Éléments à prendre en compte en matière de filiale

S’applique à : Windows Server 2022, Windows Server 2019

Cet article décrit les meilleures pratiques pour l’exécution de machines virtuelles protégées dans les succursales et dans d’autres scénarios distants où les hôtes Hyper-V peuvent avoir des périodes avec une connectivité limitée à SGH.

Configuration de secours

à compter de Windows Server version 1709, vous pouvez configurer un ensemble supplémentaire d’url de Service Guardian hôte sur les hôtes Hyper-V à utiliser lorsque le sgh principal ne répond pas. Cela vous permet d’exécuter un cluster SGH local qui est utilisé en tant que serveur principal pour de meilleures performances avec la possibilité de revenir au SGH de votre centre de résultats d’entreprise si les serveurs locaux sont en défaillance.

Pour utiliser l’option de secours, vous devez configurer deux serveurs SGH. ils peuvent exécuter Windows Server 2019 ou Windows Server 2016 et faire partie de clusters identiques ou différents. S’il s’agit de clusters différents, vous pouvez établir des pratiques opérationnelles pour vous assurer que les stratégies d’attestation sont synchronisées entre les deux serveurs. Ils doivent tous deux être en mesure d’autoriser correctement l’hôte Hyper-V à exécuter des machines virtuelles dotées d’une protection maximale et de disposer du matériel de clé nécessaire pour démarrer les machines virtuelles protégées. Vous pouvez choisir de disposer d’une paire de certificats de chiffrement partagés et de certificats de signature entre les deux clusters, ou d’utiliser des certificats distincts et de configurer la machine virtuelle dotée d’une protection maximale pour autoriser les deux gardiens (paires de certificats de chiffrement/signature) dans le fichier de données de protection.

ensuite, mettez à niveau vos ordinateurs hôtes Hyper-V vers Windows server version 1709 ou Windows server 2019, puis exécutez la commande suivante :

# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'

Pour annuler la configuration d’un serveur de secours, il suffit d’omettre les deux paramètres de secours :

Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'

Pour que l’hôte Hyper-V réussisse l’attestation avec les serveurs principal et de secours, vous devez vous assurer que les informations d’attestation sont à jour avec les deux clusters SGH. En outre, les certificats utilisés pour déchiffrer le module de plateforme sécurisée de l’ordinateur virtuel doivent être disponibles dans les deux clusters SGH. Vous pouvez configurer chaque SGH avec des certificats différents et configurer la machine virtuelle pour qu’elle approuve les deux, ou ajouter un ensemble partagé de certificats aux deux clusters SGH.

pour plus d’informations sur la configuration de sgh dans une filiale à l’aide d’url de secours, consultez le billet de blog amélioration de la prise en charge des filiales pour les machines virtuelles protégées dans Windows Server, version 1709.

Mode hors connexion

Le mode hors connexion permet à votre machine virtuelle protégée de s’activer quand SGH est inaccessible, tant que la configuration de sécurité de votre hôte Hyper-V n’a pas changé. Le mode hors connexion fonctionne en mettant en cache une version spéciale du protecteur de clé TPM de machine virtuelle sur l’hôte Hyper-V. Le protecteur de clé est chiffré à la configuration de sécurité actuelle de l’hôte (à l’aide de la clé d’identité de sécurité basée sur la virtualisation). Si votre hôte ne peut pas communiquer avec SGH et que sa configuration de sécurité n’a pas changé, il peut utiliser le protecteur de clé mis en cache pour démarrer la machine virtuelle protégée. Lorsque les paramètres de sécurité changent sur le système, par exemple si une nouvelle stratégie d’intégrité du code est appliquée ou si le démarrage sécurisé est désactivé, les protecteurs de clés mis en cache sont invalidés et l’hôte doit attester avec un SGH pour que les machines virtuelles protégées puissent être redémarrées hors connexion.

le mode hors connexion requiert Windows Server insider preview version 17609 ou ultérieure pour le cluster du Service Guardian hôte et l’hôte Hyper-V. Elle est contrôlée par une stratégie sur SGH, qui est désactivée par défaut. Pour activer la prise en charge du mode hors connexion, exécutez la commande suivante sur un nœud SGH :

Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true

Étant donné que les protecteurs de clés pouvant être mis en cache sont uniques à chaque machine virtuelle protégée, vous devez arrêter complètement (sans redémarrer) et démarrer vos machines virtuelles protégées pour obtenir un protecteur de clé pouvant être mis en cache une fois ce paramètre activé sur SGH. si votre machine virtuelle protégée est migrée vers un hôte Hyper-V exécutant une version antérieure de Windows Server, ou si vous obtenez un nouveau protecteur de clé à partir d’une version antérieure de sgh, il ne pourra pas démarrer lui-même en mode hors connexion, mais peut continuer à s’exécuter en mode en ligne quand l’accès à sgh est disponible.