Microsoft Windows : Améliorations apportées aux machines virtuelles protégées dans Windows Server 2019

La machine virtuelle protégée est une fonction de sécurité unique introduite par Microsoft dans Windows Server 2016. De nombreuses améliorations ont été apportées dans Windows Server 2019. Cet article présente les améliorations apportées à cette fonctionnalité. Pour une présentation de la fonctionnalité et des étapes détaillées de déploiement, consultez le lien suivant :  

Modes d’attestation

La fonctionnalité prenait initialement en charge deux modes d’attestation, l’attestation basée sur Active Directory et l’attestation basée sur TPM. L’attestation basée sur un module TPM fournit des protections de sécurité renforcées, car elle utilise un module TPM (Trusted Platform Module) comme racine de confiance matérielle. Il prend en charge le démarrage mesuré et l’intégrité du code. L’attestation du mode clé est un nouvel ajout qui remplace l’attestation basée sur AD, qui est toujours présente, mais qui est obsolète à partir de Windows Server 2019. Le lien suivant contient des informations sur la configuration du nœud HGS (Host Guardian Service) à l’aide de l’attestation du mode de clé :
https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-initialize-hgs-key-mode-default
L’attestation du mode de clé est préférable lorsque le matériel TPM n’est pas disponible. Elle est plus facile à configurer, mais comporte certains risques de sécurité, car elle n’implique pas de racine de confiance matérielle. Pour une sécurité optimale, il est recommandé d’utiliser une attestation basée sur TPM avec une puce TPM 2.0.
 

Fonction de sauvegarde SGS

Étant donné que le cluster HGS est un élément essentiel de la solution de machine virtuelle protégée, Microsoft a fourni une amélioration pour incorporer un deuxième ensemble d’URL HGS. Si le serveur HGS principal ne répond pas, les hôtes protégés par Hyper-V peuvent attester et lancer les machines virtuelles protégées sans aucune interruption de service. Cela nécessite la configuration de deux serveurs HGS, les machines virtuelles étant attestées indépendamment avec les deux serveurs lors du déploiement. La commande suivante est utilisée pour permettre aux machines virtuelles d’être attestées par les deux clusters SGH.
 

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

Pour que l’hôte Hyper-V transmette l’attestation avec les serveurs primaire et de secours, les informations d’attestation doivent être à jour sur les deux clusters HGS.
 

Mode hors ligne

Le mode hors ligne permet aux machines virtuelles protégées de démarrer même lorsque le cluster HGS est inaccessible. Pour activer ce mode, exécutez la commande suivante sur un nœud HGS :

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching:$true

Après avoir exécuté la commande, redémarrez toutes les machines virtuelles pour activer le protecteur de clé pouvant être mis en cache.  

Machine virtuelle protégée Linux

Microsoft prend en charge les machines virtuelles protégées exécutant Linux en tant que système d’exploitation invité. Pour plus d’informations sur les distributions et versions Linux qui peuvent être utilisées, consultez le lien suivant :
https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-linux-shielded-vm-template

Consignes importantes

Il existe quelques consignes importantes à suivre lors du déploiement de machines virtuelles protégées :

1. Lors de la mise à niveau de Windows Server 2016 vers Windows Server 2019, effacez toutes les configurations de sécurité. Appliquez-les à nouveau après la mise à niveau sur le SGH et les hôtes protégés pour que la solution fonctionne parfaitement.
2. Les disques de modèle ne peuvent être utilisés qu’avec le processus de provisionnement de VM sécurisée et protégée. Toute tentative de démarrage d’une machine virtuelle standard (non protégée) à l’aide d’un disque modèle entraîne probablement une erreur d’arrêt (écran bleu) et n’est pas prise en charge.