Creación de un disco de plantilla de máquina virtual blindada de Windows
Se aplica a: Windows Server 2022, Windows Server 2016, Windows Server 2019
Al igual que con las máquinas virtuales normales, puede crear una plantilla de máquina virtual (por ejemplo, una plantilla de máquina virtual en Virtual Machine Manager (VMM)) para facilitar a los inquilinos y administradores la implementación de nuevas máquinas virtuales en el tejido mediante un disco de plantilla. Dado que las máquinas virtuales blindadas son recursos sensibles a la seguridad, hay pasos adicionales para crear una plantilla de máquina virtual que admita el blindaje. En este tema se describen los pasos para crear un disco de plantilla blindada y una plantilla de máquina virtual en VMM.
Para comprender cómo encaja este tema en el proceso general de implementación de máquinas virtuales blindadas, consulte Pasos para la configuración del proveedor de servicios de hospedaje para hosts protegidos y máquinas virtuales blindadas.
Preparación de un VHDX del sistema operativo
En primer lugar, prepare un disco del sistema operativo que se ejecutará a través del Asistente para la creación de discos de plantillas blindadas. Este disco se usará como disco del sistema operativo en las máquinas virtuales del inquilino. Para crear este disco se puede usar cualquier herramienta existente, como Microsoft Desktop Image Service Manager (DISM), o bien configurar manualmente una máquina virtual con un VHDX en blanco e instalar el sistema operativo en él. Al configurar el disco, es preciso tener en cuenta que debe cumplir los siguientes requisitos específicos de las máquinas virtuales blindadas o de segunda generación:
| Requisito para VHDX | Motivo |
|---|---|
| Debe ser un disco de tabla de particiones GUID (GPT) | Se necesita para que las máquinas virtuales de segunda generación admitan UEFI |
| El tipo de disco debe ser Básico, en lugar de Dinámico. Nota: esto hace referencia al tipo de disco lógico, no a la característica VHDX de "expansión dinámica" compatible con Hyper-V. |
BitLocker NO admite discos dinámicos. |
| El disco tiene dos particiones como mínimo. Una de ellas debe incluir la unidad en la que está instalado Windows. Esta unidad será cifrada por BitLocker. La otra partición es la activa, que contiene el cargador de arranque y permanece sin cifrar para que el equipo pueda iniciarse. | Necesario para BitLocker |
| El sistema de archivos es NTFS | Necesario para BitLocker |
| El sistema operativo instalado en el VHDX es uno de los siguientes: - Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012 - Windows 10, Windows 8.1 o Windows 8 |
Se necesita para admitir máquinas virtuales de segunda generación y la plantilla de arranque seguro de Microsoft |
| El sistema operativo debe generalizarse (ejecutar sysprep.exe) | El aprovisionamiento de plantillas implica el uso de máquinas virtuales especializadas para la carga de trabajo de un inquilino concreto |
Nota
Si usa VMM, no copie el disco de plantilla en la biblioteca VMM en esta fase.
Ejecución de Windows Update en el sistema operativo de la plantilla
En el disco de plantilla, compruebe que el sistema operativo tiene instaladas todas las actualizaciones de Windows más recientes. Las actualizaciones publicadas recientemente mejoran la confiabilidad del proceso de blindaje de un extremo a otro (un proceso que puede no completarse si el sistema operativo de la plantilla no está actualizado).
Preparación y protección del VHDX con el Asistente para discos de plantilla
Para usar un disco de plantilla con máquinas virtuales blindadas, debe prepararlo y cifrarlo con BitLocker mediante el Asistente para la creación de discos de plantillas blindados. El asistente generará un hash para el disco y lo agregará a un catálogo de firmas de volumen (VSC). El VSC se firma mediante un certificado que especifique y se usa durante el proceso de aprovisionamiento para garantizar que el disco que se implementa en el tejido ni se ha modificado ni se ha reemplazado por un disco que no sea de confianza. Por último, BitLocker se instala en el sistema operativo del disco (si aún no está allí) para prepararlo para el cifrado durante el aprovisionamiento de la máquina virtual.
Nota
El Asistente para discos de plantilla modificará el disco de plantilla que especifique. Es posible que desee realizar una copia del VHDX desprotegido antes de ejecutar el asistente, con el fin de realizar actualizaciones en el disco más adelante. No podrá modificar los discos protegidos con el Asistente para discos de plantilla.
Realice los pasos siguientes en un equipo que ejecuta Windows Server 2016, Windows 10 (con herramientas de administración remota del servidor, RSAT instalado) o posterior (no es necesario ser un host protegido o un servidor VMM):
Copie el VHDX generalizado creado en Preparación de un VHDX de un sistema operativo en el servidor, en caso de que no se encuentre ya en él.
Para administrar el servidor localmente, instale la característica Herramientas de vm blindadas desde Herramientas de administración remota del servidor en el servidor.
Install-WindowsFeature RSAT-Shielded-VM-Tools -RestartTambién puede administrar el servidor desde un equipo cliente en el que haya instalado las Herramientas de administración remota del servidor Windows 10.
Obtenga o cree un certificado para firmar el VSC para el VHDX que actuará como se convertirá en el disco de plantilla de las nuevas máquinas virtuales blindadas. Los detalles sobre este certificado se mostrarán a los inquilinos cuando creen sus archivos de datos de blindaje y autoricen los discos en los que confían. Por lo tanto, es importante obtener este certificado de una entidad de certificación en la que usted y sus inquilinos confían mutuamente. En los escenarios empresariales en los que sea el host y el inquilino, puede considerar la posibilidad de emitir este certificado desde la PKI.
Si va a configurar un entorno de prueba y solo desea usar un certificado autofirmado para preparar el disco de plantilla, ejecute un comando similar al siguiente:
New-SelfSignedCertificate -DnsName publisher.fabrikam.comInicie el Asistente para discos de plantilla desde la carpeta Herramientas administrativas del menú Inicio o escriba TemplateDiskWizard.exe en un símbolo del sistema.
En la página Certificado, haga clic en Examinar para mostrar una lista de certificados. Seleccione el certificado con el que se va a preparar la plantilla de disco. Haga clic en Aceptar y luego en Siguiente.
En la página Disco virtual, haga clic en Examinar para seleccionar el VHDX que ha preparado y, después, haga clic en Siguiente.
En la página Catálogo de firmas, especifique un nombre de disco descriptivo y una versión. Estos campos están presentes para ayudarle a identificar el disco una vez que se ha preparado.
Por ejemplo, como nombre de disco podría escribir WS2016 y como versión, 1.0.0.0
Examine las selecciones en la página Revisar configuración del asistente. Al hacer clic en Generar, el asistente habilitará BitLocker en el disco de plantilla, calculará el hash del disco y creará el catálogo de firmas de volumen, que se almacena en los metadatos de VHDX.
Espere hasta que finalice el proceso de preparación antes de intentar montar o mover el disco de plantilla. En función del tamaño del disco este proceso puede tardar un tiempo en completarse.
Importante
Los discos de plantilla solo se pueden usar con el proceso de aprovisionamiento seguro de máquinas virtuales blindadas. Si se intenta arrancar una máquina virtual normal (sin protección) mediante un disco de plantilla, es probable que se produzca un error de detención (pantalla azul) y no se admita.
En la página Resumen, se muestran información sobre la plantilla de disco, el certificado usado para firmar el VSC y el emisor de certificados. Haga clic en Cerrar para salir del asistente.
Si usa VMM, siga los pasos descritos en las secciones restantes de este tema para incorporar un disco de plantilla a una plantilla de máquina virtual blindada en VMM.
Copie el disco de plantilla en la biblioteca VMM.
Si usa VMM, después de crear un disco de plantilla, tiene que copiarlo en un recurso compartido de biblioteca VMM para que los hosts puedan descargarlo y usarlo al aprovisionar nuevas máquinas virtuales. Use el procedimiento siguiente para copiar el disco de plantilla en la biblioteca VMM y, a continuación, actualizar la biblioteca.
Copie el archivo VHDX en la carpeta del recurso compartido de biblioteca VMM. Si usó la configuración predeterminada de VMM, copie el disco de plantilla en \<\vmmserver>\MSSCVMMLibrary\VHD.
Actualice el servidor de biblioteca. En el área de trabajo Biblioteca, expanda Servidores de biblioteca, haga clic con el botón secundario en el servidor de biblioteca que desee actualizar y, a continuación, haga clic en Actualizar.
A continuación, proporcione a VMM información sobre el sistema operativo instalado en el disco de plantilla:
a. Busque el disco de plantilla recién importado en el servidor de biblioteca en el área de trabajo Biblioteca.
b. Haga clic con el botón secundario en el disco y, a continuación, haga clic en Propiedades.
c. En Sistema operativo, expanda la lista y seleccione el sistema operativo instalado en el disco. Al seleccionar un sistema operativo se indica a VMM que el VHDX no está en blanco.
d. Si ha actualizado las propiedades, haga clic en Aceptar.
El icono de escudo pequeño junto al nombre del disco indica que es un disco de plantilla firmado para máquinas virtuales blindadas. También puede hacer clic con el botón derecho en los encabezados de columna y alternar la columna Blindada para ver una representación textual que indica si un disco está pensado para implementaciones de máquinas virtuales normales o blindadas.
Creación de la plantilla de máquina virtual blindada en VMM mediante el disco de plantilla preparada
Con un disco de plantilla preparado en la biblioteca VMM, está listo para crear una plantilla de máquina virtual para máquinas virtuales blindadas. Las plantillas de máquina virtual para máquinas virtuales blindadas difieren ligeramente de las plantillas de máquina virtual tradicionales en que determinadas opciones de configuración son fijas (máquina virtual de generación 2, UEFI y arranque seguro habilitados, etc.) y otras no están disponibles (la personalización del inquilino se limita a algunas propiedades de la máquina virtual). Para crear la plantilla de máquina virtual, realice los pasos siguientes:
En el área de trabajo Biblioteca, haga clic en Crear plantilla de máquina virtual en la pestaña de inicio de la parte superior.
En la página Seleccionar origen, haga clic en Usar una plantilla de VM o un disco duro virtual existentes almacenados en la biblioteca y, a continuación, haga clic en Examinar.
En la ventana que aparece, seleccione un disco de plantilla preparado de la biblioteca VMM. Para identificar con más facilidad qué discos están preparados, haga clic con el botón derecho en un encabezado de columna y habilite la columna Blindada. Haga clic en Aceptar y, a continuación, en Siguiente.
Especifique un nombre para la plantilla de VM y, opcionalmente, una descripción y, a continuación, haga clic en Siguiente.
En la página Configurar hardware, especifique las funcionalidades de las máquinas virtuales creadas a partir de esta plantilla. Asegúrese de que al menos una NIC está disponible y configurada en la plantilla de máquina virtual. La única manera de que un inquilino se conecte a una máquina virtual blindada es a través de la conexión a Escritorio remoto, la administración remota de Windows u otras herramientas de administración remota preconfiguradas que funcionan a través de protocolos de red.
Si decide aprovechar grupos de direcciones IP estáticas en VMM en lugar de ejecutar un servidor DHCP en la red de inquilinos, deberá alertar a los inquilinos sobre esta configuración. Cuando un inquilino proporciona su archivo de datos de blindaje, que contiene el archivo desatendido para VMM, deberá proporcionar valores de marcador de posición especiales para la información del grupo de direcciones IP estáticas. Para obtener más información sobre los marcadores de posición de VMM en archivos desatendidos de inquilino, consulte Creación de un archivo de respuesta.
En la página Configurar sistema operativo, VMM solo mostrará algunas opciones para máquinas virtuales blindadas, incluida la clave de producto, la zona horaria y el nombre del equipo. El inquilino especifica cierta información segura, como la contraseña del administrador y el nombre de dominio, mediante un archivo de datos de blindaje (archivo .PDK).
Nota
Si decide especificar una clave de producto en esta página, asegúrese de que es válida para el sistema operativo en el disco de plantilla. Si se usa una clave de producto incorrecta, se producirá un error en la creación de la máquina virtual.
Una vez creada la plantilla, los inquilinos pueden usarla para crear nuevas máquinas virtuales. Deberá comprobar que la plantilla de máquina virtual es uno de los recursos disponibles para el rol de usuario Administrador de inquilinos (en VMM, los roles de usuario están en el área de trabajo Configuración).
Preparación y protección del VHDX mediante PowerShell
Como alternativa a ejecutar el Asistente para discos de plantilla, puede copiar el disco de plantilla y el certificado en un equipo que ejecuta RSAT y ejecutar Protect-TemplateDisk para iniciar el proceso de firma.
En el ejemplo siguiente se usa la información de nombre y versión especificada por los parámetros TemplateName y Version.
El VHDX que proporcione al parámetro -Path se sobrescribirá con el disco de plantilla actualizado, por lo que asegúrese de realizar una copia antes de ejecutar el comando.
# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT
Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0
El disco de plantilla ya está listo para ser utilizado y aprovisionar máquinas virtuales blindadas. Si usa System Center Virtual Machine Manager para implementar la máquina virtual, ahora puede copiar el VHDX en la biblioteca VMM.
También puede extraer el catálogo de firmas de volumen de VHDX. Este archivo se usa para proporcionar información sobre el certificado de firma, el nombre del disco y la versión a los propietarios de máquinas virtuales que quieran usar la plantilla. Deben importar este archivo en el Asistente para archivos de datos de blindaje para autorizarle a usted, el autor de la plantilla en posesión del certificado de firma, para que pueda crear este y futuros discos de plantilla para ellos.
Para extraer el catálogo de firmas de volumen, ejecute el siguiente comando en PowerShell:
Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'