Condividi tramite


Macchine virtuali schermate per i tenant - Creazione di un disco modello (facoltativo)

Per creare una nuova macchina virtuale schermata, è necessario usare un disco modello appositamente preparato e firmato. I metadati dei dischi modello firmati assicurano che i dischi non vengano modificati dopo la creazione e consentano come tenant di limitare quale dischi possono essere usati per creare le macchine virtuali schermate. Un modo per fornire questo disco è il tenant, per crearlo, come descritto in questo argomento.

Importante

Se si preferisce, è invece possibile usare un disco modello fornito dal provider di servizi di hosting. In questo caso, è importante distribuire una macchina virtuale di test usando tale disco modello ed eseguire strumenti personalizzati (antivirus, scanner di vulnerabilità e così via) per verificare che il disco sia, in realtà, in uno stato attendibile.

Preparare un VHDX del sistema operativo

Per creare un disco modello schermato, è prima necessario preparare un disco del sistema operativo che verrà eseguito tramite la procedura guidata del disco modello. Questo disco verrà usato come disco del sistema operativo nelle macchine virtuali schermate. È possibile usare qualsiasi strumento esistente per creare questo disco, ad esempio Microsoft Desktop Image Service Manager (DISM) o configurare manualmente una macchina virtuale con un VHDX vuoto e installare il sistema operativo su tale disco. Quando si configura il disco, questo deve rispettare i requisiti seguenti, specifici per le macchine virtuali schermate e/o di seconda generazione:

Requisito per VHDX Motivo
Deve essere un disco della tabella di partizione GUID (GPT) Necessario per le macchine virtuali di seconda generazione per supportare UEFI
Il tipo di disco deve essere di base e non dinamico.
Nota: si riferisce al tipo di disco logico, non alla funzionalità VHDX "a espansione dinamica" supportata da Hyper-V.
BitLocker NON supporta i dischi dinamici.
Il disco ha almeno due partizioni. Una partizione deve includere l'unità in cui è installato Windows. Questa è l'unità che BitLocker crittograferà. L'altra partizione è la partizione attiva, che contiene il caricatore di avvio e rimane non crittografata in modo che il computer possa essere avviato. Necessario per BitLocker
Il file system è NTFS Necessario per BitLocker
Il sistema operativo installato in VHDX è uno dei seguenti:
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
- Windows 10, Windows 8.1, Windows 8
Necessario per supportare macchine virtuali di seconda generazione e il modello di avvio protetto Microsoft
Il sistema operativo deve essere generalizzato (eseguire sysprep.exe) Il provisioning dei modelli prevede la specializzazione delle macchine virtuali per un carico di lavoro di un tenant specifico

Nota

Non copiare il disco modello nella libreria VMM in questa fase.

Pacchetti necessari per creare un disco modello di Nano Server

Se si prevede di eseguire Nano Server come sistema operativo guest nelle macchine virtuali schermate, è necessario assicurarsi che l'immagine di Nano Server includa i pacchetti seguenti:

  • Microsoft-NanoServer-Guest-Package
  • Microsoft-NanoServer-SecureStartup-Package

Eseguire Windows Update nel sistema operativo modello

Sul disco modello verificare che nel sistema operativo siano installati tutti gli aggiornamenti più recenti di Windows. Gli aggiornamenti rilasciati di recente migliorano l'affidabilità del processo di schermatura end-to-end: un processo che potrebbe non riuscire a completare se il sistema operativo del modello non è aggiornato.

Firmare e proteggere VHDX con la procedura guidata del disco modello

Per usare un disco modello con macchine virtuali schermate, il disco deve essere firmato e crittografato con BitLocker. A tale scopo, si userà la Creazione guidata disco modello schermato. Questa procedura guidata genererà un hash per il disco e lo aggiungerà a un catalogo delle firme del volume (VSC). Il VSC viene firmato usando un certificato specificato e viene usato durante il processo di provisioning per assicurarsi che il disco distribuito per un tenant non sia stato modificato o sostituito con un disco che il tenant non considera attendibile. Infine, BitLocker viene installato nel sistema operativo del disco (se non è già presente) per preparare il disco per la crittografia durante il provisioning della macchina virtuale.

Nota

La procedura guidata del disco modello modificherà il disco modello specificato sul posto. È possibile creare una copia del VHDX non protetto prima di eseguire la procedura guidata per apportare aggiornamenti al disco in un secondo momento. Non sarà possibile modificare un disco protetto con la procedura guidata del disco modello.

Eseguire la procedura seguente in un computer che esegue Windows Server 2016 (non è necessario essere un host sorvegliato o il server VMM):

  1. Copiare il VHDX generalizzato creato in Preparare un VHDX del sistema operativo nel server, se non è già presente.

  2. Installare la funzionalità Strumenti macchina virtuale schermata da Strumenti di amministrazione remota del server nel computer.

    Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
    
  3. Ottenere o creare un certificato per firmare il VHDX che diventerà il disco modello per le nuove macchine virtuali schermate. I dettagli su questo certificato verranno incorporati in un file di dati di schermatura, che autorizza il disco come disco attendibile. Pertanto, è importante ottenere questo certificato da un'autorità di certificazione attendibile dell'utente e del provider di servizi di hosting. Negli scenari aziendali in cui si è sia l'host che il tenant, è consigliabile rilasciare questo certificato dall'infrastruttura a chiave pubblica.

    Se si configura un ambiente di test e si vuole usare solo un certificato autofirmato per firmare il disco modello, eseguire un comando simile al seguente nel computer:

    New-SelfSignedCertificate -DnsName publisher.fabrikam.com
    
  4. Avviare la Creazione guidata disco modello dalla cartella Strumenti di amministrazione del menu Start o digitando TemplateDiskWizard.exe in un prompt dei comandi.

  5. Nella pagina Certificato fare clic su Sfoglia per visualizzare un elenco di certificati. Selezionare il certificato con cui firmare il modello di disco. Fare clic su OK e quindi su Avanti.

  6. Nella pagina Disco virtuale fare clic su Sfoglia per selezionare il VHDX preparato, quindi fare clic su Avanti.

  7. Nella pagina Catalogo firme, specificare un nome del disco descrittivo e una versione dello stesso. Questi campi sono presenti per facilitare l'identificazione del disco dopo la firma.

    Ad esempio, per il nome del disco è possibile digitare WS2016 e per Versione 1.0.0.0

  8. Esaminare le selezioni nella pagina Verifica impostazioni della procedura guidata. Quando si fa clic su Genera, la procedura guidata abiliterà BitLocker sul disco modello, calcolerà l'hash del disco e creerà il Catalogo firme volume, archiviato nei metadati VHDX.

    Attendere il completamento del processo di firma prima di tentare di montare o spostare il disco modello. Il completamento di questo processo può richiedere del tempo, a seconda delle dimensioni del disco.

  9. Nella pagina Riepilogo vengono visualizzate informazioni sul modello di disco, il certificato usato per firmare il modello e l'emittente del certificato. Fare clic su Chiudi per uscire dalla procedura guidata.

Fornire il modello di disco schermato al provider di servizi di hosting, insieme a un file di dati di schermatura creato, come descritto in Creazione di dati di schermatura per definire una macchina virtuale schermata.

Riferimenti aggiuntivi