Partager via

Ajouter des informations sur l’hôte pour l’attestation approuvée par TPM

Pour le mode TPM, l’administrateur d’infrastructure capture trois types d’informations sur l’hôte, chacun devant être ajouté à la configuration SGH :

  • Un identificateur TPM (EKpub) pour chaque hôte Hyper-V
  • Stratégies d’intégrité du code, liste verte des fichiers binaires autorisés pour les hôtes Hyper-V
  • Une base de référence TPM (mesures de démarrage) qui représente un ensemble d’hôtes Hyper-V qui s’exécutent sur la même classe de matériel

Une fois que l’administrateur de structure a capturé les informations, ajoutez-les à la configuration SGH, comme décrit dans la procédure suivante.

  1. Obtenez les fichiers XML qui contiennent les informations EKpub et copiez-les sur un serveur SGH. Il y aura un fichier XML par hôte. Ensuite, dans une console Windows PowerShell avec élévation de privilèges sur un serveur SGH, exécutez la commande ci-dessous. Répétez la commande pour chacun des fichiers XML.

    Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName>

    Notes

    Si vous rencontrez une erreur lors de l’ajout d’un identificateur TPM concernant un certificat de clé d’approbation (EKCert) non approuvé, vérifiez que les certificats racines TPM approuvés ont été ajoutés au nœud SGH. En outre, certains fournisseurs TPM n’utilisent pas de certificats EK. Vous pouvez vérifier si un EKCert est manquant en ouvrant le fichier XML dans un éditeur comme le Bloc-notes et en recherchant un message d’erreur indiquant qu’aucun certificat EKCert n’a été trouvé. Si c’est le cas et que vous êtes sûr que le TPM de votre ordinateur est authentique, vous pouvez utiliser l’indicateur -Force pour remplacer cette vérification de sécurité et ajouter l’identificateur de l’hôte à SGH.

  2. Obtenez la stratégie d’intégrité du code que l’administrateur d’infrastructure a créée pour les hôtes, au format binaire (*.p7b). Copiez-la sur un serveur SGH. Exécutez ensuite la commande suivante.

    Pour <PolicyName>, spécifiez un nom pour la stratégie CI qui décrit le type d’hôte auquel elle s’applique. Une bonne pratique consiste à le nommer d’après la marque/le modèle de votre machine et toute configuration logicielle spéciale exécutée dessus.
    Pour <Path>, spécifiez le chemin d’accès et le nom de fichier de la stratégie d’intégrité du code.

    Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'

    Notes

    Si vous utilisez une stratégie d’intégrité du code signée, inscrivez une copie non signée de la même stratégie auprès de SGH. La signature sur les stratégies d’intégrité du code est utilisée pour contrôler les mises à jour de la stratégie, mais n’est pas mesurée dans le TPM hôte et ne peut donc pas être attestée par SGH.

  3. Obtenez le fichier journal TCG que l’administrateur d’infrastructure a capturé à partir d’un hôte de référence. Copiez le fichier sur un serveur SGH. Exécutez ensuite la commande suivante. En règle générale, vous nommez la stratégie d’après la classe de matériel qu’elle représente (par exemple, « Révision du modèle fabricant »).

    Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'

Cela conclut le processus de configuration d’un cluster SGH pour le mode TPM. L’administrateur de structure peut avoir besoin que vous fournissiez deux URL à partir de SGH avant que la configuration puisse être effectuée pour les hôtes. Pour obtenir ces URL, sur un serveur SGH, exécutez Get-HgsServer.

Étape suivante

Confirmer l’attestation