Implementar uma VM blindada

  • 12 minutos

Como administrador do Windows Server, você precisa investigar e garantir que entenda as etapas envolvidas para criar e implantar uma VM blindada.

Implementar VMs blindadas

Veja a seguir as etapas de alto nível necessárias para implementar VMs blindadas. As etapas incluem algumas etapas relacionadas ao VMM.

Tarefa 1: Instalar e configurar o HGS

  1. Verifique os pré-requisitos do HGS e prepare seu ambiente para implantação do HGS:

    1. Verifique se o hardware e o sistema operacional atendem aos requisitos de pré-requisito do HGS, observando que:

      • O HGS pode ser executado em máquinas físicas ou virtuais, mas as máquinas físicas são recomendadas.
      • Se você quiser executar o HGS como um cluster físico de 3 nós, deverá ter três servidores físicos.
      • Requisitos de atestado:
        • O atestado de chave de host requer o Windows Server 2019 Standard ou Datacenter Edition operando para atestado v2.
        • O atestado baseado em TPM requer o Windows Server 2019 ou o Windows Server 2016, Standard ou Datacenter Edition.

    2. Instale as funções de servidor HGS apropriadas e configure seu domínio de malha (host) para permitir o encaminhamento de DNS entre o domínio de malha e o domínio HGS.

    Observação

    Ao implantar o HGS, você será solicitado a fornecer certificados de assinatura e criptografia que são usados para proteger as informações confidenciais necessárias para iniciar uma VM blindada. É recomendável usar uma autoridade de certificação confiável para obter esses dois certificados; no entanto, é possível usar certificados autoassinados. Esses dois certificados sempre permanecem no host HGS.

  2. Configure o primeiro nó HGS:

    • Selecione se deseja instalar o HGS em sua própria floresta dedicada do AD DS ou em uma floresta de bastiões existente.

  3. Configure nós HGS adicionais de acordo com seu ambiente:

    1. Cada nó HGS exigirá acesso aos mesmos certificados de autenticação e criptografia. Gerencie-os escolhendo uma das duas opções a seguir:

      • Exporte seus certificados para um arquivo PFX com uma senha e permita que o HGS gerencie os certificados para você.
      • Instale os certificados no repositório de certificados do computador local em cada nó do HGS e forneça a impressão digital para o HGS.

      Qualquer opção é válida, mas exigirá etapas ligeiramente diferentes durante a adição de um nó.

    2. Adicione nós adicionais usando um dos dois cenários possíveis a seguir:

      • Adicione nós HGS a uma nova floresta HGS dedicada.

        • Para adicionar nós HGS a uma nova floresta HGS dedicada com certificados PFX (Troca de Informações Pessoais):

          1. Promova o nó HGS para um controlador de domínio.
          2. Inicialize o servidor HGS.

        • Para adicionar nós HGS a uma nova floresta HGS dedicada com impressões digitais de certificado:

          1. Promova o nó HGS para um controlador de domínio.
          2. Inicialize o servidor HGS.
          3. Instale as chaves privadas para os certificados.

      • Adicione nós HGS a uma floresta de bastiões existente.

        • Para adicionar nós HGS a uma floresta de bastiões existente com certificados PFX:

          1. Ingresse o nó no domínio existente.
          2. Conceda os direitos do computador para recuperar uma senha da MSA (Conta de Serviço Gerenciado) e executar Install-ADServiceAccount.
          3. Inicialize o servidor HGS.

        • Para adicionar nós HGS a uma floresta de bastiões existente com impressões digitais de certificado:

          1. Ingresse o nó no domínio existente.
          2. Conceda os direitos do computador para recuperar uma senha MSA e executar Install-ADServiceAccount.
          3. Inicialize o servidor HGS.
          4. Instale as chaves privadas para os certificados.

    Observação

    O HGS usa uma gMSA (conta de serviço gerenciada de grupo) como a identidade da conta para recuperar e usar seus certificados em vários nós.

    Importante

    Em ambientes de produção, o HGS deve ser configurado em um cluster de alta disponibilidade para garantir que as VMs blindadas possam ser ligadas mesmo se um nó HGS ficar inativo.

  4. Configure o DNS da malha para permitir que hosts protegidos resolvam o cluster HGS.

  5. Verifique os pré-requisitos para atestado nos hosts:

    1. Examine os pré-requisitos do host para o modo de atestado escolhido: TPM, Chave ou modo de administrador.
    2. Adicione os hosts ao HGS.

  6. Crie uma chave de host (modo chave) ou colete informações de host (modo TPM):

    • Para preparar Hyper-V hosts para se tornarem hosts protegidos usando o atestado de Chave de Host (modo chave), crie um par de chaves de host (ou use um certificado existente) e adicione a metade pública da chave ao HGS.

    • Para preparar Hyper-V hosts para se tornarem hosts protegidos usando o atestado do modo TPM (modo chave), capture o identificador TPM dos hosts (chave de endosso), a linha de base do TPM e a política de CI.

  7. Adicione chaves de host (modo chave) ou informações do TPM (modo TPM) à configuração do HGS.

  8. Confirme se o HGS atesta os hosts como hosts protegidos.

  9. (Opcional) Configure a malha de computação do VMM para implantar e gerenciar Hyper-V hosts protegidos e VMs blindadas.

Tarefa 2: Preparar um arquivo .vhdx do sistema operacional

  1. Prepare um disco do sistema operacional (arquivo.vhdx) usando uma das seguintes opções:

    • Use o Hyper-V, o Windows PowerShell ou o utilitário DISM (Microsoft Desktop Image Service Manager).
    • Configure manualmente uma VM com um arquivo .vhdx em branco e instale o sistema operacional nesse disco.

  2. Instale as atualizações mais recentes no disco do sistema operacional executando o Windows Update.

Tarefa 3: Criar disco de modelo de VM blindada no VMM

  1. Prepare e proteja o arquivo .vhdx usando o Assistente de Criação de Disco de Modelo Blindado.

    • Para usar um disco de modelo com VMs blindadas, você deve preparar o disco e criptografá-lo com o BitLocker usando o Assistente de Criação de Disco de Modelo Blindado.

  2. Copie o disco de modelo para a Biblioteca do VMM.

    • Se você usar o VMM, depois de criar um disco de modelo, copie-o para um compartilhamento de biblioteca do VMM para que os hosts possam baixar e usar o disco ao provisionar novas VMs blindadas.

Tarefa 4: Criar o arquivo de dados de blindagem

  1. Prepare-se para criar o arquivo PDK (dados de blindagem):

    1. Obtenha um certificado para Conexão de Área de Trabalho Remota.
    2. Crie um arquivo de resposta.
    3. Obtenha o arquivo de catálogo de assinatura de volume.
    4. Defina as malhas confiáveis.

  2. Crie o arquivo de dados de blindagem.

  3. Adicione guardiões autorizados a usar o arquivo de dados de blindagem.

Tarefa 5: Implantar uma VM blindada

  1. Implante uma VM blindada usando o Windows Azure Pack ou o VMM:

    1. Carregue o arquivo de dados de blindagem de acordo com os requisitos do método de implantação escolhido, como o Windows Azure Pack ou o VMM.
    2. Provisione uma nova VM blindada.

Tarefa 6: Iniciar uma VM blindada

O processo para iniciar uma VM blindada é o seguinte:

  1. Um usuário solicita iniciar a VM blindada.

  2. O serviço de Atestado do HGS valida as credenciais do host protegido e envia um certificado de atestado para o host protegido.

  3. O host protegido envia seu certificado de atestado e KP para o KPS e solicita uma chave para desbloquear a VM blindada.

  4. O KPS determina a validade de um certificado de atestado, descriptografa o KP, recupera a chave para desbloquear a VM blindada e envia a chave para o host protegido.

  5. O host protegido usa a chave para desbloquear e iniciar a VM blindada.

    Observação

    Ferramentas > de Administração de Servidor Remoto As Ferramentas de VM blindadas incluem o Assistente de Criação de Disco de Modelo Blindado, que pode ser acessado no menu Ferramentas no Gerenciador de Servidores.