Conditions préalables pour les hôtes Service Guardian
Passez en revue les conditions préalables de l’hôte pour le mode d’attestation que vous avez choisi, puis cliquez sur l’étape suivante pour ajouter des hôtes Service Guardian.
Attestation approuvée par le module de plateforme sécurisée (TPM)
Les hôtes Service Guardian utilisant le mode TPM doivent respecter les conditions préalables suivantes :
Matériel : un hôte est requis pour le déploiement initial. Pour tester la migration dynamique Hyper-V pour les machines virtuelles dotées d’une protection maximale, vous devez disposer d’au moins deux hôtes.
Les hôtes doivent avoir :
- IOMMU et traduction d’adresse de second niveau (SLAT, Second Level Address Translation)
- TPM 2.0
- UEFI 2.3.1 ou version ultérieure
- Configuration pour démarrer en mode UEFI (pas BIOS ou en mode « hérité »)
- Démarrage sécurisé activé
Système d’exploitation : Windows Server 2016 édition Datacenter ou version ultérieure
Important
Veillez à installer la dernière mise à jour cumulative.
Rôle et fonctionnalités : rôle Hyper-V et fonctionnalité de prise en charge Hyper-V du service Guardian hôte. La fonctionnalité de prise en charge Hyper-V du service Guardian hôte est uniquement disponible sur les éditions Datacenter de Windows Server.
Avertissement
La fonctionnalité de prise en charge Hyper-V de Guardian hôte permet une protection basée sur la virtualisation de l’intégrité du code qui peut être incompatible avec certains appareils. Nous vous recommandons vivement de tester cette configuration dans votre laboratoire avant d'activer cette fonctionnalité. Dans le cas contraire, cela risque d’entraîner des échecs inattendus pouvant aller jusqu'à la perte de données ou un écran bleu d’erreur (également appelé erreur d’arrêt). Pour plus d’informations, consultez Matériel compatible avec la protection de l’intégrité du code basée sur la virtualisation Windows Server.
Étape suivante :
Attestation de clé d’hôte
Les hôtes Service Guardian utilisant l’attestation de clé d’hôte doivent respecter les conditions préalables suivantes :
- Matériel : tout serveur capable d’exécuter Hyper-V à partir de Windows Server 2019
- Système d’exploitation : Windows Server 2019 édition Datacenter
- Rôle et fonctionnalités : rôle Hyper-V et fonctionnalité de prise en charge Hyper-V du service Guardian hôte
L’hôte peut être joint à un domaine ou à un groupe de travail.
Pour l’attestation de clé hôte, le service Guardian hôte (SGH) doit exécuter Windows Server 2019 et fonctionner avec l’attestation v2. Pour plus d’informations, consultez les prérequis SGH.
Étape suivante :
Attestation approuvée par l’administrateur
Important
L’attestation approuvée par l’administrateur (mode AD) est déconseillée à compter de Windows Server 2019. Pour les environnements où l’attestation TPM n’est pas possible, configurez l’attestation de clé d’hôte. L’attestation de clé d’hôte fournit une assurance similaire au mode AD et est plus simple à configurer.
Les hôtes Hyper-V doivent remplir les conditions préalables suivantes pour le mode AD :
Matériel : tout serveur capable d’exécuter Hyper-V à partir de Windows Server 2016. Un hôte est requis pour le déploiement initial. Pour tester la migration dynamique Hyper-V pour les machines virtuelles dotées d’une protection maximale, vous avez besoin d’au moins deux hôtes.
Système d’exploitation : Windows Server 2016 édition Datacenter
Important
Installez la dernière mise à jour cumulative.
Rôle et fonctionnalités : rôle Hyper-V et fonctionnalité de prise en charge Hyper-V du service Guardian hôte, qui est uniquement disponible dans Windows Server 2016 édition Datacenter.
Avertissement
La fonctionnalité de prise en charge Hyper-V de Guardian hôte permet une protection basée sur la virtualisation de l’intégrité du code qui peut être incompatible avec certains appareils. Nous vous recommandons vivement de tester cette configuration dans votre laboratoire avant d'activer cette fonctionnalité. Dans le cas contraire, cela risque d’entraîner des échecs inattendus pouvant aller jusqu'à la perte de données ou un écran bleu d’erreur (également appelé erreur d’arrêt). Pour plus d’informations, consultez Matériel compatible avec la protection de l’intégrité du code basée sur la virtualisation Windows Server 2016.
Étape suivante :