 minuti

Come amministratore Windows Server di Contoso. si valuteranno le opzioni di attestazione. Una di queste è l'attestazione TPM, che è opportuno prendere in considerazione per l'implementazione nell'infrastruttura sorvegliata di Contoso perché offre le garanzie più solide.

Panoramica dell'attestazione TPM

Con l'attestazione TPM attendibile, quando un utente avvia una macchina virtuale, l'host Hyper-V invia i tre tipi di informazioni seguenti al servizio HGS:

  • Identità TPM. Si tratta della chiave di autorizzazione TPM 2.0 univoca dell'host. HGS usa queste informazioni per verificare se l'host appartiene all'elenco di host autorizzati HGS.

  • Sequenza di avvio misurata. L'host invia il log del Trusted Computing Group (TCG) all'HGS. Il log TCG contiene informazioni dettagliate sui processi avviati durante la sequenza di avvio più recente. HGS confronta il log TCG dell'host con un riferimento valido noto (baseline TPM) per la configurazione hardware dell'host. Questo confronto consente a HGS di controllare l'integrità dell'hardware dell'host all'avvio della macchina virtuale.

  • Criteri di integrità del codice. L'host fornisce al servizio HGS informazioni sui criteri di integrità del codice (CI) applicati all'host. La politica CI definisce i file binari o gli eseguibili (software) che l'host è autorizzato a eseguire. L'esecuzione di malware e altri file eseguibili all'esterno dei file eseguibili attendibili non viene consentita. In altre parole, la politica CI consente all'HGS di controllare l'integrità del software dell'host all'avvio della macchina virtuale.

L'attestazione viene eseguita all'avvio dell'host e successivamente ogni 8 ore. Se un host non dispone di un certificato di attestazione quando una macchina virtuale tenta di avviarsi, l'attestazione viene attivata di nuovo.

Anche se l'attestazione TPM-trusted offre le garanzie più solide, richiede anche che l'hardware degli host Hyper-V supporti TPM 2.0 ed è necessario configurare l'hardware. L'hardware e il firmware host devono includere TPM 2.0 e usare UEFI 2.3.1 con l'avvio protetto abilitato.

Configurare l'attestazione TPM

HGS attesta l'integrità e l'autorità di un host sorvegliato in base all'identità TPM, alla sequenza di avvio misurata (baseline TPM) e ai criteri di integrità del codice. Per configurare l'istanza HGS di Contoso per l'uso dell'attestazione TPM, è necessario eseguire queste operazioni:

  • Autorizzare l'identità TPM dell'host.
  • Applicare un criterio di integrità del codice all'host.
  • Impostare la baseline TPM dell'host.

Di seguito viene fornito un riepilogo dei passaggi necessari per configurare gli host protetti per l'attestazione affidabile basata su TPM.

Attività 1: Autorizzare l'identità TPM dell'host

Per specificare quali host sono autorizzati a eseguire macchine virtuali schermate nell'infrastruttura contoso, è necessario ottenere la chiave di verifica dell'autenticità univoca da ogni host. Aggiungere quindi la chiave di verifica dell'autenticità da ogni host all'elenco di host autorizzati HGS.

  1. Nel dominio di infrastruttura inizializzare TPM e impostare la proprietà TPM per ogni host nella Console di gestione TPM o eseguendo il Initialize-Tpm cmdlet in una sessione di Windows PowerShell con privilegi elevati.
  2. Per ottenere la chiave di verifica dell'autenticità dell'host, in ogni host sorvegliato eseguire il cmdlet Get-PlatformIdentifier di Windows PowerShell. Il cmdlet genera un file XML con la chiave di approvazione dell'host.
  3. In una sessione di Windows PowerShell con privilegi elevati nel server HGS usare i file XML per registrare ogni host nell'elenco HGS di host autorizzati con il cmdlet Add-HgsAttestationTpmHost.

Attività 2: Applicare un criterio di integrità del codice all'host

Per eseguire VM schermate in modalità TPM, un host sorvegliato deve avere una politica CI applicata. È possibile acquisire i criteri CI da un host di riferimento in cui tutti i software e le funzionalità necessari sono installati, per poi aggiungere questi criteri all'HGS come criteri CI attendibili.

Annotazioni

Acquisire un criterio di integrità del codice per ogni set di host Hyper-V nell'infrastruttura che condividono la stessa configurazione software. È possibile creare ogni criterio di integrazione continua una sola volta e quindi applicare gli stessi criteri di integrazione continua a gruppi di host di Hyper-V con la stessa configurazione software.

  1. Nell'host di riferimento, in una sessione di Windows PowerShell con privilegi elevati, generare un nuovo criterio di integrità del codice usando il cmdlet New-CIPolicy. Tramite il cmdlet viene creato un file XML per il criterio di integrità del codice.

  2. Applica la politica all'host di riferimento per il test. Se si verificano violazioni dell'integrità, aggiornare i criteri di integrità del codice in caso di necessità.

  3. Convertire i criteri di integrità del codice finalizzati in un criterio in modalità applicata eseguendo il cmdlet ConvertFrom-CIPolicy sul file XML dei criteri di integrità del codice. Il cmdlet ConvertFrom-CIPolicy usa il file XML per generare un file binario per il criterio di integrità del codice (modalità applicata)

  4. Utilizzare il file binario per applicare la politica di CI a tutti gli host con la stessa configurazione hardware e software dell'host di riferimento.

  5. Nel dominio HGS, copiare i criteri di integrità del codice nel server HGS e quindi registrare i criteri in HGS eseguendo il cmdlet Add-HgsAttestationCIPolicy.

Suggerimento

È possibile applicare i criteri CI all'host di riferimento utilizzando il cmdlet di Windows PowerShell Invoke-CimMethod, tramite i Criteri di gruppo o utilizzando i cmdlet di Windows PowerShell dal modulo ConfigCI. È possibile ottenere un elenco di cmdlet di ConfigCI Windows PowerShell eseguendo il comando Get-Command -Module ConfigCIdi Windows PowerShell .

Attività 3: Impostare la baseline TPM dell'host

Analogamente ai criteri di integrazione continua, è possibile acquisire una baseline TPM da un host di riferimento per ogni configurazione hardware Hyper-V univoca nell'infrastruttura. Per eseguire macchine virtuali schermate, è necessario impostare la baseline TPM applicabile a ogni host sorvegliato e quindi aggiungere la baseline TPM al servizio HGS.

Suggerimento

Acquisire una baseline TPM per ogni set di host Hyper-V nell'infrastruttura che condividono la stessa configurazione hardware. Creare ogni baseline TPM una sola volta e quindi applicare la baseline TPM ai gruppi di host Hyper-V con la stessa configurazione hardware.

  1. Nell'host di riferimento verificare che siano installati il ruolo Hyper-V e la funzionalità Supporto per Sorveglianza host per Hyper-V.

    È possibile installare il ruolo Hyper-V e la funzionalità Supporto Host Guardian Hyper-V eseguendo il cmdlet seguente in una sessione di Windows PowerShell con privilegi elevati nell'host di riferimento.

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart

  2. Per acquisire la baseline TPM, eseguire il cmdlet Get-HgsAttestationBaselinePolicy in una sessione di Windows PowerShell con privilegi elevati nell'host di riferimento. Il cmdlet crea un file di log TCG per la baseline TPM.

  3. Nel dominio HGS copiare il file di log TCG nel server HGS e quindi eseguire il cmdlet Add-HgsAttestationTpmPolicy per aggiungere la baseline TPM a HGS.

    Importante

    L'amministratore HGS deve conservare copie della chiave di approvazione, della politica di CI e dei file baseline TPM in un percorso di archiviazione sicuro.