Máquinas virtuales blindadas para inquilinos: creación de un disco de plantilla (opcional)
Para crear una máquina virtual blindada, deberá usar un disco de plantilla firmado y especialmente preparado. Los metadatos de los discos de plantilla firmados ayudan a garantizar que los discos no se modifican una vez creados y permiten a los inquilinos restringir los discos se pueden usar para crear máquinas virtuales blindadas. Una manera de proporcionar este disco es que el inquilino lo cree como se describe en este tema.
Importante
Si lo prefiere, puede usar en su lugar el disco de plantilla proporcionado por el proveedor de servicios de hospedaje. Si lo hace, es importante implementar una máquina virtual de prueba mediante ese disco de plantilla y ejecutar sus propias herramientas (antivirus, detectores de vulnerabilidades, etc.) para validar que el disco está, de hecho, en un estado en el que se confíe.
Preparación de un VHDX del sistema operativo
Para crear un disco de plantilla blindado, primero debe preparar un disco de sistema operativo que se ejecutará mediante el Asistente para discos de plantilla. Este disco se usará como disco de sistema operativo en máquinas virtuales blindadas. Para crear este disco se puede usar cualquier herramienta existente, como Microsoft Desktop Image Service Manager (DISM), o bien configurar manualmente una máquina virtual con un VHDX en blanco e instalar el sistema operativo en él. Al configurar el disco, es preciso tener en cuenta que debe cumplir los siguientes requisitos específicos de las máquinas virtuales blindadas o de segunda generación:
| Requisito para VHDX | Motivo |
|---|---|
| Debe ser un disco de tabla de particiones GUID (GPT) | Se necesita para que las máquinas virtuales de segunda generación admitan UEFI |
| El tipo de disco debe ser Básico, en lugar de Dinámico. Nota: esto hace referencia al tipo de disco lógico, no a la característica VHDX de "expansión dinámica" compatible con Hyper-V. |
BitLocker NO admite discos dinámicos. |
| El disco tiene dos particiones como mínimo. Una de ellas debe incluir la unidad en la que está instalado Windows. Esta unidad será cifrada por BitLocker. La otra partición es la activa, que contiene el cargador de arranque y permanece sin cifrar para que el equipo pueda iniciarse. | Necesario para BitLocker |
| El sistema de archivos es NTFS | Necesario para BitLocker |
| El sistema operativo instalado en el VHDX es uno de los siguientes: - Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012 - Windows 10, Windows 8.1 o Windows 8 |
Se necesita para admitir máquinas virtuales de segunda generación y la plantilla de arranque seguro de Microsoft |
| El sistema operativo debe generalizarse (ejecutar sysprep.exe) | El aprovisionamiento de plantillas implica el uso de máquinas virtuales especializadas para la carga de trabajo de un inquilino concreto |
Nota
No copie el disco de plantilla en la biblioteca VMM en esta etapa.
Paquetes necesarios para crear un disco de plantilla de Nano Server
Si planea ejecutar Nano Server como sistema operativo invitado en máquinas virtuales blindadas, debe asegurarse de que la imagen de Nano Server incluye los siguientes paquetes:
- Microsoft-NanoServer-Guest-Package
- Microsoft-NanoServer-SecureStartup-Package
Ejecución de Windows Update en el sistema operativo de la plantilla
En el disco de plantilla, compruebe que el sistema operativo tiene instaladas todas las actualizaciones de Windows más recientes. Las actualizaciones publicadas recientemente mejoran la confiabilidad del proceso de blindaje de un extremo a otro (un proceso que puede no completarse si el sistema operativo de la plantilla no está actualizado).
Firma y protección el VHDX con el Asistente para discos de plantilla
Para usar un disco de plantilla con máquinas virtuales blindadas, el disco debe estar firmado y cifrado con BitLocker. Para ello, usará el Asistente para la creación de discos de plantillas blindados. El asistente generará un hash para el disco y lo agregará a un catálogo de firmas de volumen (VSC). El VSC se firma mediante un certificado que especifique y se usa durante el proceso de aprovisionamiento para garantizar que el disco que se implementa en el tejido ni se ha modificado ni se ha reemplazado por un disco que no sea de confianza. Por último, BitLocker se instala en el sistema operativo del disco (si aún no está allí) para prepararlo para el cifrado durante el aprovisionamiento de la máquina virtual.
Nota
El Asistente para discos de plantilla modificará el disco de plantilla que especifique. Es posible que desee realizar una copia del VHDX desprotegido antes de ejecutar el asistente, con el fin de realizar actualizaciones en el disco más adelante. No podrá modificar los discos protegidos con el Asistente para discos de plantilla.
Siga los pasos que se indican a continuación en un equipo que ejecute Windows Server 2016 (no es necesario que sea un host protegido o un servidor de VMM):
Copie el VHDX generalizado creado en Preparación de un VHDX de un sistema operativo en el servidor, en caso de que no se encuentre ya en él.
Instale la característica Herramientas de VM blindada desde Herramientas de administración remota del servidor en la máquina.
Install-WindowsFeature RSAT-Shielded-VM-Tools -RestartObtenga o cree un certificado para firmar el VHDX que actuará como se convertirá en el disco de plantilla de las nuevas máquinas virtuales blindadas. Los detalles de este certificado se incorporarán en un archivo de datos de blindaje, que autoriza el disco como disco de confianza. Por consiguiente, es importante obtener este certificado de una entidad de certificación en la que tanto usted como su proveedor de servicios de hospedaje confíen. En los escenarios empresariales en los que sea el host y el inquilino, puede considerar la posibilidad de emitir este certificado desde la PKI.
Si va a configurar un entorno de prueba y solo quiere usar un certificado autofirmado para firmar el disco de plantilla, ejecute un comando similar al siguiente en la máquina:
New-SelfSignedCertificate -DnsName publisher.fabrikam.comInicie el Asistente para discos de plantilla desde la carpeta Herramientas administrativas del menú Inicio, o bien escriba TemplateDiskWizard.exe en un símbolo del sistema.
En la página Certificado, haga clic en Examinar para mostrar una lista de certificados. Seleccione el certificado con el que firmar la plantilla de disco. Haga clic en Aceptar y luego en Siguiente.
En la página Disco virtual, haga clic en Examinar para seleccionar el VHDX que ha preparado y, después, haga clic en Siguiente.
En la página Catálogo de firmas, especifique un nombre de disco descriptivo y una versión. Estos campos están presentes para ayudarle a identificar el disco una vez que se ha firmado.
Por ejemplo, como nombre de disco podría escribir WS2016 y como versión, 1.0.0.0
Examine las selecciones en la página Revisar configuración del asistente. Al hacer clic en Generar, el asistente habilitará BitLocker en el disco de plantilla, calculará el hash del disco y creará el catálogo de firmas de volumen, que se almacena en los metadatos de VHDX.
Espere hasta que finalice el proceso de firma antes de intentar montar o mover el disco de plantilla. En función del tamaño del disco este proceso puede tardar un tiempo en completarse.
En la página Resumen, se muestran información sobre la plantilla de disco, el certificado usado para firmar la plantilla y el emisor de certificados. Haga clic en Cerrar para salir del asistente.
Proporcione la plantilla de disco blindado al proveedor de servicios de hospedaje, junto con un archivo de datos de blindaje que cree, como se describe en Creación de datos de blindaje para definir una máquina virtual blindada.