Module 7

Sécurisation de l’infrastructure
de virtualisation
Vue d’ensemble du module

Structure Service Guardian
• VM dotées d’une protection maximale et
acceptant le chiffrement
Leçon 1 : structure Service Guardian

Structure Service Guardian
Service Guardian hôte
Attestation Administrateur de confiance
Attestation TPM de confiance
KPS
Migration de VM dotées d’une protection maximale
Nano Server en tant qu’hôte Service Guardian avec
attestation TPM
• Dépannage d’hôtes Service Guardian
 Structure Service Guardian

Structure Service Guardian
Service Guardian hôte Forêt de production
Adatumadmin.com Adatum.com

Serveur physique ou virtuel

Windows Server Virtual Machine Manager

• Rôle Service Guardian hôte
• Serveur KPS
• Serveur de protection de clé Hôtes Hyper-V
pour les VM dotées d’une
protection maximale

VM dotées d’une
protection maximale

Utilisation d’une attestation basée sur Active Directory

 Service Guardian hôte

Utilisateurs demandant
de démarrer des VM
dotées d’une protection
maximale sur l’hôte

Composants du SGH
Requêtes et réponses
VM03 d’attestation
VM dotées
d’une VM02 Service d’attestation :
protection évalue la validité
VM01
maximale des hôtes
Requêtes et
réponses clés KPS :
décide de la libération
d’une clé pour démarrer SGH exécuté sur
une VM un cluster
Hôtes
Service Guardian
Service Guardian hôte
Attestation Administrateur de confiance

• L’attestation Administrateur de confiance :

• Est facile à installer et à configurer
• Est un bon point de départ pour les systèmes
d’entreprise
• Configuration minimale requise pour l’attestation
Administrateur de confiance :
• Un serveur SGH avec Windows Server 2016 requis pour
SGH
• Un hôte Service Guardian Hyper-V, avec
Windows Server 2016 requis pour Hyper-V pour la prise
en charge de la protection
Attestation TPM de confiance.

• L’attestation TPM de confiance offre un niveau de

garantie supérieur.
• Configuration minimale requise pour l’attestation
TPM de confiance :
• Hôtes Hyper-V TPM 2.0 et UEFI 2.3.1
• L’approbation d’une instance Hyper-V maintenant
intégrée au matériel :
• Démarrage mesuré TPM et stratégie d’élément de configuration
• Les certificats HSM sont possibles avec ce mode
d’attestation
• La configuration logicielle minimale reste la même
que celle de l’attestation Administrateur de
confiance.
KPS

Le client :
• Peut exécuter une gestion
libre-service via la console Windows
Azure Pack ou VMM
• Si vous préparez d’abord les
ordinateurs virtuels, l’hôte Hyper-V
doit exécuter Windows Server 2016.

Pour l’attestation Administrateur de confiance

Relecloud.com approuve fabrikam.com

SGH sur
VM dotées
cluster
d’une
protection
maximale

VM non dotées
d’une protection
maximale Service
d’attestation
Serveur
VMM KPS
Hôtes
(facultatif) Service 
Guardian
Domaine SGH
Domaine du fournisseur d’hébergement
Admin.adatum.com
Adatum.com
Migration de VM dotées d’une protection maximale

• Un hôte Service Guardian est un hôte Hyper-V sur

lequel des VM dotées d’une protection maximale
peuvent s’exécuter.

• Les VM dotées d’une protection maximale sont

protégées par le SGH.

• Les VM dotées d’une protection maximale

peuvent être fournies par VMM.

• VMM vérifie si l’hôte a réussi sa dernière tentative

d’attestation avec le serveur SGH.
Nano Server en tant qu’hôte Service Guardian avec
attestation TPM

• La gestion du Nano Server est effectuée par le

biais de Windows PowerShell.

• Il existe un procédé manuel pour acquérir des

fichiers depuis un serveur avec Expérience
utilisateur sur Windows Server 2016.
Dépannage d’hôtes Service Guardian

• Vérifiez que la fonctionnalité Support Hyper-V

pour Host Guardian est activée en ouvrant une
invite de commandes Windows PowerShell et en
exécutant la commande Get-WindowsFeature
HostGuardian.

• Pour déterminer si le serveur SGH répond, testez

si le KPS répond correctement en ouvrant l’URL
suivante sur un serveur SGH :
• http://localhost/KeyProtection/service/metadata
/2014-07/metadata.xml
Leçon 2 : VM dotées d’une protection maximale et
acceptant le chiffrement

Présentation des VM dotées d’une protection

maximale
Vue d’ensemble des VM dotées d’une protection
maximale et acceptant le chiffrement
Comparaison des VM dotées d’une protection
maximale et des VM acceptant le chiffrement
Module de plateforme sécurisée virtuel (vTPM,
Virtual Trusted Platform Module)
• Dépannage des VM dotées d’une protection
maximale et acceptant le chiffrement
Présentation des VM dotées d’une protection maximale

• Les VM dotées d’une protection maximale

permettent de se protéger du vol de disques durs
virtuels en chiffrant les fichiers .vhds.
• Si un utilisateur non autorisé attache un
débogueur au SGH de l’hôte Hyper-V, il ne
libérera pas de clés aux hôtes auxquels un
débogueur est attaché.
• Les VM dotées d’une protection maximale ne
seront pas reconnues dans un environnement non
approuvé.
Vue d’ensemble des VM dotées d’une protection maximale et
acceptant le chiffrement

• Deux modes de protection sont disponibles pour les

VM : protection maximale et chiffrement.

• Ces deux modes fournissent un vTPM permettant

d’activer BitLocker et utilisent un protecteur de clé.

• La VM dotée d’une protection maximale n’utilise

aucune console locale, aucun composant d’intégration
de copie de fichier invité, aucun PowerShell Direct et
aucun appareil virtuel non sécurisé.

• BitLocker ne prend pas en charge les disques

dynamiques.
 Comparaison des VM dotées d’une protection maximale et des
VM acceptant le chiffrement
Résumé des principales différences entre les VM
dotées d’une protection maximale et les VM
acceptant le chiffrement
Capacité VM acceptant un VM dotées d’une
chiffrement de protection maximale de
génération 2 génération 2
Démarrage sécurisé Oui, requis mais configurable Oui, requis et appliqué
vTPM Oui, requis mais configurable Oui, requis et appliqué
Chiffrement de l’état de Oui, requis mais configurable Oui, requis et appliqué
l’ordinateur virtuel et du trafic
de migration dynamique
Composants d’intégration Configurable par Certains composants
l’administrateur de la d’intégration bloqués (par
structure exemple, l’échange de
données et PowerShell Direct)
Connexion de l’ordinateur Activé, ne peut être désactivé Désactivé (ne peut être
virtuel (console) et activé)
périphérique d’interface
utilisateur (HID, Human
Interface Device) (ex. : clavier
et souris)
Ports COM/série Pris en charge Désactivé (ne peut être
activé)
Attachement d’un débogueur Pris en charge Désactivé (ne peut être
Module de plateforme sécurisée virtuel (vTPM, Virtual
Trusted Platform Module)

• Les VM dotées d’une protection maximale aident à

protéger les données et l’état de l’ordinateur virtuel
en prenant en charge un périphérique vTPM, ce qui
permet le chiffrement des disques de l’ordinateur
virtuel par BitLocker :
• Ce périphérique vTPM est chiffré avec une clé de
transport.
• Pour activer le vTPM pour un ordinateur virtuel,
utilisez l’applet de commande
Enable-VMTPM -VMName $VMName
Dépannage des VM dotées d’une protection maximale et
acceptant le chiffrement

Problèmes pouvant survenir lors du démarrage

d’une VM dotée d’une protection maximale ou
acceptant le chiffrement :
• Problèmes lors du démarrage des VM dotées d’une
protection maximale
• Problèmes lors de la génération d’un nouveau protecteur
de clé SGH
• Problème lors de la connexion à des sessions de console
Atelier pratique : structure Service Guardian avec attestation Administrateur
de confiance et VM dotées d’une protection maximale

Exercice 1 : déploiement d’une structure Service Guardian

avec attestation Administrateur de confiance
• Exercice 2 : déploiement d’une VM dotée d’une protection
maximale
Informations de session
Ordinateur physique : 22744B-LON-HOST1
Ordinateurs virtuels : 22744B-LON-DC1-B
22744B-LON-SVR1-B
Noms d’utilisateur : Adatum\Administrator
Administrator
Mot de passe : Pa55w.rd

Durée approximative : 90 minutes

Scénario de l’atelier pratique

A. Datum Corporation est une entreprise de

recherche médicale qui emploie environ
5 000 personnes dans le monde. Elle a des besoins
spécifiques pour garantir que les données et
dossiers médicaux restent confidentiels. La société
compte un siège et plusieurs sites internationaux.
A. Datum Corporation a récemment déployé une
infrastructure constituée de serveurs
Windows Server 2016 et de clients Windows 10.
Dans cet atelier pratique, vous allez créer une
structure Service Guardian composée d’un SGH,
d’un serveur hôte et d’une VM dotée d’une
protection maximale.
Contrôle des acquis de l’atelier pratique

Décrivez les principaux composants de la structure

Service Guardian.
• Dans cet atelier pratique, vous avez créé un
environnement composé du SGH et de l’hôte
Service Guardian. Vous avez également ajouté un
groupe SGH au domaine de l’entreprise. Lequel de
ces rôles doit être un serveur physique ?
Contrôle des acquis et éléments à retenir

Question de contrôle des acquis

Meilleure pratique
• Problèmes courants et conseils de dépannage