Aprovisionar anfitriões protegidos no VMM

Importante

Esta versão do Virtual Machine Manager (VMM) chegou ao fim do suporte. Recomendamos que atualize para o VMM 2022.

Este artigo descreve como implementar anfitriões Hyper-V protegidos num recurso de infraestrutura de computação do System Center – Virtual Machine Manager (VMM). Saiba mais sobre recursos de infraestrutura protegidos.

Existem duas formas de configurar anfitriões Hyper-V protegidos nos recursos de uma infraestrutura do VMM.

• Configurar um anfitrião existente como anfitrião protegido: pode configurar um anfitrião existente para que execute VMs blindadas.
• Adicionar ou aprovisionar um anfitrião protegido novo: este anfitrião poderia ser:
  • Um computador existente do Windows Server (com ou sem a função Hyper-V)
  • Um computador bare-metal

Pode configurar os anfitriões protegidos nos recursos de infraestrutura do VMM da seguinte forma:

1. Configurar definições globais de HGS: o VMM liga todos os anfitriões protegidos ao mesmo servidor HGS, de modo a poder migrar com êxito VMs blindadas entre os anfitriões. Especifique as definições globais do HGS que se aplicam a todos os anfitriões protegidos e pode especificar definições específicas do anfitrião que substituem as definições globais. As definições incluem:

   • URL de Atestado: o URL que o anfitrião utiliza para ligar ao serviço de atestado do HGS. Este serviço autoriza um anfitrião a executar VMs blindadas.
   • URL do servidor de proteção de chaves: o URL que o anfitrião utiliza para obter a chave necessária para desencriptar VMs. O anfitrião tem de ser aprovado no atestado para poder obter as chaves.
   • Políticas de integridade do código: uma política de integridade do código restringe o software que pode executar um anfitrião protegido. Quando o HGS é configurado para utilizar um atestado de TPM, os anfitriões protegidos têm de ser configurados para utilizar uma política de integridade de código autorizado por um servidor HGS. Pode especificar a localização da política de integridade de código num VMM e implementá-la nos seus anfitriões. Isto é opcional e não é necessário para gerir recursos de infraestrutura protegidos.
   • VHD auxiliar de proteção de VMs: um disco rígido virtual especialmente preparado que é utilizado para converter as VMs existentes em VMs blindadas. Tem de configurar esta definição se quiser proteger as VMs existentes.

2. Configurar a nuvem: se o anfitrião protegido for incluído numa nuvem VMM, precisa de ativar a nuvem para suportar VMs blindadas.

Antes de começar

Certifique-se de que implementou e configurou o Serviço Guardião do Anfitrião antes de continuar. Saiba mais sobre configurar o HGS na documentação do Windows Server.

Além disso, certifique-se de que todos os anfitriões que se tornarão anfitriões protegidos cumprem os pré-requisitos do anfitrião protegido:

• Sistema operativo: os servidores anfitriões têm de executar o Windows Server Datacenter. É recomendado utilizar o Server Core para anfitriões protegidos.
• Função e funcionalidades: os servidores de anfitrião devem executar a função Hyper-V e a funcionalidade de suporte do Hyper-V de guardião de anfitrião. O Suporte do Guardião de Anfitrião Hyper-V permite ao anfitrião comunicar com o HGS para confirmar o estado de funcionamento e pedir chaves para VMs blindadas. Se o seu anfitrião estiver a executar um Nano Server, deve ter os pacotes Compute, SCVMM-Package, SCVMM-Compute, SecureStartup e ShieldedVM instalados.
• Atestado TPM: se o seu HGS estiver configurado para utilizar um atestado TPM, os servidores de anfitrião têm de:
  • Utilizar o UEFI 2.3.1c e um módulo TPM 2.0
  • Iniciar no modo UEFI (não BIOS ou modo "legado")
  • Ativar o Arranque Seguro
• Registo HGS: os anfitriões Hyper-V têm de estar registados no HGS. A forma como são registados depende se o HGS está a utilizar o atestado do AD ou do TPM. Saiba mais
• Migração em direto: se quiser efetuar uma migração em direto de VMs blindadas, é necessário implementar dois ou mais anfitriões protegidos.
• Domínio: os anfitriões protegidos e o servidor VMM têm de estar no mesmo domínio ou em domínios com uma confiança bidirecional.

Configurar definições globais do HGS

Antes de poder adicionar anfitriões protegidos aos recursos de infraestrutura de computação do VMM, tem de configurar o VMM com informações sobre o Serviço Guardião do Anfitrião (HGS) para os recursos de infraestrutura. Será utilizado o mesmo HGS para todos os anfitriões guardados pelo VMM.

1. Obtenha os URLs do atestado e da proteção de chave para os seus recursos de infraestrutura a partir do seu administrador do HGS.

2. Na consola do VMM, selecione Definições Definições>do Serviço Guardião do Anfitrião.

3. Introduza os URLs do atestado e da proteção de chave nos respetivos campos. Não precisa de configurar as políticas de integridade do código e as secções VHD do programa auxiliar de proteção de VMs neste momento.
   
   

4. Selecione Concluir para guardar a configuração.

Adicionar ou aprovisionar um anfitrião protegido novo

1. Adicione o anfitrião:
   • Se quiser adicionar um servidor existente com o Windows Server como um anfitrião Hyper-V protegido, adicione-o aos recursos de infraestrutura.
   • Se pretender aprovisionar um anfitrião Hyper-V a partir de um computador bare-metal, siga estes pré-requisitos e instruções.

     Nota

     Pode implementar o anfitrião como protegido quando o aprovisionar (Adicionar Definições> do SO do Assistente > de RecursosConfigurar como anfitrião protegido).

2. Continue para a secção seguinte para configurar o anfitrião como anfitrião protegido.

Configurar um anfitrião existente como anfitrião protegido

Para configurar um anfitrião Hyper-V existente gerido pelo VMM para ser um anfitrião protegido, conclua os seguintes passos:

1. Coloque o anfitrião em modo de manutenção.

2. Em Todos os Anfitriões, clique com o botão direito do rato no Anfitrião >Propriedades>do Serviço Guardião do Anfitrião.

   

3. Selecione para ativar a funcionalidade do Suporte do Hyper-V de Guardião de Anfitrião e configure o anfitrião.

   Nota

   • Os URLs globais do atestado e do servidor de proteção de chaves estarão definidos no anfitrião.
   • Se modificar estes URLs fora da consola do VMM, terá de atualizá-los no VMM. Se não o fizer, o VMM não colocará VMs blindadas no anfitrião até que os URLs correspondam novamente. Também pode desmarcar e voltar a verificar a caixa "Ativar" para reconfigurar o anfitrião com os URLs configurados no VMM.

4. Se estiver a utilizar o VMM para gerir políticas de integridade do código, pode ativar a segunda caixa de verificação e selecionar a política adequada para o seu sistema.

5. Selecione OK para atualizar a configuração do anfitrião.

6. Retire o anfitrião do modo de manutenção.

O VMM verifica se o anfitrião passa o atestado quando o adiciona e sempre que o estado do anfitrião é atualizado. O VMM só implementa e efetua a migração de VMs blindadas em anfitriões que tenham sido aprovados no atestado. Pode verificar o estado do atestado de um anfitrião no Estado das Propriedades>>do Cliente HGS Global.

Ativar anfitriões protegidos numa nuvem VMM

Ative uma nuvem suportar anfitriões protegidos:

1. Na consola do VMM, selecione VMs e Clouds de Serviços>. Clique com o botão direito do rato no nome > da cloud Propriedades.
2. Nosuporte de VM BlindadaGeral>, selecione Suportado nesta nuvem privada.

Gerir e implementar as políticas de integridade do código com o VMM

Em recursos de infraestrutura protegidos, que estejam configurados para utilizar um atestado TPM, cada anfitrião tem de ser configurado com uma política de integridade de código que é considerado fidedigno pelo Serviço Guardião de Anfitrião. Para facilitar a gestão das políticas de integridade de código pode, opcionalmente, utilizar o VMM para implementar políticas novas ou atualizadas para os seus anfitriões protegidos.

Para implementar uma política de integridade de código a um anfitrião protegido que é gerido por um VMM, conclua os seguintes passos:

1. Criar uma política de integridade de código para cada anfitrião de referência no seu ambiente. Precisará de uma política de CI diferente para cada configuração de hardware e software exclusiva dos anfitriões protegidos.
2. Armazene as políticas de integridade de código num ficheiro de partilha seguro. As contas de computador para cada anfitrião protegido precisam de ter acesso de leitura ao ficheiro de partilha. Só os administradores fidedignos devem ter acesso de escrita.
3. Na consola do VMM, selecione Definições Definições>do Serviço Guardião do Anfitrião.
4. Na secção Políticas de Integridade do Código, selecione Adicionar e especifique um nome amigável e o caminho para uma política de CI. Repita este passo para cada política de Integridade do Código exclusiva. Certifique-se de que atribui um nome às suas políticas de uma forma que o ajudará a identificar que política deve ser aplicada a que anfitriões.
5. Selecione Concluir para guardar a configuração.

Agora, por cada anfitrião protegido, conclua os seguintes passos para aplicar uma política de integridade de código:

1. Coloque o anfitrião em modo de manutenção.

2. Em Todos os Anfitriões, clique com o botão direito do rato no anfitrião >Propriedades>Anfitrião Serviço Guardião.

   

3. Selecione para ativar a opção para configurar o anfitrião com uma política de integridade de código e, em seguida, selecione a política adequada ao seu sistema.

4. Selecione OK para aplicar a alteração de configuração. O anfitrião poderá reiniciar para aplicar a nova política.

5. Retire o anfitrião do modo de manutenção.

Aviso

Certifique-se de que seleciona a política de integridade de código correta para o anfitrião. Se aplicar uma política incompatível com o anfitrião, algumas das aplicações, controladores ou componentes do sistema operativo poderão deixar de funcionar.

Se atualizar a política de integridade de código no ficheiro partilhado e também quiser atualizar os anfitriões protegidos, pode fazê-lo ao concluir os seguintes passos:

1. Coloque o anfitrião em modo de manutenção.
2. Em Todos os Anfitriões, clique com o botão direito do rato no anfitrião >Aplicar Política de Integridade de Código Mais Recente.
3. Retire o anfitrião do modo de manutenção.

Passos seguintes

• Configure um disco de modelo blindado, um disco utilitário e um modelo de VM.