VMs blindadas para locatários – Criar um disco de modelo (opcional)

Para criar uma VM blindada, será necessário usar um disco de modelo assinado especialmente preparado. Os metadados dos discos de modelo assinados ajudam a garantir que os discos não sejam modificados após serem criados e permitem que você, como locatário, restrinja quais discos podem ser usados para criar as VMs blindadas. Uma maneira de fornecer esse disco é você, o locatário, criá-lo conforme descrito neste tópico.

Importante

Se preferir, use um disco de modelo fornecido pelo provedor de serviços de hospedagem. Se você fizer isso, é importante implantar uma VM de teste usando esse disco de modelo e executar suas próprias ferramentas (antivírus, verificações de vulnerabilidade e assim por diante) para validar se o disco está, de fato, em um estado em que você confia.

Preparar um VHDX do sistema operacional

Para criar um disco de modelo blindado, primeiro é necessário preparar um disco de SO que será executado por meio do Assistente de Disco de Modelo. Esse disco será usado como o disco de SO em VMs blindadas. Você pode usar qualquer ferramenta existente para criar esse disco, como o DISM (Desktop Image Service Manager) da Microsoft ou configurar manualmente uma VM com um VHDX em branco e instalar o sistema operacional nesse disco. Ao configurar o disco, ele deve cumprir os seguintes requisitos específicos para VMs blindadas e/ou de geração 2:

Requisitos para VHDX Motivo
Deve ser um disco de tabela de partição GUID (GPT) Necessário para máquinas virtuais de geração 2 para dar suporte à UEFI
O tipo de disco deve ser Básico em vez de Dinâmico.
Observação: isso se refere ao tipo de disco lógico, não ao recurso VHDX de "expansão dinâmica" com suporte do Hyper-V.
O BitLocker NÃO dá suporte a discos dinâmicos.
O disco tem pelo menos duas partições. Uma partição deve incluir a unidade em que o Windows está instalado. Essa é a unidade que o BitLocker criptografará. A outra partição é a partição ativa, que contém o carregador de inicialização e permanece descriptografada para que o computador possa ser iniciado. Necessário para o BitLocker
O sistema de arquivos é NTFS Necessário para o BitLocker
O sistema operacional instalado no VHDX é um dos seguintes:
– Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012
– Windows 10, Windows 8.1, Windows 8
Necessário para dar suporte a máquinas virtuais de geração 2 e ao modelo de Inicialização Segura da Microsoft
O sistema operacional deve ser generalizado (executar sysprep.exe) O provisionamento de modelo envolve a especialização das VMs para a carga de trabalho de um locatário específico

Observação

Neste estágio, não copie o disco de modelo para a biblioteca do VMM.

Pacotes necessários para criar um disco de modelo do Nano Server

Se estiver planejando executar o Nano Server como o sistema operacional convidado em VMs blindadas, você deverá garantir que a imagem do Nano Server inclua os seguintes pacotes:

  • Microsoft-NanoServer-Guest-Package
  • Microsoft-NanoServer-SecureStartup-Package

Executar Windows Update no sistema operacional do modelo

No disco de modelo, verifique se o sistema operacional tem todas as atualizações mais recentes do Windows instaladas. As atualizações lançadas recentemente melhoram a confiabilidade do processo de blindagem de ponta a ponta. Esse processo pode não ser concluído se o sistema operacional do modelo não estiver atualizado.

Assinar e proteger o VHDX com o Assistente de Disco de Modelo

Para usar um disco de modelo com VMs blindadas, o disco deverá ser assinado e criptografado com o BitLocker. Para fazer isso, você usará o Assistente de Criação de Disco de Modelo Blindado. Esse assistente gera um hash para o disco e o adiciona a um VSC (catálogo de assinatura do volume). O VSC é assinado usando um certificado que você especifica e é usado durante o processo de provisionamento para garantir que o disco que está sendo implantado para um locatário não tenha sido alterado ou substituído por um disco que o locatário não confie. Por fim, o BitLocker é instalado no sistema operacional do disco (se ainda não estiver lá) para preparar o disco para criptografia durante o provisionamento da VM.

Observação

O Assistente de Disco de Modelo modificará o disco de modelo especificado in-loco. Talvez você queira fazer uma cópia do VHDX desprotegido antes de executar o assistente para fazer atualizações no disco posteriormente. Não será possível modificar um disco que foi protegido com o Assistente de Disco de Modelo.

Execute as seguintes etapas em um computador executando Windows Server 2016 (não precisa ser um host protegido ou o servidor VMM):

  1. Copie o VHDX generalizado criado em Preparar um VHDX do sistema operacional para o servidor, caso ele ainda não esteja lá.

  2. Instale o recurso Ferramentas de VM Blindada em Ferramentas de Administração de Servidor Remoto no computador.

    Install-WindowsFeature RSAT-Shielded-VM-Tools -Restart
    
  3. Você precisa de um certificado para assinar o VHDX que se tornará o disco de modelo para as novas VMs blindadas. Os detalhes sobre esse certificado serão incorporados em um arquivo de dados de blindagem, o qual autoriza o disco como um disco confiável. Portanto, é importante obter esse certificado de uma autoridade de certificação em que você e seu provedor de serviços de hospedagem confiam. Em cenários corporativos em que você é ambos o hoster e o locatário, considere emitir esse certificado de sua PKI.

    Se você estiver configurando um ambiente de teste e quiser usar apenas um certificado autoassinado para assinar o disco de modelo, execute um comando semelhante ao seguinte em seu computador:

    New-SelfSignedCertificate -DnsName publisher.fabrikam.com
    
  4. Inicie o Assistente de Disco de Modelo na pasta Ferramentas Administrativas no menu Iniciar ou digite TemplateDiskWizard.exe em um prompt de comando.

  5. Na página Certificado, clique em Procurar para exibir uma lista de certificados. Selecione o certificado com o qual assinar o modelo de disco. Clique em OK e clique em Avançar.

  6. Na página Disco Virtual, clique em Procurar para selecionar o VHDX que você preparou e, em seguida, clique em Avançar.

  7. Na página Catálogo de Assinaturas, forneça um nome de disco amigável e uma versão. Esses campos estão presentes para ajudá-lo a identificar o disco após ele ter sido assinado.

    Por exemplo, para nome do disco, você poderia digitar WS2016 e para Versão, 1.0.0.0

  8. Examine suas seleções na página Examinar Configurações. Quando você clicar em Gerar, o assistente habilitará o BitLocker no disco de modelo, calculará o hash do disco e criará o Catálogo de Assinaturas de Volume, que será armazenado nos metadados do VHDX.

    Aguarde até que o processo de assinatura seja concluído antes de tentar montar ou mover o disco de modelo. Esse processo pode levar algum tempo para ser concluído, dependendo do tamanho do disco.

  9. A página Resumo exibe informações sobre o modelo de disco, o certificado usado para assinar o modelo e o emissor do certificado. Clique em Fechar para sair do assistente.

Forneça o modelo de disco blindado para o provedor de serviços de hospedagem, juntamente com um arquivo de dados de blindagem criado por você, conforme descrito em Criar dados de blindagem para definir uma VM blindada.

Referências adicionais