Omitir para ir al contenido principal
  • Hacer pedidos rápida y fácilmente
  • Ver pedidos y realizar seguimiento al estado del envío
  • Cree y acceda a una lista de sus productos

Améliorations apportées aux machines virtuelles protégées dans Windows Server 2019

Resumen: Améliorations apportées aux machines virtuelles avec protection

Este artículo se aplica a Este artículo no se aplica a Este artículo no está vinculado a ningún producto específico. No se identifican todas las versiones del producto en este artículo.

Síntomas


La machine virtuelle blindée est une fonctionnalité de sécurité unique introduite par Microsoft dans Windows Server 2016 et qui a fait l’objet de nombreuses améliorations dans l’édition Windows Server 2019. Ce blog vise principalement à souligner les améliorations apportées à la fonctionnalité.

Pour une présentation de base de la fonctionnalité et des étapes détaillées du déploiement, veuillez vous reporter aux liens suivants:

  1. https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-deploying-hgs-overview

 

Attestation Modes

La fonctionnalité prenait initialement en charge deux modes d’attestation: l’attestation basée sur Active Directory et l’attestation basée sur le module TPM. L’attestation basée sur le module TPM fournit des protections de sécurité améliorées, car elle utilise le module TPM comme racine de confiance matérielle et prend en charge l’intégrité mesurée du démarrage et du code.

L’attestation du mode clé est le nouvel ajout, qui remplace l’attestation basée sur AD (qui est toujours présente, mais obsolète à partir de Windows Server 2019). Le lien suivant contient les informations permettant de configurer le nœud HGS (Host Guardian Service) à l’aide de Key Mode Attestation. 


https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default L’attestation du mode clé est recommandée ou utilisée dans les scénarios où le matériel TPM n’est pas disponible pour l’utilisation. Il est plus facile à configurer, mais encore une fois il est associé à un ensemble de risques de sécurité, car il n’implique pas la racine de confiance matérielle.

Fonctionnalité de sauvegarde HGS

Étant donné que le cluster HGS est un élément essentiel de la solution de machine virtuelle blindée, Microsoft a apporté une amélioration pour intégrer facilement une sauvegarde pour les URL HGS de sorte que, même si le serveur HGS principal ne répond pas, les hôtes protégés par Hyper-V sont en mesure d’attester et de lancer les machines virtuelles blindées sans arrêt de service. Pour cela, deux serveurs HGS doivent être configurés, les machines virtuelles étant attestées de manière indépendante auprès des deux serveurs lors du déploiement. Les commandes suivantes sont utilisées pour permettre aux machines virtuelles d’être attestées par les deux clusters HGS.

 

# Remplacez https://hgs.primary.com et https://hgs.backup.com par vos propres noms de domaine et protocoles

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

 

Pour que l’hôte Hyper-V réussisse l’attestation avec les serveurs principal et de retour arrière, vous devez vous assurer que vos informations d’attestation sont à jour avec les deux clusters HGS.

Mode hors ligne

Il s’agit là encore d’un mode spécial introduit par Microsoft qui permet aux machines virtuelles blindées de s’activer même lorsque le nœud HGS est inaccessible. Pour activer ce mode pour les machines virtuelles, nous devons exécuter la commande suivante sur le nœud HGS:

Set-HgsKeyProtectionConfiguration– AllowKeyMaterialCaching

Une fois cette opération effectuée, nous devons redémarrer toutes les machines virtuelles pour activer le protecteur de clé mise en cache pour les machines virtuelles.

Remarque :  Toute modification de la configuration de sécurité sur la machine locale entraînera l’invalidation de ce mode hors ligne. Les machines virtuelles doivent attester auprès du serveur HGS avant de réactiver le mode hors ligne.

Machine virtuelle protégé par Linux

Microsoft a également étendu la prise en charge de l’hébergement des machines virtuelles ayant Linux en tant que système d’exploitation invité. Pour plus d’informations sur la version et la version du système d’exploitation à utiliser, veuillez consulter le lien suivant.

https://docs.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Consignes importantes

Il existe quelques consignes importantes à suivre lorsque nous déployons des machines virtuelles blindées:

  1. Lors de la mise à niveau de Windows Server 2016 vers Windows Server 2019, nous devons effacer toutes les configurations de sécurité et les appliquer à nouveau après la mise à niveau sur le HGS et les hôtes protégés pour que la solution fonctionne de manière transparente.
  2. Les disques de modèle ne peuvent être utilisés qu’avec le processus de provisionnement sécurisé des machines virtuelles protégées. Toute tentative de démarrage d’une machine virtuelle standard (non pare-brise) à l’aide d’un disque de modèle entraîne probablement une erreur d’arrêt (écran bleu) et n’est pas prise en charge.

Support DELL

Toutes les options des modèles WS2016 et 2019 sont prises en charge sur les systèmes Dell PowerEdge 13 et 14G. Pour des raisons de sécurité les plus strictes, il est recommandé d’utiliser l’attestation basée sur le module TPM avec un module TPM 2.0.


Ce blog a été rédigé par les ingénieurs DELL Pcré Kumar, Vinay Patkar et Shubhra Rana

Causa

 

Resolución

 
Propiedades del artículo
Número del artículo: 000175495
Tipo de artículo: Solution
Última modificación: 19 jul 2024
Versión:  6
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.