Éléments à prendre en compte en matière de filiale
S’applique à : Windows Server 2022, Windows Server 2019
Cet article décrit les bonnes pratiques pour l’exécution de machines virtuelles dotées d’une protection maximale dans des filiales et d’autres scénarios à distance où les hôtes Hyper-V peuvent avoir des périodes de connectivité limitée à HGS.
Configuration de secours
À partir de Windows Server version 1709, vous pouvez configurer un ensemble supplémentaire d’URL du service Guardian hôte sur les hôtes Hyper-V pour une utilisation lorsque votre SGH principal ne répond pas. Cela vous permet d’exécuter un cluster SGH local qui est utilisé comme serveur principal pour de meilleures performances avec la possibilité de revenir au SGH de votre centre de données d’entreprise si les serveurs locaux sont en panne.
Pour utiliser l’option de secours, vous devez configurer deux serveurs SGH. Ils peuvent exécuter Windows Server 2019 ou Windows Server 2016 et faire partie de clusters identiques ou différents. S’il s’agit de clusters différents, vous devez établir des pratiques opérationnelles pour vous assurer que les stratégies d’attestation sont synchronisées entre les deux serveurs. Ils doivent tous deux être en mesure d’autoriser correctement l’hôte Hyper-V à exécuter des machines virtuelles protégées et disposer du matériel clé nécessaire pour démarrer les machines virtuelles dotées d’une protection maximale. Vous pouvez choisir d’avoir une paire de certificats de chiffrement et de signature partagés entre les deux clusters, ou d’utiliser des certificats distincts et de configurer la machine virtuelle protégée par SGH pour autoriser les deux Guardians (paires de certificats de chiffrement/signature) dans le fichier de données de protection.
Ensuite, mettez à niveau vos hôtes Hyper-V vers Windows Server version 1709 ou Windows Server 2019 et exécutez la commande suivante :
# Replace https://hgs.primary.com and https://hgs.backup.com with your own domain names and protocols
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation' -FallbackKeyProtectionServerUrl 'https://hgs.backup.com/KeyProtection' -FallbackAttestationServerUrl 'https://hgs.backup.com/Attestation'
Pour annuler la configuration d’un serveur de secours, omettez simplement les deux paramètres de secours :
Set-HgsClientConfiguration -KeyProtectionServerUrl 'https://hgs.primary.com/KeyProtection' -AttestationServerUrl 'https://hgs.primary.com/Attestation'
Pour que l’hôte Hyper-V passe l’attestation avec les serveurs principal et de secours, vous devez vous assurer que vos informations d’attestation sont à jour avec les deux clusters SGH. En outre, les certificats utilisés pour déchiffrer le module TPM de la machine virtuelle doivent être disponibles dans les deux clusters SGH. Vous pouvez configurer chaque SGH avec des certificats différents et configurer la machine virtuelle pour qu’elle approuve les deux, ou ajouter un ensemble partagé de certificats aux deux clusters SGH.
Pour plus d’informations sur la configuration de SGH dans une filiale à l’aide d’URL de secours, consultez le billet de blog Amélioration de la prise en charge des filiales pour les machines virtuelles dotées d’une protection maximale dans Windows Server, version 1709.
Mode hors connexion
Le mode hors connexion permet à votre machine virtuelle dotée d’une protection maximale de s’activer lorsque SGH n’est pas accessible, tant que la configuration de sécurité de votre hôte Hyper-V n’a pas changé. Le mode hors connexion fonctionne en mettant en cache une version spéciale du protecteur de clé TPM de machine virtuelle sur l’hôte Hyper-V. Le logiciel de protection de clé est chiffré dans la configuration de sécurité actuelle de l’hôte (à l’aide de la clé d’identité de sécurité basée sur la virtualisation). Si votre hôte ne parvient pas à communiquer avec SGH et que sa configuration de sécurité n’a pas changé, il peut utiliser le protecteur de clé mis en cache pour démarrer la machine virtuelle dotée d’une protection maximale. Lorsque les paramètres de sécurité changent sur le système, comme lors de l’application d’une nouvelle stratégie d’intégrité du code ou de la désactivation du démarrage sécurisé, les protecteurs de clés mis en cache sont invalidés et l’hôte doit attester auprès d’un SGH avant que les machines virtuelles dotées d’une protection maximale puissent être redémarrées hors connexion.
Le mode hors connexion nécessite la build 17609 ou ultérieure de Windows Server Insider Preview pour le cluster Service Guardian hôte et l’hôte Hyper-V. Il est contrôlé par une stratégie sur SGH, qui est désactivée par défaut. Pour activer la prise en charge du mode hors connexion, exécutez la commande suivante sur un nœud SGH :
Set-HgsKeyProtectionConfiguration -AllowKeyMaterialCaching:$true
Étant donné que les protecteurs de clés pouvant être mis en cache sont propres à chaque machine virtuelle dotée d’une protection maximale, vous devez arrêter complètement (et non redémarrer) et démarrer vos machines virtuelles dotées d’une protection maximale pour obtenir un protecteur de clé pouvant être mis en cache une fois que ce paramètre est activé sur SGH. Si votre machine virtuelle dotée d’une protection maximale migre vers un hôte Hyper-V exécutant une version antérieure de Windows Server ou obtient un nouveau protecteur de clés à partir d’une version antérieure de SGH, elle ne pourra pas démarrer elle-même en mode hors connexion, mais pourra continuer à s’exécuter en mode en ligne lorsque l’accès à SGH est disponible.