Machines virtuelles dotées d’une protection maximale pour les locataires - Création d’un disque de modèle (facultatif)
Pour créer une machine virtuelle dotée d’une protection maximale, vous devez utiliser un disque de modèle signé, spécialement préparé. Les métadonnées de disques de modèle signés vous permettent de garantir que les disques ne sont pas modifiés après leur création. Elles vous permettent également, en tant que locataire, de restreindre l’utilisation des disques pouvant servir à créer vos machines virtuelles dotées d’une protection maximale. En tant que locataire, vous pouvez fournir ce disque en le créant, comme indiqué dans cette rubrique.
Important
Si vous préférez, vous pouvez utiliser à la place un disque de modèle proposé par votre fournisseur de services d’hébergement. Dans ce cas, il est important de déployer une machine virtuelle de test à l’aide de ce disque de modèle, et d’exécuter vos propres outils (antivirus, analyseurs de vulnérabilités, etc.) pour vérifier que le disque est dans un état fiable.
Préparer un VHDX de système d’exploitation
Pour créer un disque de modèle doté d’une protection maximale, vous devez d’abord préparer un disque d’OS qui sera exécuté via l’Assistant Disque de modèle. Ce disque sera utilisé en tant que disque d’OS dans les machines virtuelles dotées d’une protection maximale. Vous pouvez utiliser n’importe quel outil existant pour créer ce disque, par exemple Microsoft Desktop Image Service Manager (DISM), ou configurer manuellement une machine virtuelle avec un VHDX vide, et installer l’OS sur ce disque. Durant la configuration du disque, il doit respecter les impératifs suivants, spécifiques aux machines virtuelles de génération 2 et/ou aux machines virtuelles dotées d’une protection maximale :
Prérequis pour un VHDX | Motif |
---|---|
Doit être un disque de table de partition GUID (GPT) | Nécessaire pour permettre aux machines virtuelles de génération 2 de prendre en charge UEFI |
Le type de disque doit être De base et non Dynamique. Remarque : Cela fait référence au type de disque logique, et non à la fonctionnalité VHDX de « taille dynamique » prise en charge par Hyper-V. |
BitLocker ne prend PAS en charge les disques dynamiques. |
Le disque comporte au moins deux partitions. Une partition doit inclure le lecteur sur lequel Windows est installé. Il s’agit du lecteur que BitLocker va chiffrer. L’autre partition est la partition active, qui contient le chargeur de démarrage et reste non chiffrée pour que l’ordinateur puisse démarrer. | Nécessaire pour BitLocker |
Le système de fichiers est NTFS | Nécessaire pour BitLocker |
Le système d’exploitation installé sur le VHDX est l’un des suivants : - Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 - Windows 10, Windows 8.1, Windows 8 |
Nécessaire à la prise en charge des machines virtuelles de génération 2 et du modèle de démarrage sécurisé Microsoft |
Le système d’exploitation doit être généralisé (exécutez sysprep.exe) | Le provisionnement de modèle implique la spécialisation des machines virtuelles pour la charge de travail d’un locataire spécifique |
Notes
Ne copiez pas le disque de modèle dans la bibliothèque VMM à ce stade.
Packages nécessaires à la création d’un disque de modèle Nano Server
Si vous comptez exécuter Nano Server en tant qu’OS invité dans des machines virtuelles dotées d’une protection maximale, vous devez vérifier que votre image Nano Server comprend les packages suivants :
- Microsoft-NanoServer-Guest-Package
- Microsoft-NanoServer-SecureStartup-Package
Exécuter Windows Update sur le système d’exploitation du modèle
Sur le disque de modèle, vérifiez que toutes les dernières mises à jour de Windows sont installées dans le système d’exploitation. Les dernières mises à jour publiées améliorent la fiabilité du processus de protection maximale de bout en bout, processus qui peut échouer si le système d’exploitation du modèle n’est pas à jour.
Signer et protéger le VHDX avec l’Assistant Disque de modèle
Pour utiliser un disque de modèle avec des machines virtuelles dotées d’une protection maximale, vous devez signer et chiffrer le disque avec BitLocker. Pour ce faire, vous allez utiliser l’Assistant Création de disque de modèle doté d’une protection maximale. Cet Assistant génère un code de hachage pour le disque, et l’ajoute à un VSC (catalogue de signatures de volume). Le VSC est signé à l’aide d’un certificat que vous spécifiez. Il est utilisé durant le processus de provisionnement afin de garantir que le disque déployé pour un locataire n’a pas été altéré ou remplacé par un disque non approuvé par le locataire. Enfin, BitLocker est installé sur le système d’exploitation du disque (si ce n’est pas déjà fait) pour préparer le disque au chiffrement durant le provisionnement de la machine virtuelle.
Notes
L’Assistant Disque de modèle modifie le disque de modèle que vous spécifiez sur place. Pour effectuer des mises à jour du disque plus tard, vous pouvez effectuer une copie du VHDX non protégé avant d’exécuter l’Assistant. Vous ne pouvez pas modifier un disque qui a été protégé avec l’Assistant Disque de modèle.
Effectuez les étapes suivantes sur un ordinateur exécutant Windows Server 2016 (il n’est pas nécessaire qu’il s’agisse d’un hôte Service Guardian ou de votre serveur VMM) :
Copiez le VHDX généralisé créé dans Préparer un VHDX de système d’exploitation sur le serveur, s’il n’y est pas déjà.
Installez le composant Outils de machine virtuelle dotée d’une protection maximale à partir des Outils d’administration de serveur distant sur la machine.
Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
Obtenez ou créez un certificat pour signer le VHDX, qui deviendra le disque de modèle des nouvelles machines virtuelles dotées d’une protection maximale. Les détails de ce certificat sont incorporés dans un fichier de données de protection, qui autorise le disque en tant que disque approuvé. Il est donc important d’obtenir ce certificat auprès d’une autorité de certification en laquelle vous et votre fournisseur de services d’hébergement avez confiance. Dans les scénarios d’entreprise où vous êtes à la fois hébergeur et locataire, vous pouvez émettre ce certificat à partir de votre PKI.
Si vous configurez un environnement de test et si vous souhaitez simplement utiliser un certificat autosigné pour signer votre disque de modèle, exécutez une commande similaire à celle-ci sur votre machine :
New-SelfSignedCertificate -DnsName publisher.fabrikam.com
Démarrez l’Assistant Disque de modèle à partir du dossier Outils d’administration dans le menu Démarrer, ou en tapant TemplateDiskWizard.exe dans une invite de commandes.
Dans la page Certificat, cliquez sur Parcourir pour afficher une liste de certificats. Sélectionnez le certificat à utiliser pour signer le disque de modèle. Cliquez sur OK, puis sur Suivant.
Dans la page Disque virtuel, cliquez sur Parcourir pour sélectionner le VHDX que vous avez préparé, puis cliquez sur Suivant.
Dans la page Catalogue de signatures, indiquez un nom de disque convivial et une version. Ces champs sont présents pour vous aider à identifier le disque, une fois qu’il a été signé.
Par exemple, pour le nom du disque, vous pouvez taper WS2016 et pour la version, 1.0.0.0
Passez en revue vos sélections dans la page Passer en revue les paramètres de l’Assistant. Quand vous cliquez sur Générer, l’Assistant active BitLocker sur le disque de modèle, calcule le code de hachage du disque, puis crée le catalogue de signatures de volume, qui est stocké dans les métadonnées VHDX.
Attendez la fin du processus de signature avant de tenter de monter ou de déplacer le disque de modèle. Ce processus peut prendre un certain temps, selon la taille de votre disque.
Dans la page Résumé, les informations relatives au disque de modèle, au certificat utilisé pour signer le modèle et à l’émetteur de certificat s’affichent. Cliquez sur Fermer pour quitter l’Assistant.
Transmettez le disque de modèle doté d’une protection maximale au fournisseur de services d’hébergement ainsi qu’un fichier de données de protection que vous devez créer, comme indiqué dans Création de données de protection pour définir une machine virtuelle dotée d’une protection maximale.