Creación de un disco Windows plantilla de máquina virtual blindada

Se aplica a: Windows Server 2022, Windows Server 2016, Windows Server 2019

Al igual que con las máquinas virtuales normales, puede crear una plantilla de máquina virtual (por ejemplo, una plantilla de máquina virtual en Virtual Machine Manager (VMM)) para facilitar a los inquilinos y administradores la implementación de nuevas máquinas virtuales en el tejido mediante un disco de plantilla. Dado que las máquinas virtuales blindadas son recursos que tienen en cuenta la seguridad, hay pasos adicionales para crear una plantilla de máquina virtual que admita el blindaje. En este tema se tratan los pasos para crear un disco de plantilla blindada y una plantilla de máquina virtual en VMM.

Para entender cómo encaja este tema en el proceso general de implementación de máquinas virtuales blindadas, consulte Hosting service provider configuration steps for guarded hosts and shielded VMs(Pasos de configuración del proveedor de servicios de hospedaje para hosts protegido y máquinas virtuales blindadas).

Preparación de un VHDX de sistema operativo

En primer lugar, prepare un disco del sistema operativo que, a continuación, ejecutará a través del Asistente para la creación de discos de plantilla blindada. Este disco se usará como disco del sistema operativo en las máquinas virtuales del inquilino. Puede usar cualquier herramienta existente para crear este disco, como Microsoft Desktop Image Service Manager (DISM), o configurar manualmente una máquina virtual con un VHDX en blanco e instalar el sistema operativo en ese disco. Al configurar el disco, debe cumplir los siguientes requisitos específicos de la generación 2 o las máquinas virtuales blindadas:

Requisito de VHDX Motivo
Debe ser un disco de tabla de particiones GUID (GPT) Necesario para que las máquinas virtuales de generación 2 admitan UEFI
El tipo de disco debe ser Básico en lugar de Dinámico.
Nota: Esto hace referencia al tipo de disco lógico, no a la característica VHDX de "expansión dinámica" compatible con Hyper-V.
BitLocker NO admite discos dinámicos.
El disco tiene al menos dos particiones. Una partición debe incluir la unidad en la que Windows está instalado. Esta unidad será cifrada por BitLocker. La otra partición es la partición activa, que contiene el cargador de arranque y permanece sin cifrar para que se pueda iniciar el equipo. Necesario para BitLocker
El sistema de archivos es NTFS Necesario para BitLocker
El sistema operativo instalado en VHDX es uno de los siguientes:
- Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012
- Windows 10, Windows 8.1, Windows 8
Necesario para admitir máquinas virtuales de generación 2 y la plantilla de arranque seguro de Microsoft
El sistema operativo debe ser generalizado (ejecutar sysprep.exe) El aprovisionamiento de plantillas implica especializar las máquinas virtuales para la carga de trabajo de un inquilino específico

Nota

Si usa VMM, no copie el disco de plantilla en la biblioteca VMM en esta fase.

Ejecutar Windows actualización en el sistema operativo de la plantilla

En el disco de plantilla, compruebe que el sistema operativo tiene instaladas todas las actualizaciones Windows más recientes. Las actualizaciones publicadas recientemente mejoran la confiabilidad del proceso de blindaje de un extremo a otro, un proceso que puede no completarse si el sistema operativo de la plantilla no está actualizado.

Preparación y protección del VHDX con el Asistente para discos de plantilla

Para usar un disco de plantilla con máquinas virtuales blindadas, el disco debe prepararse y cifrarse con BitLocker mediante el Asistente para la creación de discos de plantilla blindada. Este asistente generará un hash para el disco y lo agregará a un catálogo de firmas de volumen (VSC). El VSC se firma mediante un certificado que especifique y se usa durante el proceso de aprovisionamiento para asegurarse de que el disco que se implementa para un inquilino no se ha modificado o reemplazado por un disco en el que el inquilino no confía. Por último, BitLocker se instala en el sistema operativo del disco (si aún no existe) para preparar el disco para el cifrado durante el aprovisionamiento de máquinas virtuales.

Nota

El Asistente para discos de plantilla modificará el disco de plantilla que especifique en su lugar. Es posible que quiera realizar una copia del VHDX no protegido antes de ejecutar el asistente para realizar actualizaciones en el disco más adelante. No podrá modificar un disco que se haya protegido con el Asistente para discos de plantilla.

Realice los pasos siguientes en un equipo que ejecute Windows Server 2016, Windows 10 (con herramientas de administración remota del servidor, RSAT instalado) o posterior (no necesita ser un host guardado o un servidor VMM):

  1. Copie el VHDX generalizado creado en Preparar un VHDX del sistema operativo en el servidor, si aún no está ahí.

  2. Para administrar el servidor localmente, instale la característica Herramientas de máquina virtual blindada Herramientas de administración remota del servidor en el servidor.

    Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
    

    También puede administrar el servidor desde un equipo cliente en el que haya instalado el Windows 10 Herramientas de administración remota del servidor.

  3. Obtenga o cree un certificado para firmar el VSC del VHDX que se convertirá en el disco de plantilla para las nuevas máquinas virtuales blindadas. Los detalles sobre este certificado se mostrarán a los inquilinos cuando creen sus archivos de datos de blindaje y autorizan discos en los que confían. Por lo tanto, es importante obtener este certificado de una entidad de certificación de confianza mutua para usted y sus inquilinos. En escenarios empresariales en los que usted es el host y el inquilino, puede considerar la posibilidad de emitir este certificado desde la PKI.

    Si va a configurar un entorno de prueba y solo quiere usar un certificado autofirmado para preparar el disco de plantilla, ejecute un comando similar al siguiente:

    New-SelfSignedCertificate -DnsName publisher.fabrikam.com
    
  4. Inicie el Asistente para discos de plantilla desde la carpeta Herramientas administrativas menú Inicio o escribiendo TemplateDiskWizard.exe en un símbolo del sistema.

  5. En la página Certificado, haga clic en Examinar para mostrar una lista de certificados. Seleccione el certificado con el que preparar la plantilla de disco. Haga clic en Aceptar y luego en Siguiente.

  6. En la página Disco virtual, haga clic en Examinar para seleccionar el VHDX que ha preparado y, a continuación, haga clic en Siguiente.

  7. En la página Catálogo de firmas, proporcione un nombre de disco descriptivo y una versión. Estos campos están presentes para ayudarle a identificar el disco una vez que se ha preparado.

    Por ejemplo, para nombre de disco podría escribir WS2016 y, en Versión, 1.0.0.0.

  8. Revise las selecciones en la página Revisar Configuración del asistente. Al hacer clicen Generar , el asistente habilitará BitLocker en el disco de plantilla, calculará el hash del disco y creará el catálogo de firmas de volumen, que se almacena en los metadatos de VHDX.

    Espere hasta que finalice el proceso de preparación antes de intentar montar o mover el disco de plantilla. Este proceso puede tardar un tiempo en completarse, en función del tamaño del disco.

    Importante

    Los discos de plantilla solo se pueden usar con el proceso de aprovisionamiento seguro de máquinas virtuales blindadas. Si intenta arrancar una máquina virtual normal (sin protección) con un disco de plantilla, probablemente se producirá un error de detenerse (pantalla azul) y no se admite.

  9. En la página Resumen, se muestra información sobre la plantilla de disco, el certificado usado para firmar el VSC y el emisor del certificado. Haga clic en Cerrar para salir del asistente.

Si usa VMM, siga los pasos de las secciones restantes de este tema para incorporar un disco de plantilla en una plantilla de máquina virtual blindada en VMM.

Copia del disco de plantilla en la biblioteca VMM

Si usa VMM, después de crear un disco de plantilla, debe copiarlo en un recurso compartido de biblioteca VMM para que los hosts puedan descargar y usar el disco al aprovisionar nuevas máquinas virtuales. Use el procedimiento siguiente para copiar el disco de plantilla en la biblioteca VMM y, a continuación, actualice la biblioteca.

  1. Copie el archivo VHDX en la carpeta del recurso compartido de biblioteca VMM. Si usó la configuración predeterminada de VMM, copie el disco de plantilla en \ \vmmserver > \MSSCVMMLibrary\VHDs.

  2. Actualice el servidor de biblioteca. Abra el área de trabajo Biblioteca, expanda Servidores de biblioteca, haga clic con el botón derecho en el servidor de biblioteca que desea actualizar y haga clic en Actualizar.

  3. A continuación, proporcione a VMM información sobre el sistema operativo instalado en el disco de plantilla:

    a. Busque el disco de plantilla recién importado en el servidor de biblioteca en el área de trabajo Biblioteca.

    b. Haga clic con el botón derecho en el disco y, a continuación, haga clic en Propiedades.

    c. Para el sistema operativo, expanda la lista y seleccione el sistema operativo instalado en el disco. Al seleccionar un sistema operativo, se indica a VMM que el VHDX no está en blanco.

    d. Si ha actualizado las propiedades, haga clic en Aceptar.

El icono de escudo pequeño junto al nombre del disco denota el disco como un disco de plantilla preparado para máquinas virtuales blindadas. También puede hacer clic con el botón derecho en los encabezados de columna y alternar la columna Blindada para ver una representación textual que indica si un disco está pensado para implementaciones de máquinas virtuales normales o blindadas.

Shielded vm template disk

Creación de la plantilla de máquina virtual blindada en VMM mediante el disco de plantilla preparado

Con un disco de plantilla preparado en la biblioteca VMM, está listo para crear una plantilla de máquina virtual para máquinas virtuales blindadas. Las plantillas de máquina virtual para máquinas virtuales blindadas difieren ligeramente de las plantillas de máquina virtual tradicionales en que ciertas configuraciones son fijas (máquina virtual de generación 2, UEFI y arranque seguro habilitados, etc.) y otras no están disponibles (la personalización del inquilino se limita a algunas propiedades de la máquina virtual). Para crear la plantilla de máquina virtual, realice los pasos siguientes:

  1. En el área de trabajo Biblioteca, haga clic en Crear plantilla de máquina virtual en la pestaña Inicio de la parte superior.

  2. En la página Seleccionar origen, haga clic en Usar una plantilla de VM o un disco duro virtual existentes almacenados en la biblioteca y, a continuación, haga clic en Examinar.

  3. En la ventana que aparece, seleccione un disco de plantilla preparado de la biblioteca VMM. Para identificar con más facilidad qué discos están preparados, haga clic con el botón derecho en un encabezado de columna y habilite la columna Blindada. Haga clic en Aceptar y en Siguiente.

  4. Especifique un nombre de plantilla de máquina virtual y, opcionalmente, una descripción y, a continuación, haga clic en Siguiente.

  5. En la página Configurar hardware, especifique las funcionalidades de las máquinas virtuales creadas a partir de esta plantilla. Asegúrese de que hay al menos una NIC disponible y configurada en la plantilla de máquina virtual. La única manera de que un inquilino se conecte a una máquina virtual blindada es a través de Conexión a Escritorio remoto, Windows Remote Management u otras herramientas de administración remota preconfiguradas que funcionan a través de protocolos de red.

    Si decide aprovechar los grupos de direcciones IP estáticas en VMM en lugar de ejecutar un servidor DHCP en la red de inquilinos, deberá alertar a los inquilinos de esta configuración. Cuando un inquilino proporciona su archivo de datos de blindaje, que contiene el archivo desatendido para VMM, deberá proporcionar valores de marcador de posición especiales para la información del grupo de direcciones IP estáticas. Para obtener más información sobre los marcadores de posición de VMM en archivos desatendidos de inquilinos, vea Crear un archivo de respuesta.

  6. En la página Configurar sistema operativo, VMM solo mostrará algunas opciones para las máquinas virtuales blindadas, incluida la clave de producto, la zona horaria y el nombre del equipo. El inquilino especifica cierta información segura, como la contraseña de administrador y el nombre de dominio, a través de un archivo de datos de blindaje (. Archivo PDK).

    Nota

    Si decide especificar una clave de producto en esta página, asegúrese de que es válida para el sistema operativo en el disco de plantilla. Si se usa una clave de producto incorrecta, se producirá un error en la creación de la máquina virtual.

Una vez creada la plantilla, los inquilinos pueden usarla para crear nuevas máquinas virtuales. Tendrá que comprobar que la plantilla de máquina virtual es uno de los recursos disponibles para la rol de usuario Administrador de inquilinos (en VMM, los roles de usuario están en el área de trabajo Configuración usuario).

Preparación y protección del VHDX mediante PowerShell

Como alternativa a la ejecución del Asistente para discos de plantilla, puede copiar el disco de plantilla y el certificado en un equipo que ejecute RSAT y ejecutar Protect-TemplateDisk para iniciar el proceso de firma. En el ejemplo siguiente se usa la información de nombre y versión especificada por los parámetros TemplateNamey Version. El VHDX que proporcione al parámetro se sobrescribirá con el disco de plantilla actualizado, así que asegúrese de realizar una copia -Path antes de ejecutar el comando.

# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT

Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0

El disco de plantilla ya está listo para usarse para aprovisionar máquinas virtuales blindadas. Si usa System Center Virtual Machine Manager implementar la máquina virtual, ahora puede copiar el VHDX en la biblioteca VMM.

También puede extraer el catálogo de firmas de volumen del VHDX. Este archivo se usa para proporcionar información sobre el certificado de firma, el nombre del disco y la versión a los propietarios de máquinas virtuales que desean usar la plantilla. Deben importar este archivo en el Asistente para blindar archivos de datos para autorizar a usted, el autor de la plantilla en posesión del certificado de firma, a crear este y futuros discos de plantilla para ellos.

Para extraer el catálogo de firmas de volumen, ejecute el siguiente comando en PowerShell:

Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'

Paso siguiente

Referencias adicionales