Criar um disco de modelo de VM blindada do Windows

Assim como acontece com VMs regulares, você pode criar um modelo de VM (por exemplo, um modelo de VM no VMM (Virtual Machine Manager)) para facilitar a implantação de novas VMs na malha usando um disco de modelo. Como as VMs blindadas são ativos que precisam de segurança, há etapas adicionais para criar um modelo de VM que dê suporte à blindagem. Este tópico aborda as etapas para criar um disco de modelo blindado e um modelo de VM no VMM.

Para entender como este tópico se encaixa no processo geral de implantação de VMs blindadas, consulte Etapas de configuração de provedor de serviços de hospedagem para hosts protegidos e VMs blindadas.

Preparar um VHDX do sistema operacional

Primeiro prepare um disco do sistema operacional que você executará com o Assistente de Criação de Disco de Modelo Blindado. Esse disco será usado como o disco do sistema operacional nas VMs do locatário. Você pode usar qualquer ferramenta existente para criar esse disco, como o DISM (Desktop Image Service Manager) da Microsoft ou configurar manualmente uma VM com um VHDX em branco e instalar o sistema operacional nesse disco. Ao configurar o disco, ele deve cumprir os seguintes requisitos específicos para VMs blindadas e/ou de geração 2:

Requisitos para VHDX Motivo
Deve ser um disco de tabela de partição GUID (GPT) Necessário para máquinas virtuais de geração 2 para dar suporte à UEFI
O tipo de disco deve ser Básico em vez de Dinâmico.
Observação: isso se refere ao tipo de disco lógico, não ao recurso VHDX de "expansão dinâmica" com suporte do Hyper-V.
O BitLocker NÃO dá suporte a discos dinâmicos.
O disco tem pelo menos duas partições. Uma partição deve incluir a unidade em que o Windows está instalado. Essa é a unidade que o BitLocker criptografará. A outra partição é a partição ativa, que contém o carregador de inicialização e permanece descriptografada para que o computador possa ser iniciado. Necessário para o BitLocker
O sistema de arquivos é NTFS Necessário para o BitLocker
O sistema operacional instalado no VHDX é um dos seguintes:
– Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012
– Windows 10, Windows 8.1, Windows 8
Necessário para dar suporte a máquinas virtuais de geração 2 e ao modelo de Inicialização Segura da Microsoft
O sistema operacional deve ser generalizado (executar sysprep.exe) O provisionamento de modelo envolve a especialização das VMs para a carga de trabalho de um locatário específico

Observação

Se você usa o VMM, não copie o disco de modelo para a biblioteca do VMM nessa fase.

Executar Windows Update no sistema operacional do modelo

No disco de modelo, verifique se o sistema operacional tem todas as atualizações mais recentes do Windows instaladas. As atualizações lançadas recentemente melhoram a confiabilidade do processo de blindagem de ponta a ponta. Esse processo pode não ser concluído se o sistema operacional do modelo não estiver atualizado.

Preparar e proteger o VHDX com o Assistente de Disco de Modelo

Para usar um disco de modelo com VMs blindadas, o disco precisará ser preparado e criptografado com o BitLocker usando o Assistente para criação de disco de modelo blindado. Esse assistente gera um hash para o disco e o adiciona a um VSC (catálogo de assinatura do volume). O VSC é assinado usando um certificado que você especifica e é usado durante o processo de provisionamento para garantir que o disco que está sendo implantado para um locatário não tenha sido alterado ou substituído por um disco que o locatário não confie. Por fim, o BitLocker é instalado no sistema operacional do disco (se ainda não estiver lá) para preparar o disco para criptografia durante o provisionamento da VM.

Observação

O Assistente de Disco de Modelo modificará o disco de modelo especificado in-loco. Talvez você queira fazer uma cópia do VHDX desprotegido antes de executar o assistente para fazer atualizações no disco posteriormente. Não será possível modificar um disco que foi protegido com o Assistente de Disco de Modelo.

Execute as seguintes etapas em um computador que executa o Windows Server 2016, Windows 10 (com Ferramentas de Gerenciamento de Servidor Remoto, RSAT instalado) ou posterior (não precisa ser um host protegido ou um servidor VMM):

  1. Copie o VHDX generalizado criado em Preparar um VHDX do sistema operacional para o servidor, caso ele ainda não esteja lá.

  2. Para administrar o servidor localmente, instale o recurso Ferramentas de VM Blindada das Ferramentas de Administração de Servidor Remoto no servidor.

    Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
    

    Você também pode administrar o servidor de um computador cliente no qual instalou as Ferramentas de Administração de Servidor Remoto do Windows 10.

  3. Você precisa de um certificado para assinar o VSC para o VHDX que se tornará o disco de modelo para as novas VMs blindadas. Os detalhes sobre esse certificado serão mostrados aos locatários quando eles criarem seus arquivos de dados de blindagem e estiverem autorizando discos em que confiam. Portanto, é importante obter esse certificado de uma autoridade de certificação com confiança mútua sua e de seus locatários. Em cenários corporativos em que você é ambos o host e o locatário, considere emitir esse certificado de sua PKI.

    Se você estiver configurando um ambiente de teste e quiser usar apenas um certificado autoassinado para preparar o disco de modelo, execute um comando semelhante ao seguinte:

    New-SelfSignedCertificate -DnsName publisher.fabrikam.com
    
  4. Inicie o Assistente de Disco de Modelo na pasta Ferramentas Administrativas no menu Iniciar ou digite TemplateDiskWizard.exe em um prompt de comando.

  5. Na página Certificado, clique em Procurar para exibir uma lista de certificados. Selecione o certificado com o qual preparar o modelo de disco. Clique em OK e clique em Avançar.

  6. Na página Disco Virtual, clique em Procurar para selecionar o VHDX que você preparou e, em seguida, clique em Avançar.

  7. Na página Catálogo de Assinaturas, forneça um nome de disco amigável e uma versão. Esses campos estão presentes para ajudá-lo a identificar o disco após ele ter sido preparado.

    Por exemplo, para nome do disco, você poderia digitar WS2016 e para Versão, 1.0.0.0

  8. Examine suas seleções na página Examinar Configurações. Quando você clicar em Gerar, o assistente habilitará o BitLocker no disco de modelo, calculará o hash do disco e criará o Catálogo de Assinaturas de Volume, que será armazenado nos metadados do VHDX.

    Aguarde até que o processo de preparação seja concluído antes de tentar montar ou mover o disco de modelo. Esse processo pode levar algum tempo para ser concluído, dependendo do tamanho do disco.

    Importante

    Os discos de modelo só podem ser usados com o processo de provisionamento de VM blindada seguro. A tentativa de inicializar uma VM regular (não blindada) usando um disco de modelo provavelmente resultará em um erro de parada (tela azul) e não tem suporte.

  9. A página Resumo exibe informações sobre o modelo de disco, o certificado usado para assinar o VSC e o emissor do certificado. Clique em Fechar para sair do assistente.

Se você usar o VMM, siga as etapas nas seções restantes neste tópico para incorporar um disco de modelo em um modelo de VM blindada no VMM.

Copiar o disco para a biblioteca do VMM

Ao usar o VMM, depois de criar um disco de modelo, você precisará copiá-lo para um compartilhamento de biblioteca do VMM para que os hosts possam baixar e usar o disco ao provisionar novas VMs. Use o procedimento a seguir para copiar o disco de modelo para a biblioteca do VMM e, em seguida, atualizar a biblioteca.

  1. Copie o arquivo VHDX para a pasta de compartilhamento da biblioteca do VMM. Se você usou a configuração padrão do VMM, copie o disco de modelo para \<\vmmserver>\MSSCVMMLibrary\VHDs.

  2. Atualize o servidor de biblioteca. Abra o espaço de trabalho Biblioteca, expanda Servidores de Biblioteca, clique com o botão direito do mouse no servidor de biblioteca que você deseja atualizar e clique em Atualizar.

  3. Em seguida, forneça ao VMM informações sobre o sistema operacional instalado no disco de modelo:

    a. Localize o disco de modelo recém-importado no servidor de biblioteca no workspace Biblioteca.

    b. Clique com o botão direito do mouse no disco e clique em Propriedades.

    c. No sistema operacional, expanda a lista e selecione o sistema operacional instalado no disco. A escolha de um sistema operacional indica ao VMM que o VHDX não está em branco.

    d. Quando tiver atualizado as propriedades, clique em OK.

O ícone de escudo pequeno ao lado do nome do disco indica que ele foi preparado como um disco de modelo para VMs blindadas. Você também pode clicar com o botão direito do mouse nos cabeçalhos da coluna e alternar a coluna Blindado para ver uma representação textual que indica se um disco se destina a implantações de VM regulares ou blindadas.

Disco de modelo de VM blindada

Criar o modelo de VM blindada no VMM usando o disco de modelo preparado

Com um disco de modelo preparado em sua biblioteca do VMM, você já pode criar um modelo de VM para VMs blindadas. Os modelos de VM para VMs blindadas diferem ligeiramente dos modelos de VM tradicionais, pois determinadas configurações são fixas (VM de geração 2, UEFI e Inicialização Segura habilitadas e assim por diante) e outras não estão disponíveis (a personalização do locatário fica limitada a algumas propriedades selecionadas da VM). Para criar o modelo de VM, execute as seguintes etapas:

  1. No workspace Biblioteca, clique em Criar Modelo de VM na guia inicial na parte superior.

  2. Na página Selecionar Origem, clique em Usar um modelo de VM existente um ou disco rígido virtual armazenado na biblioteca e, em seguida, clique em Procurar.

  3. Na janela exibida, selecione um disco de modelo preparado na biblioteca do VMM. Para identificar com mais facilidade quais discos estão preparados, clique com o botão direito do mouse em um cabeçalho de coluna e habilite a coluna Blindado. Clique em OK e em Avançar.

  4. Especifique um nome de modelo de VM e, opcionalmente, uma descrição e clique em Avançar.

  5. Na página Configurar Hardware, especifique os recursos de VMs criadas com esse modelo. Verifique se pelo menos um NIC está disponível e configurado no modelo de VM. A única maneira de um locatário se conectar a uma VM blindada é por meio da Conexão de Área de Trabalho Remota, do Gerenciamento Remoto do Windows ou de outras ferramentas de gerenciamento remoto pré-configuradas que funcionam em protocolos de rede.

    Se você optar por aproveitar pools de IP estáticos no VMM em vez de executar um servidor DHCP na rede de locatários, precisará alertar seus locatários para essa configuração. Quando um locatário fornece seu arquivo de dados de blindagem, que contém o arquivo autônomo para o VMM, ele precisa fornecer valores de espaço reservado especiais para as informações do pool de IP estático. Para obter mais informações sobre espaços reservados do VMM em arquivos autônomos de locatário, consulte Criar um arquivo de resposta.

  6. Na página Configurar Sistema Operacional, o VMM mostrará apenas algumas opções para VMs blindadas, incluindo a chave do produto (Product Key), o fuso horário e o nome do computador. Algumas informações seguras, como a senha de administrador e o nome de domínio, são especificadas pelo locatário por meio de um arquivo de dados de blindagem (arquivo .PDK).

    Observação

    Se você optar por especificar uma chave do produto (Product Key) nesta página, verifique se ela é válida para o sistema operacional no disco de modelo. Se uma chave do produto (Product Key) incorreta for usada, a criação da VM falhará.

Depois que o modelo é criado, os locatários podem usá-lo para criar outras máquinas virtuais. Você precisará verificar se o modelo de VM é um dos recursos disponíveis para a função de usuário Administrador de Locatários (no VMM, as funções de usuário estão no workspace Configurações).

Preparar e proteger o VHDX usando o PowerShell

Como alternativa à execução do Assistente de Disco de Modelo, você pode copiar o disco e o certificado do modelo para um computador que executa o RSAT e executar Protect-TemplateDisk para iniciar o processo de assinatura. O exemplo a seguir usa as informações de nome e versão especificadas pelos parâmetros TemplateName e Version. O VHDX fornecido ao parâmetro -Path será substituído pelo disco de modelo atualizado, ou seja, faça uma cópia antes de executar o comando.

# Replace "THUMBPRINT" with the thumbprint of your template disk signing certificate in the line below
$certificate = Get-Item Cert:\LocalMachine\My\THUMBPRINT

Protect-TemplateDisk -Certificate $certificate -Path "WindowsServer2019-ShieldedTemplate.vhdx" -TemplateName "Windows Server 2019" -Version 1.0.0.0

O disco de modelo agora está pronto para ser usado no provisionamento de VMs blindadas. Se você estiver usando o System Center Virtual Machine Manager para implantar sua VM, agora poderá copiar o VHDX para sua biblioteca do VMM.

Talvez seja bom extrair o catálogo de assinaturas de volume do VHDX. Esse arquivo é usado para fornecer informações sobre o certificado de autenticação, o nome do disco e a versão aos proprietários de VM que desejam usar seu modelo. Eles precisam importar esse arquivo para o Assistente de Arquivo de Dados de Blindagem para autorizar você, o autor do modelo que possui o certificado de assinatura, a criar esse e futuros discos de modelo para eles.

Para extrair o catálogo de assinatura de volume, execute o seguinte comando no PowerShell:

Save-VolumeSignatureCatalog -TemplateDiskPath 'C:\temp\MyLinuxTemplate.vhdx' -VolumeSignatureCatalogPath 'C:\temp\MyLinuxTemplate.vsc'

Próxima etapa

Referências adicionais