Depuis la version 6.7 de VMware vSphere, vous avez la possibilité d'activer la sécurité basée sur la virtualisation (VBS) pour les machines virtuelles dont le système d'exploitation invité est Windows 10 ou Windows Server 2016.
Pour pouvoir activer cette option VBS sur vos machines virtuelles Windows 10 et/ou Windows Server 2016, vous devrez respecter plusieurs pré-requis pour l'hôte.
En effet, le BIOS de la carte mère de l'hôte VMware ESXi doit être configuré de façon à :
De plus, l'hôte doit posséder une puce TPM 2.0 (Trusted Platform Module) pour sécuriser le stockage des identifiants que Windows effectuera via la fonctionnalité VBS.
Source : Introducing support for Virtualization Based Security and Credential Guard in vSphere 6.7
Important : lorsque vous activez l'option "VBS (Virtualization-based Security)" sur une machine virtuelle, vous ne pourrez plus utiliser ces fonctionnalités :
Source : Recommandations sur la sécurité basée sur la virtualisation
Comme indiqué précédemment, l'activation de l'option "VBS (Virtualization-based Security)" sur une machine virtuelle requiert que la carte mère de votre hôte VMware ESXi possède un module de plateforme sécurisée (TPM) 2.0.
Ce qui n'est pas le cas de toutes les cartes mères.
Dans notre cas, notre carte mère "ASUS WS X299 SAGE/10G" possède un module de plateforme sécurisée (TPM 2.0) intégré dans celle-ci.
Si vous avez une carte mère Asus, vous pouvez vérifier sa compatibilité sur la page "[Motherboard] Which ASUS model supports Windows 11 and how to setup TPM 2.0 in BIOS?" du site officiel d'Asus.
Pour commencer, rentrez dans le BIOS de votre carte mère en appuyant sur la touche "Del" (ou "Suppr") au démarrage.
Ensuite, allez dans le mode avancé en cliquant sur : Advanced Mode (F7).
Ensuite, allez dans "Advanced -> CPU Configuration".
Comme vous pouvez le voir, dans notre cas, notre BIOS nous indique que la virtualisation du processeur (Intel VT-x Technology) est supportée.
Pour activer la virtualisation du processeur (Intel VT-x / AMD-V) sur cette carte mère Asus, activez l'option "VMX".
Si vous regardez dans la description de cette option, vous trouverez le mot-clé "Vanderpool Technology" qui est le nom de code de "Intel Virtualization Technology (Intel VT)" comme indiqué dans le PDF "Cover Slide Title - Intel" d'Intel.
Ensuite, allez dans "Advanced -> System Agent (SA) Configuration".
Dans cette section "System Agent (SA) Configuration", activez la virtualisation des entrées / sorties (Intel VT-d / IOMMU) en activant l'option "Intel VT for Directed I/O (VT-d)".
Pour le module TPM 2.0, si votre carte mère Asus le supporte, vous trouverez une section "PCH-FW Configuration" tout en bas de l'onglet "Advanced".
Notez qu'il faut scroller avec la souris pour y accéder, car il risque de ne pas être visible à l'écran par défaut.
Dans cette section "PCH-FW Configuration", vous trouverez une section "PTT Configuration" dans laquelle vous devez rentrer.
Comme vous pouvez le voir, votre carte mère supporte la fonctionnalité PTT, mais cette fonctionnalité est désactivée par défaut.
Plain Text
PTT Capability / State : 1 / 0 PTT : Disable
Intel PTT signifie "Intel Platform Trust Technology", mais dans d'autres cartes mères, cette option peut apparaitre sous d'autres noms : TPM ou Trusted Platform Module.
Activez le support du module de plateforme sécurisée en sélectionnant "Enable" pour l'option "PTT".
L'activation de cette fonctionnalité "PTT" affichera ce message.
Sans rentrer dans les détails, cela indique que la clé du module de plateforme sécurisée sera stockée dans une puce de mémoire flash (Intel ME) se trouvant dans votre processeur et que cela vous permettra de sécuriser le stockage de la clé de chiffrement nécessaire à l'activation de la fonctionnalité BitLocker de Windows.
De plus, la perte de la clé de récupération (recovery key) ou le remplacement de la puce de mémoire morte du BIOS empêchera le déchiffrement des données et celles-ci resteront donc chiffrées (et donc perdues, car illisibles).
Pour plus d'informations concernant ce message, consultez la page "Got a Warning For Enabling Firmware TPM".
Néanmoins, nous n'utiliserons pas BitLocker dans ce cas-ci étant donné que c'est VMware ESXi qui est installé sur notre serveur.
Cliquez sur OK.
Dans notre cas, nous avons un second paramètre nommé "PTP aware OS" qui permet d'indiquer si le système d'exploitation installé sur notre serveur est compatible avec PTP.
PTP correspond à la spécification "TCG PC Client Platform TPM Profile (PTP)" et "TCG" signifie "Trusted Computing Group".
Cette spécification PTP définit l'utilisation d'un TPM (Trusted Platform Module) sur n'importe quelle plateforme (ordinateur, serveur, ...) générique.
Ensuite, allez dans : Boot -> CSM (Compatibility Support Module).
Pour être sûr que votre serveur démarre en mode UEFI, vous devriez désactiver le module "CSM" (qui permet de démarrer en mode "ancien BIOS" ou "LEGACY BIOS").
Pour cela, sélectionnez "Launch CSM : Disabled".
Néanmoins, dans notre cas, cela a posé un problème de compatibilité avec un des composants se trouvant dans notre serveur.
Nous avons donc laissé ce module "CSM" activé. Le plus important étant que l'ordre de démarrage du BIOS soit configuré pour démarrer en mode UEFI sur le disque dur ou le SSD où VMware ESXi est installé.
Notez que la désactivation de ce module "CSM (Compatiblity Support Module)" affichera cet avertissement.
Ce module "CSM (Compatiblity Support Module)" est désactivé (Disabled).
Maintenant, n'oubliez pas d'activer le démarrage sécurisé lié à ce firmware UEFI.
Pour cela, allez dans "Boot -> Secure Boot" et repérez l'option "OS Type".
Dans notre cas, nous pouvons choisir entre "Windows UEFI mode" ou "Other OS".
Etant que le système d'exploitation installé sur notre serveur est "VMware ESXi", nous sélectionnons "Other OS".
Pour finir, dans l'onglet "Boot", repérez la section "Boot Option Priorities" et sélectionnez la version UEFI du disque dur ou SSD où VMware ESXi est installé.
Dans notre cas, VMware ESXi est installé sur notre SSD : Samsung SSD 970 PRO NVMe M.2 512 Go.
Pour finir, sauvegardez les changements effectués dans le BIOS.
Pour cela, allez dans l'onglet "Exit" et cliquez sur : Save Changes & Reset.
Confirmez la sauvegarde des changements en cliquant sur OK.
VMware 25/5/2022
VMware 27/5/2022
VMware 29/6/2022
VMware 9/12/2022
Contenu épinglé
Contact
® InformatiWeb-Pro.net - InformatiWeb.net 2008-2022 - © Lionel Eppe - Tous droits réservés.
Toute reproduction totale ou partielle de ce site est interdite et constituerait une contrefaçon sanctionnée par les articles L.335-2 et suivants du Code de la propriété intellectuelle.
Vous devez être connecté pour pouvoir poster un commentaire