Criação de Template de Máquina Virtual Protegida em um Hyper-V Guarded Fabric

byEduardo Popovici -
0

 

Introdução e Cenário Inicial

Uma Shielded VM (Máquina Virtual Protegida) é um tipo especial de máquina virtual introduzida no Windows Server 2016 e aprimorada em versões posteriores (2019, 2022 e 2025) que tem como principal objetivo proteger a confidencialidade e a integridade das cargas de trabalho virtualizadas contra acessos não autorizados — inclusive de administradores do host ou da infraestrutura de virtualização.

Características principais de uma Shielded VM:

  1. Criptografia do Disco com BitLocker

    • O disco da VM (VHDX) é criptografado automaticamente, impedindo que alguém copie o arquivo e o monte em outro ambiente para extrair dados.

  2. Uso de vTPM (Trusted Platform Module Virtual)

    • Cada Shielded VM possui um TPM virtual, que armazena chaves de criptografia e garante que apenas hosts autorizados possam iniciar a VM.

  3. Isolamento e Validação via Host Guardian Service (HGS)

    • A inicialização da VM só ocorre se o host for atestado (validado) como seguro por meio do HGS, evitando que a máquina rode em servidores comprometidos ou não confiáveis.

  4. Acesso Restrito ao Console

    • O console direto da VM no Hyper-V Manager ou no Failover Cluster Manager é bloqueado, eliminando risco de captura de credenciais ou manipulação direta. O acesso se dá apenas via RDP ou protocolos de rede permitidos.

  5. Proteção contra o Administrador do Host

    • Mesmo um administrador com permissões no servidor Hyper-V não consegue desligar a proteção, descriptografar o disco ou clonar a máquina para outro ambiente sem autorização explícita.

Em resumo:

Uma Shielded VM é uma máquina virtual que roda em um Host Hyper-V Guarded Fabric (infraestrutura protegida com HGS) e utiliza tecnologias como UEFI, Secure Boot, BitLocker e vTPM para assegurar que apenas hosts confiáveis possam executá-la, protegendo dados sensíveis de cargas críticas (como servidores de banco de dados, controladores de domínio e sistemas financeiros).

Leia o Guia de Planejamento de Malha Protegida e VM Blindada para Hosters

Templates de máquina virtual protegida. 

Para implantar um template de máquina virtual protegida (shielded VM) em um ambiente Hyper‑V guarded fabric, é necessário inicialmente compor uma infraestrutura robusta e altamente segura, incluindo o Host Guardian Service (HGS) e os guarded hosts. Posteriormente, deve-se criar um disco-template (template disk) protegido por BitLocker e assinado digitalmente. O procedimento assume que todas as instâncias do Windows Server em uso executam as versões Windows Server 2022 ou Windows Server 2025.

Um Hyper-V Guarded Fabric é uma arquitetura de virtualização segura introduzida pela Microsoft a partir do Windows Server 2016, projetada para oferecer um ambiente protegido onde máquinas virtuais altamente sensíveis — chamadas Shielded VMs — podem ser criadas e executadas com segurança, mesmo em cenários em que administradores de host não são totalmente confiáveis.

Componentes principais de um Guarded Fabric

  1. Guarded Hosts (Servidores Guardados)

    • São servidores Hyper-V que atendem a requisitos rígidos de segurança de hardware e software:

      • TPM 2.0 (Trusted Platform Module).

      • UEFI com Secure Boot habilitado.

      • IOMMU/SLAT para isolamento de memória.

      • Recursos de Virtualization-Based Security (VBS).

    • Esses hosts só podem executar VMs protegidas se forem validados e aprovados pelo Host Guardian Service (HGS).

  2. Host Guardian Service (HGS)

    • Serviço de atestação e liberação de chaves que garante que apenas hosts confiáveis possam inicializar uma Shielded VM.

    • Pode operar em dois modos:

      • TPM-Trusted Attestation: valida integridade do hardware/firmware e medições de boot.

      • Admin-Trusted Attestation: confia em grupos de segurança do Active Directory (menos seguro).

  3. Shielded VMs

    • Máquinas virtuais que rodam nesse ambiente, utilizando vTPM, BitLocker, Secure Boot e políticas de proteção que impedem a clonagem, adulteração ou acesso não autorizado.



Benefícios do Hyper-V Guarded Fabric

  • Proteção contra administradores mal-intencionados: impede que o próprio administrador do host copie discos ou acesse diretamente o console da VM.

  • Integridade do ambiente: só permite que VMs sejam executadas em hosts atestados como íntegros e seguros.

  • Confidencialidade de dados críticos: protege bancos de dados, controladores de domínio, servidores financeiros ou qualquer workload sensível.

  • Conformidade regulatória: ajuda empresas a atender requisitos de segurança e auditoria (GDPR, LGPD, ISO 27001, PCI-DSS, etc.).

Em resumo

Um Hyper-V Guarded Fabric é um ecossistema seguro de virtualização, composto por Guarded Hosts e pelo Host Guardian Service (HGS), que garante que Shielded VMs só sejam executadas em servidores de confiança, oferecendo proteção de ponta contra roubo, adulteração e espionagem de cargas de trabalho críticas.

1. Pré-requisitos e Preparação do Ambiente

a) Host Guardian Service (HGS)

  • Implantação: Configure um cluster HGS com três nós para garantir alta disponibilidade, em uma floresta separada do Active Directory dedicada ao HGS. Recomenda-se que os servidores que o hospedam sejam físicos ou extremamente seguros, com a role Host Guardian Service instalada e atualizações aplicadas.

  • Modo de Atenticação (Attestation): TPM-Based

    • O HGS deve estar configurado para utilizar TPM como raiz de confiança. Nesse modo, ele valida a identidade do host através do TPM 2.0 (chave pública EKpub) e do sequenciamento de boot medido. É necessário capturar o identificador do TPM de cada host Hyper‑V e registrá-lo no trust store do HGS, por meio dos cmdlets Get‑PlatformIdentifier e Add‑HgsAttestationTpmHost.

    • Também devem ser definidos um baseline de medição do boot (PCR) e uma política de integridade de código (CI policy) com os binários permitidos, gerados a partir de um host referência.

b) Requisitos de Hardware e Software nos Hosts Guarded

  • Cada guarded host precisa ter TPM 2.0, firmware UEFI 2.3.1+ com Secure Boot, suporte a IOMMU/SLAT e a role Hyper‑V ativa. Além disso, deve-se instalar o recurso Host Guardian Hyper‑V Support (disponível apenas na edição Datacenter) para garantir a integridade de código via virtualização.

  • Testes em ambiente controlado são recomendados, pois o VBS/CI pode afetar alguns drivers.

c) Configuração da Rede e Integrações

  • Os guarded hosts devem ser integrados ao domínio da fabric e configurados para acessar os servidores HGS por meio de DNS ou regras de encaminhamento entre domínios.

  • Utiliza-se o cmdlet Set‑HgsClientConfiguration para apontar os URLs de atestação e proteção de chave, além de certificar que os hosts conectados obtenham as chaves necessárias apenas após validação bem-sucedida.

2. Criação e Configuração da Máquina Virtual Template (Gen 2)

  1. Geração da VM:

    • Crie uma VM de Geração 2 (necessária para UEFI e suporte a TPM virtual) em um host Hyper‑V (que pode não ser guarded), instale o sistema operacional em um disco VHDX vazio.

  2. Particionamento e Sistema de Arquivos:

    • O VHDX deve ser inicializado com GPT, contendo uma partição de boot EFI (não criptografada) e a partição do sistema que será criptografada com BitLocker. O disco precisa ser básico (não dinâmico), formatado em NTFS — configuração padrão do instalador do Windows.

  3. Configuração do SO:

    • Não adicione a VM ao domínio nem inclua dados sensíveis. Aplique atualizações importantes e instale drivers e softwares utilitários necessários para o template.

  4. Habilitação de Gerenciamento Remoto:

    • Ative o acesso remoto (RDP e/ou WinRM via PowerShell), adaptando o firewall conforme necessário. Evite configurar um IP estático ou parâmetros específicos de máquina, pois serão aplicados via answer file durante a provisionamento

3. Generalização com Sysprep

  • Execute o Sysprep com o comando:

    C:\Windows\System32\Sysprep\Sysprep.exe /oobe /generalize /shutdown

    • Escolha o modo OOBE, marque Generalize e configure para desligar ao final. A VM será desligada ao término e NÃO deve ser reiniciada após isso — isso preserva seu estado generalizado.

4. Instalação das Ferramentas de Shielding e Criação do Shielding Data File (.pdk)

  1. Instalação das Ferramentas de Shielding:

    • Em uma máquina segura (pode ser um servidor com GUI ou Windows 11 com RSAT), instale o recurso RSAT‑Shielded‑VM‑Tools:

      Install-WindowsFeature RSAT-Shielded-VM-Tools -IncludeAllSubFeature

    • Isso instala o Template Disk Wizard (TemplateDiskWizard.exe) e os cmdlets como Protect‑TemplateDisk.

  2. Criação do Arquivo PDK:

    • Use o Shielding Data File Wizard (ShieldingDataFileWizard.exe) em um ambiente seguro para coletar as chaves sensíveis (senha do administrador local, credenciais de ingresso em domínio, certificado RDP, certificados de guardians, assinatura do template).

    • O resultado é um arquivo .pdk criptografado que apenas o proprietário e o HGS autorizado poderão decifrar; administradores da fabric não terão acesso ao seu conteúdo.

5. (Opcional) Preparação de um Shielding Helper VHDX

  • Quando necessário converter uma VM existente ou sem uso do SCVMM, elabora-se um disco Shielding Helper com um OS mínimo:

    1. Crie uma VM Gen 2 com VHDX vazio, instale Windows Server (Server Core é suficiente), defina senha e desligue.

    2. Use o cmdlet:

      Initialize-VMShieldingHelperVHD -Path "C:\VMs\ShieldingHelper.vhdx"

    • Esse processo injeta o agente de provisionamento e o unattend no VHDX, tornando-o um helper disk. Após isso, não reinicie a VM; apenas utilize o disco em outros processos de shielding — ideal para conversão manual de VMs.

6. Preparação do Disco Template e Arquivo PDK no Host Guarded

  • Transfira o .vhdx genérico (template) e o .pdk para o host Hyper‑V (ou volume compartilhado), normalmente para um local como C:\ShieldedVM\templates\.

  • Opcionalmente, valide se a assinatura do template está reconhecida no PDK e se as chaves guardian estão alinhadas com o HGS, garantindo integridade e autorizando o uso durante o provisionamento.

  • Para provisionar uma nova shielded VM, utilize:

    New-ShieldedVM -Name "Finance-App1" `
  -TemplateDiskPath "C:\ShieldedVM\Templates\WS2025-ShieldedTemplate.vhdx" `
  -ShieldingDataFilePath "C:\ShieldedVM\Templates\TenantShieldingData.pdk" -Wait

    • Esse cmdlet automaticamente aplica vTPM, injeta o key protector, monta o helper disk e aplica o unattend. Atenção: o módulo GuardedFabricTools precisa estar instalado, e o host deve ser um guarded host configurado adequadamente.

7. Acesso e Gerenciamento Pós-Deploy

  • Acesso Restrito no Host: O console da VM shielded fica bloqueado (é esperado que apareça tela preta ou erro). O acesso é exclusivamente remoto, pela rede.

  • Operações de Rotina: Inicialização, parada e replicação podem ser realizadas via ferramentas compatíveis com shielded VMs (ex.: backups, checkpoints protegidos).

  • Proteção da VM: Administradores da fabric não conseguem remover o vTPM nem desativar a proteção sem autorização do proprietário da VM.

Leitura adicional:

Instalar o HGS em uma nova floresta | https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-install-hgs-default

Fabric protegido e VMs blindadas | https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-and-shielded-vms-top-node

Capturar informações do modo TPM exigidas pelo HGS | https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-tpm-trusted-attestation-capturing-hardware

Pré-requisitos do host protegido | https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-guarded-host-prerequisites

Revisar os pré-requisitos do HGS | https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-prepare-for-hgs

Criar um disco de modelo de VM blindada do Windows | https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-create-a-shielded-vm-template

VMs protegidas para locatários - Criação de dados de proteção para definir uma VM protegida | https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-tenant-creates-shielding-data

VMs protegidas - Preparando um VHD auxiliar de proteção de VM | https://learn.microsoft.com/en-us/windows-server/security/guarded-fabric-shielded-vm/guarded-fabric-vm-shielding-helper-vhd

Tags:

Postar um comentário

Comente sem faltar com respeito - ;-)

Postagem Anterior Próxima Postagem