Exporter (0) Imprimer
Développer tout

Sécurisation renforcée des ordinateurs hôtes d'ordinateurs virtuels gérés par VMM

Mis à jour: juillet 2010

S'applique à: Virtual Machine Manager 2008, Virtual Machine Manager 2008 R2, Virtual Machine Manager 2008 R2 SP1

Cette rubrique décrit la configuration requise en matière de sécurité et les recommandations correspondantes dans System Center Virtual Machine Manager (VMM) 2008 et VMM 2008 R2 pour les ordinateurs hôtes d'ordinateurs virtuels exécutant Microsoft Hyper-V, Microsoft Virtual Server et VMware ESX Server. La configuration des ports, protocoles et méthodes d'authentification est en grande partie déterminée par le type d'ordinateur hôte. Ce dernier est basé sur l'emplacement réseau et le type de système d'exploitation exécuté sur l'ordinateur hôte. La première partie de cette rubrique est une description de ces exigences, tandis que la seconde partie décrit les conditions de sécurité requises, spécifiques de VMM pour Hyper-V, Virtual Server et ESX Server.

Conditions de sécurité requises selon le type d'ordinateur hôte

Les conditions de sécurité requises pour les ordinateurs hôtes des ordinateurs virtuels dans VMM varient selon l'emplacement de l'ordinateur hôte et le système d'exploitation sous lequel il fonctionne.

Types d'ordinateurs hôtes dans VMM

Les conditions de sécurité requises varient généralement en fonction des types d'ordinateurs hôtes suivants :

  • Ordinateurs hôtes dans un domaine Active Directory qui ont une relation d’approbation réciproque avec le domaine du serveur VMM

    noteRemarque
    VMM prend en charge la gestion des ordinateurs hôtes et des clusters hôtes dans un espace de noms disjoint dans un domaine qui a une relation d'approbation réciproque avec le domaine du serveur VMM. Pour plus d'informations sur les espaces de noms disjoints, voir Conventions dans Active Directory de nom pour les ordinateurs, domaines, sites et unités d'organisation (http://go.microsoft.com/fwlink/?LinkId=123886).

  • Ordinateurs hôtes Windows Server sur un réseau de périmètre

    Un réseau de périmètre est un réseau distinct de celui d'une organisation et de l'Internet. Il présente les caractéristiques suivantes :

    • il est possible pour des utilisateurs externes d'accéder à des ordinateurs spécifiques situés sur ce réseau ;

    • il permet de bloquer l'accès aux ordinateurs du réseau interne de l'organisation ;

    • sa configuration peut être définie de façon à permettre un accès limité des utilisateurs du réseau interne à des ordinateurs situés sur le réseau de périmètre.

    Par exemple : un réseau de périmètre peut inclure le serveur Web de l'organisation afin qu'il transmette les données de contenu Web vers l'Internet. Le réseau de périmètre ne permet toutefois pas aux utilisateurs externes d'accéder aux données privées de la société qui se trouvent sur des ordinateurs du réseau interne. Même lorsqu'un utilisateur externe pénètre dans les zones sécurisées du réseau de périmètre, seuls les serveurs du réseau de périmètre sont exposés à risque.

    Vous pouvez déployer des ordinateurs virtuels sur un ordinateur hôte d'un réseau de périmètre à partir du réseau interne. Cependant, une fois ce déploiement effectué, vous ne pouvez pas migrer ces ordinateurs virtuels de nouveau vers un ordinateur hôte du réseau interne ou sur un autre ordinateur hôte du réseau de périmètre.

    Le réseau de périmètre étant distinct du réseau interne, la sécurité d'un ordinateur hôte d'un réseau de périmètre doit être mise en place au moyen d'un compte de service local.

  • Ordinateurs hôtes dans un domaine Active Directory non approuvé

    Dans le cas d'un ordinateur hôte Windows Server dans un domaine Active Directory qui n'a pas de relation d’approbation réciproque avec le domaine du serveur VMM, VMM utilise les mêmes méthodes d'authentification et de chiffrement que pour un ordinateur hôte Windows Server sur un réseau de périmètre. C'est pourquoi les conditions de sécurité requises pour ces deux topologies seront traitées ensemble.

  • Ordinateurs hôtes qui ne fonctionnent pas sous Windows Server

    Dans un environnement VMware Infrastructure 3 (VI3) géré, les ordinateurs hôtes non-Windows Server ont d'autres exigences de sécurité que les ordinateurs hôtes Windows Server. Elles seront, par conséquent, traitées séparément.

Les sections suivantes donnent une description des conditions de sécurité requises pour les ordinateurs hôtes Windows Server et non-Windows Server. Pour une comparaison rapide des fonctionnalités de sécurité de chaque type d'ordinateur hôte décrit ci-dessus, voir le tableau de synthèse Comparison of VMM Security Requirements by Host Type, à la fin de cette section.

Ports et protocoles pour les ordinateurs hôtes Windows Server

Pour les ordinateurs hôtes Windows Server, l'emplacement de l'ordinateur hôte n'a aucune incidence sur les transferts de fichiers ou les communications clientes. Toutefois, le transfert de données de contrôle entre le serveur VMM et un ordinateur hôte est géré et sécurisé différemment.

Données de contrôle

Pour les ordinateurs hôtes Windows exécutant Hyper-V ou Windows Server, VMM utilise le protocole du service Gestion des services Web pour transférer les données de contrôle. Le service Gestion des services Web est un protocole HTTP dont le port de connexion est 80 par défaut. WinRM (Windows Remote Management), l'implémentation Microsoft du protocole Gestion des services Web, gère l'authentification et le chiffrage de façon interne.

La méthode d'authentification utilisée dépend de l'emplacement de l'ordinateur hôte :

  • Domaine Active Directory approuvé : pour les ordinateurs hôtes Windows dans un domaine Active Directory qui ont une relation d’approbation réciproque avec le domaine du serveur VMM, l'authentification est effectuée à l'aide de Kerberos.

  • Domaine Active Directory non approuvé ou réseau de périmètre : pour les ordinateurs hôtes Windows Server dans un domaine Active Directory non approuvé ou sur un réseau de périmètre, l'agent VMM utilise NTLM pour l'authentification et un certificat signé par une autorité de certification installé sur l'ordinateur hôte pendant l'installation de l'agent pour chiffrer les communications entre VMM et l'ordinateur hôte. Les informations d’identification sont créées de façon aléatoire et prennent en charge l'authentification mutuelle.

    Un ordinateur hôte sur un réseau de périmètre requiert une installation locale de l'agent VMM. L'ordinateur hôte doit ensuite être ajouté à VMM à l'aide de l'Assistant Ajouter des ordinateurs, afin de renseigner les informations d'identification et de récupérer le certificat et la clé publique générés pendant l'installation de l'agent. Toute mise à jour de l'agent VMM sur un ordinateur hôte d'un réseau de périmètre requiert également l'installation manuelle d'un agent, suivie de la mise à jour des informations d'identification de l'ordinateur hôte dans VMM.

    Dans un domaine Active Directory non approuvé, l'installation locale ou la mise à jour de l'agent VMM n'est pas nécessaire. VMM installe l'agent lorsque l'ordinateur hôte est ajouté à VMM.

Transferts de fichiers

Pour toutes les opérations de transfert de fichiers entre les ordinateurs hôtes Windows Server, VMM utilise le protocole BITS 2.5. Celui-ci est chiffré à l'aide de SSL (Secure Sockets Layer) sur le port par défaut 443. Le numéro de port ne doit pas dépasser 32768.

Si vous avez opté pour une autre forme de chiffrement, telle que IPsec, ou que vous avez sécurisé votre environnement virtuel d'une autre façon, vous pouvez tirer parti de la nouvelle option de VMM 2008 R2. Celle-ci permet les transferts de fichiers non chiffrés pour les groupes hôtes et les serveurs de bibliothèque individuels. En effet, les transferts de fichiers non chiffrés peuvent améliorer les performances lors de la création et la migration d'ordinateurs virtuels. Pour que cette option puisse être utilisée, les transferts de fichiers non chiffrés doivent être autorisés sur l'ordinateur source ainsi que sur l'ordinateur cible. Il s'agit pour ce faire, de mettre à jour les propriétés du groupe hôte. Pour une procédure, voir Modification des propriétés d'un groupe hôte (http://go.microsoft.com/fwlink/?LinkID=162967).

CautionAttention
Pour garantir l'intégrité des données contenues dans vos domaines Active Directory approuvés, ne migrez pas d'ordinateurs virtuels d'un ordinateur hôte situé sur un réseau de périmètre ou dans un domaine Active Directory qui n'a pas de relation d'approbation réciproque avec le domaine qui contient le serveur VMM, vers un ordinateur hôte dans un domaine Active Directory approuvé. Ne transférez pas non plus de données ou de fichiers de ces ordinateurs hôtes vers un ordinateur hôte ou un serveur de bibliothèque situé dans un domaine Active Directory approuvé.

Lorsqu'un ordinateur hôte se trouve sur un réseau de périmètre ou dans un domaine Active Directory non approuvé, VMM utilise le protocole NTLM pour les communications entre VMM et l'ordinateur hôte. Avec ce protocole, le serveur VMM est authentifié auprès de l'ordinateur hôte à l'aide des informations d'identification d'utilisateur local de l'ordinateur hôte. Ces informations ont été fournies pendant l'installation de l'agent VMM et transférées de façon sécurisée sur le serveur VMM. Toutefois, l'ordinateur hôte ne s'authentifie pas auprès de VMM sur ce canal.

Lors des transferts BITS avec le protocole HTTPS qui surviennent pendant les migrations d'ordinateurs virtuels, si l'ordinateur hôte source se trouve sur un réseau de périmètre ou dans un domaine Active Directory non approuvé, il utilise son propre certificat pour s'authentifier. Cependant, l'ordinateur hôte cible ne peut pas être authentifié. L'ordinateur hôte cible n'étant pas authentifié sur les protocoles NTLM ou BITS, le serveur VMM et l'ordinateur hôte sont exposés à des risques d'attaques par usurpation.

Communications clientes

Pour les connexions à des clients, VMM utilise Windows Communication Foundation (WCF) via le port par défaut 8100. WCF utilise TCP en interne et le chiffrement est activé. Kerberos est utilisé pour l'authentification.

Au cours du processus d'autorisation, VMM vérifie le type de client, l'ensemble des appartenances aux groupes Active Directory et aux rôles d'utilisateur dans VMM. Les paramètres de rôles d'utilisateur déterminent les opérations que VMM effectuera sur des objets au nom de l'utilisateur, dans le cadre de l’étendue des rôles d’utilisateur. Pour plus d'informations, voir Sécurité des rôles dans VMM.

Ports et protocoles pour les ordinateurs hôtes non-Windows Server

ImportantImportant
Cette section donne un récapitulatif des conditions de sécurité requises dans VMM pour les ordinateurs hôtes qui n'exécutent pas Windows Server. Le but est de fournir un aide-mémoire permettant de comparer les exigences en matière de sécurité pour l'ensemble des types d'ordinateurs hôtes gérés par VMM. Pour des instructions sur la configuration de la sécurité pour les ordinateurs hôtes autres que Windows Server, voir Configuration de la sécurité d'un environnement VMware géré dans VMM.

Données de contrôle

Pour les ordinateurs hôtes non-Windows Server gérés par un serveur VMware VirtualCenter, VMM effectue les tâches de gestion prises en charge en communiquant avec le serveur VirtualCenter. Pour ces communications, VMM utilise le protocole WebServices sur le port par défaut 443. Ce protocole est basé sur HTTPS et utilise SSL (Secure Sockets Layer) pour le chiffrement des données. L'authentification est basée sur les informations d'identification fournies lors de l'ajout du serveur VirtualCenter à VMM.

Par défaut, VMM gère les environnements VMware en mode sécurisé. Les ordinateurs hôtes ESX Server doivent en conséquence être authentifiés pour les communications avec tous les protocoles. Si votre environnement ne requiert pas ce niveau d'authentification, vous pouvez désactiver ce mode lors de l'ajout du serveur VirtualCenter à VMM.

Transferts de fichiers

Pour procéder aux opérations de transfert de fichiers, VMM se connecte directement aux ordinateurs hôtes ESX Server. Pour procéder aux transferts de fichiers entre des ordinateurs hôtes exécutant des versions non incorporées d'ESX Server et des ordinateurs Windows Server, VMM doit disposer des informations d'identification de compte délégué d'ordinateur virtuel dans ESX Server. Si vous utilisez les informations d’identification racine en tant que délégué, vous devez activer la connexion racine SSH sur l’ordinateur hôte. Pour plus de sécurité, vous pouvez configurer un compte de plus faible privilège comme compte délégué d'ordinateur virtuel dans ESX Server. Le compte doit être doté de droits et d'autorisations d'administration dans ESX Server.

Si vous gérez votre environnement VMware en mode sécurisé, l'authentification du certificat est également requise pour les ordinateurs hôtes ESX Server. En outre, pour les versions non incorporées d'ESX Server, vous devez fournir une clé publique RSH.

VMM utilise un protocole de transfert de fichiers différent pour les versions incorporées et non incorporées d'ESX Server :

  • Pour les versions incorporées d'ESX Server (y compris pour VMware® ESX Server 3i), VMM utilise HTTPS sur le port par défaut 443. En mode sécurisé, le chiffrement SSL (Secure Sockets Layer) requiert l'authentification du certificat.

  • Pour les versions non incorporées d'ESX Server (VMware® ESX Server 3.5, VMware® ESX Server 3.0.2), VMM utilise SFTP sur le port par défaut 22. En mode sécurisé, le chiffrement SSH (Secure Shell) requiert l'authentification de la clé publique RSA.

Lorsque vous ajoutez un serveur VirtualCenter à VMM, VMM ajoute les ordinateurs hôtes ESX Server. Leur état a pour valeur OK (Limité) jusqu'à ce que vous fournissiez les informations de sécurité requises pour chaque ordinateur hôte. Lorsque l'état de l'ordinateur hôte a pour valeur OK (Limité), l'administrateur VMM ne peut pas effectuer d'actions qui requièrent des transferts de fichiers entre l'ordinateur hôte et des ordinateurs Windows Server. Pour obtenir une liste des actions autorisées sur les ordinateurs hôtes dont l'état est OK (Limité) et qui sont en gestion complète, voir Actions prises en charge pour les ordinateurs virtuels hébergés sur les ordinateurs hôtes ESX Server (http://go.microsoft.com/fwlink/?LinkID=134489).

Comparaison des conditions de sécurité requises dans VMM en fonction du type d'ordinateur hôte

Le tableau suivant offre un récapitulatif des conditions de sécurité requises pour chaque type d'ordinateur hôte dans VMM.

 

Paramètres de sécurité Ordinateur hôte Windows Server dans un domaine Active Directory approuvé Ordinateur hôte Windows Server dans un domaine non approuvé ou sur un réseau de périmètre Ordinateur hôte non-Windows Server

Type de connexion : données de contrôle

  • Protocole : Gestion des services Web

  • Port par défaut : 80

  • Chiffrement : Kerberos

  • Authentification : Kerberos

  • Protocole : Gestion des services Web

  • Port par défaut : 80

  • Chiffrement : NTLM, à l'aide des informations d'identification générées lors de l'installation de l'agent VMM

  • Authentification : l'authentification de l'ordinateur hôte est effectuée à l'aide des informations d'identification générées sur l'ordinateur hôte lors de l'installation de l'agent VMM.

Remarque   Pour implémenter une authentification du client sur un réseau de périmètre, il convient de configurer IPSec entre l'Intranet et le réseau de périmètre.

  • Protocole : WebServices

  • Port par défaut : 443

  • Chiffrement : HTTPS avec SSL

  • Authentification : utilise les informations d'identification fournies lors de l'ajout de l'ordinateur hôte à VMM et, si nécessaire, un certificat et une clé publique.

Type de connexion : transferts de fichiers

  • Protocole : BITS 2.5

  • Port par défaut : 443 (valeur maximale : 32768)

  • Chiffrement : Kerberos.

  • Authentification : SSL avec certificats auto-signés (la source et la destination étant toutes deux approuvées, les certificats sont automatiquement distribués via WinRM).

  • Protocole : BITS 2.5

  • Port par défaut : 443 (valeur maximale : 32768)

  • Chiffrement : Kerberos

  • Authentification : SSL avec certificats auto-signés, distribués automatiquement via WinRM.

ESX Server incorporé (y compris VMware® ESX Server 3i) :

  • Protocole : HTTPS

  • Port par défaut : 443

  • Chiffrement : oui

  • Authentification : requiert les informations d'identification d'un compte délégué d’ordinateur virtuel dans ESX Server. En mode sécurisé, requiert l'authentification du certificat.

ESX Server non incorporé (VMware® ESX Server 3.5, VMware® ESX Server 3.0.2) :

  • Protocole : SFTP

  • Port par défaut : 22

  • Chiffrement : oui

  • Authentification : requiert les informations d'identification d'un compte délégué d’ordinateur virtuel dans ESX Server. En mode sécurisé, requiert un certificat et une clé publique SSH.

Exigences relatives aux comptes dans VMM

Compte de domaine avec droits d'administration sur l'ordinateur hôte.

Compte local avec droits d'administration sur l'ordinateur hôte.

Serveur VirtualCenter : VMM doit se connecter sous un compte qui est membre du rôle Administrateur dans VirtualCenter. Il n'est pas nécessaire de disposer d'un compte de domaine. Utilisez un compte dédié, qui n'est pas utilisé par un autre utilisateur.

Ordinateurs hôtes ESX Server : pour procéder aux opérations de transferts de fichiers entre l'ordinateur hôte et des ordinateurs Windows Server, VMM doit disposer des informations d'identification d'un compte délégué d'ordinateur virtuel dans ESX Server.

  • Compte par défaut : racine. (La connexion racine SSH doit être activée.)

  • Scénario du compte à faible privilège (stade expérimental) : substitution d'un compte de plus faible privilège et qui dispose de droits et d'autorisations d'administration dans ESX Server.

Important   Vous devez utiliser le même compte délégué d'ordinateur virtuel (par défaut, vimuser) sur tous les ordinateurs hôtes ESX Server 3i qui utilisent le magasin de données NFS.

Installation de l'agent

Utilisez l'Assistant Ajouter des ordinateurs hôtes pour installer un agent et ajouter un ordinateur hôte à VMM.

Vous pouvez aussi installer l'agent localement en sélectionnant l'option d'installation correspondante, puis utiliser l'Assistant Ajouter des ordinateurs hôtes pour ajouter l'ordinateur hôte et fournir des informations d'identification.

Périmètre du réseau : requiert une installation locale de l'agent VMM sur l'ordinateur hôte. Par défaut, l'installation génère un certificat auto-signé qui servira lors du chiffrement des communications entre VMM et l'ordinateur hôte. Une fois l'installation de l'agent terminée, utilisez l'Assistant Ajouter des ordinateurs hôtes pour découvrir l'ordinateur hôte. C'est à cette étape que vous pouvez substituer un certificat signé par une autorité de certification.

Domaine non approuvé : l'Assistant Ajouter des ordinateurs hôtes installe l'agent à distance. L'installation génère un certificat auto-signé qui servira lors du chiffrement des communications entre VMM et l'ordinateur hôte.

Aucun agent VMM n'est installé sur un ordinateur hôte ESX Server. VMM achemine l'ensemble des opérations, à l'exception des transferts de fichiers, via le serveur VirtualCenter.

Restrictions

Non applicable.

Les ordinateurs virtuels déployés sur un ordinateur hôte qui se trouve sur un réseau de périmètre ne peuvent pas être migrés vers des ordinateurs hôtes sur le réseau interne ou sur le réseau de périmètre.

Ces restrictions ne s'appliquent pas aux ordinateurs hôtes situés dans un domaine non approuvé.

  • Lorsqu'un serveur VirtualCenter est ajouté à VMM, l'état des ordinateurs hôtes ESX Server a pour valeur OK (Limité) tant que la sécurité n'est pas configurée pour ces ordinateurs hôtes. Pour obtenir une liste d'actions prises en charge, voir Actions prises en charge pour les ordinateurs virtuels hébergés sur les ordinateurs hôtes ESX Server (http://go.microsoft.com/fwlink/?LinkID=134489).

  • Les ordinateurs virtuels VMware peuvent être migrés uniquement vers d'autres ordinateurs hôtes gérés par le même serveur VirtualCenter.

Sécurité lors du déploiement de l'agent

Lorsque vous ajoutez un ordinateur hôte d’ordinateur virtuel ou un serveur de bibliothèque à VMM, VMM installe à distance un agent VMM sur l’ordinateur géré. Le processus de déploiement de l’agent VMM utilise les ports SMB (Server Message Block), ainsi que le port RPC (Remote Procedure Call) (TCP 135) et l’étendue de ports DCOM. Vous pouvez utiliser la signature de paquet SMB ou IPSec pour contribuer à la sécurisation du processus de déploiement de l'agent.

Vous pouvez installer l'agent VMM localement sur un ordinateur hôte, détecter l'ordinateur en ajoutant l'ordinateur hôte à VMM, puis contrôler l'ordinateur hôte uniquement à l'aide du port de Gestion des services Web (port par défaut : 80) et du port BITS (port par défaut : 443).

Un ordinateur hôte sur un réseau de périmètre requiert une installation locale de l'agent VMM. L'installation génère un certificat auto-signé qui servira lors du chiffrement des communications entre VMM et l'ordinateur hôte. Vous pouvez substituer un certificat d’une autorité de certification provenant d'une source approuvée lorsque vous ajoutez l'ordinateur hôte à l'aide de l’Assistant Ajouter des ordinateurs hôtes. Toutes les mises à jour de l'agent doivent être effectuées localement sur l'ordinateur hôte avant de procéder à la mise à jour de l'agent dans VMM.

L'ajout d'un cluster hôte peut nécessiter une configuration supplémentaire :

  • Lorsqu'un cluster hôte ou un serveur de bibliothèque à haut niveau de disponibilité est ajouté à VMM 2008, le port 135 (port DCOM) doit être ouvert sur l'ordinateur cible (le nœud de cluster spécifié dans l'Assistant Ajouter des ordinateurs hôtes ou Ajouter un serveur de bibliothèque) pour permettre à VMM d'envoyer les appels WMI distants vers cet ordinateur. Le port doit uniquement être ouvert au moment de l'ajout du cluster à VMM. Pour plus d'informations, voir Connecting to WMI Remotely Starting with Windows Vista (connexion au démarrage à distance via WMI avec Windows Vista) (http://go.microsoft.com/fwlink/?LinkId=153786).

  • Avant de pouvoir ajouter un cluster hôte qui se trouve dans un espace de noms disjoint à un serveur VMM qui lui ne se trouve pas dans un tel espace, vous devez ajouter le suffixe DNS du cluster hôte aux paramètres de connexion TCP/IP sur le serveur VMM.

Exigences relatives aux comptes pour l'ajout et la suppression d'ordinateurs hôtes

Lorsque vous ajoutez ou supprimez des ordinateurs hôtes Hyper-V ou Virtual Server, vous ne pouvez pas utiliser comme compte de domaine, celui qui sert de compte de service VMM.

Lors de l'ajout d'un ordinateur hôte, VMM ajoute le compte de service VMM au groupe Administrateurs local sur l'ordinateur hôte et utilise ce compte pour les communications avec l'ordinateur hôte. Au cours de l'ajout d'un ordinateur hôte, si l'installation de l'agent échoue, VMM doit être en mesure d'annuler le processus et de supprimer l'agent VMM sur l'ordinateur hôte. Si l'administrateur utilisait le même compte servant à exécuter VMM, l'annulation échouerait.

Pour supprimer un ordinateur hôte, VMM devrait alors supprimer le compte de service VMM du groupe Administrateurs local sur l'ordinateur hôte. Cela aurait pour conséquence une perte de communication avec l'ordinateur hôte et l'échec de la suppression de l'ordinateur hôte.

Pour cette raison, VMM bloque l'utilisation du compte de domaine afin qu'il ne soit pas utilisé comme compte de service VMM pendant l'ajout et la suppression d'ordinateurs hôtes.

Ressources supplémentaires

Considérations relatives à la sécurité pour les ordinateurs hôtes Hyper-V, Virtual Server et ESX Server

Cette section décrit les conditions de sécurité requises dans VMM qui sont spécifiques du type de logiciel de virtualisation (Hyper-V, Virtual Server, ou ESX Server) exécuté sur l'ordinateur hôte. Votre première ligne de défense des ordinateurs hôtes consiste à suivre les recommandations en matière de sécurité pour Hyper-V, Virtual Server et ESX Server.

Considérations relatives à la sécurité dans VMM pour les ordinateurs hôtes Hyper-V

Procédez aux tâches de configuration de sécurité suivantes pour les ordinateurs hôtes Hyper-V gérés par VMM.

Utiliser les rôles d'utilisateur VMM plutôt que les définitions de rôle Hyper-V

Si vous utilisez VMM pour gérer les ordinateurs hôtes Hyper-V, l'utilisation de l'administration déléguée dans VMM vous sera nécessaire pour configurer les autorisations que vous avez préalablement attribuées par les définitions de rôle Hyper-V.

VMM utilise sa propre sécurité des rôles pour autoriser les opérations effectuées sur les ordinateurs virtuels. En plus du rôle d'utilisateur Administrateur, cela inclut les rôles d'utilisateur Administrateur délégué, permettant ainsi d'accéder à la quasi-totalité des tâches de gestion au sein des groupes hôtes et serveurs de bibliothèque, telles que définies dans l'étendue des rôles. Vous pouvez également créer des rôles d'utilisateur libre-service : ceux-ci permettent la définition d'un jeu d'opérations spécifiques que les utilisateurs peuvent effectuer sur leurs propres ordinateurs virtuels dans un environnement restreint. Pour plus d'informations sur les rôles d'utilisateur VMM, voir Sécurité des rôles dans VMM.

La sécurité Hyper-V est basée sur l'API AZMan (Authorization Manager). De la même façon qu'avec le modèle d'administration déléguée de VMM, un administrateur peut configurer un jeu d'objets rôles et attribuer les comptes d’utilisateur ou de groupe Active Directory à ces rôles. À chaque rôle peut être accordé un ensemble d'autorisations relatives à l'accès aux ordinateurs virtuels et à leur gestion. Des objets sécurisables peuvent également être attribués aux étendues, ce qui permet de définir quels objets doivent être soumis à des vérifications d'accès. Lorsqu'un ordinateur hôte Hyper-V est ajouté à VMM, VMM applique sa propre couche d'autorisation (définie par les rôles d'utilisateur VMM) afin de désigner quelles actions les administrateurs VMM et les utilisateurs libre-service peuvent effectuer sur les ordinateurs virtuels Hyper-V lorsqu'ils travaillent dans VMM. Pour ce faire, VMM crée son propre magasin d'autorisations AZMan sur l'ordinateur hôte. Dans VMM 2008 R2, la méthode d'implémentation des rôles d'utilisateur dans AZMan a été modifiée pour préserver les définitions et les appartenances de rôle dans l'étendue racine du magasin d'autorisations Hyper-V pendant que VMM gère l'ordinateur hôte Hyper-V. Dans VMM 2008, les rôles Hyper-V ne sont pas utilisés pendant qu'un ordinateur hôte est géré par VMM.

Autorisations pour les ordinateurs virtuels Hyper-V dans VMM 2008 R2

VMM 2008 R2 préserve les modifications apportées aux définitions et aux appartenances de rôle dans l'étendue racine du magasin d'autorisations Hyper-V. En revanche, l'agent VMM remplace tous les changements apportés aux autres étendues. Par conséquent, lorsqu'un ordinateur hôte Hyper-V est géré par VMM 2008 R2, l'accès est déterminé par l'union de tous les rôles dans l'étendue racine, ainsi que par le rôle VMM attribué à chaque étendue d'ordinateur virtuel.

VMM 2008 R2 apporte les modifications suivantes aux magasins d'autorisations pendant l'installation de l'agent sur un ordinateur Hyper-V :

  1. VMM crée son propre magasin d'autorisations AZMan (HyperVAuthStore.xml, stocké dans le dossier %ProgramData%\Microsoft Virtual Machine Manager). Celui-ci stocke les rôles et les appartenances qui servent à autoriser l'accès aux ordinateurs virtuels et leur gestion via VMM.

  2. VMM met à jour l'entrée du Registre HKLM\Software\Microsoft\Windows NT\CurrentVersion\Virtualization sur l'ordinateur hôte Hyper-V afin de pointer Hyper-V vers le magasin d'autorisations VMM.

  3. VMM importe dans le magasin d'autorisations VMM les rôles d'utilisateur et les appartenances de rôle dans l'étendue racine du magasin d'autorisations initialstore.xml Hyper-V.

Après l'installation de l'agent VMM, l'actualisateur de rôles d'utilisateur VMM remplace tous les changements apportés aux étendues autres que l'étendue racine toutes les demi-heures. Cependant, VMM préserve les définitions et les appartenances de rôle qui sont ajoutés par la suite à l'étendue racine.

Lorsqu'un ordinateur hôte Hyper-V est supprimé de VMM 2008 R2, au lieu de pointer Hyper-V de nouveau vers initialstore.xml, VMM enregistre une copie du magasin d'autorisations VMM sur l'ordinateur Hyper-V, supprime de cette copie tous les rôles d'utilisateur et étendues qui étaient définis dans VMM, puis pointe Hyper-V vers ce magasin.

Autorisations pour les ordinateurs virtuels Hyper-V dans VMM 2008

Lorsqu'un ordinateur Hyper-V est ajouté à VMM 2008, VMM crée son propre magasin d'autorisations, sans importer aucun paramètre de rôle ou d'appartenance du magasin initialstore.xml de l'ordinateur Hyper-V. Il met ensuite à jour le Registre afin que Hyper-V pointe vers le magasin d'autorisations VMM.

VMM 2008 ne modifie pas les définitions de rôle Hyper-V existantes : il se contente de les ignorer. Lorsqu'un ordinateur hôte Hyper-V est supprimé de VMM 2008, le Registre est mis à jour afin de pointer Hyper-V de nouveau vers le magasin d'autorisations Hyper-V d'origine.

noteRemarque
Dans un environnement Hyper-V, la version précommerciale de VMM 2008 R2 ne prend pas en charge l'utilisation de fichiers image ISO en partage lors de la création d'ordinateurs virtuels Hyper-V. Par défaut, lorsqu'un fichier image ISO est ajouté à un lecteur sur un ordinateur virtuel, VMM attache une copie de ce fichier plutôt que de le partager. Dans la version précommerciale de VMM 2008 R2, si un utilisateur choisit plutôt l'option Partager le fichier image au lieu de le copier sur un ordinateur virtuel Hyper-V, l'opération échoue.

Activation de fichiers image ISO partagés pour les ordinateurs virtuels Hyper-V

Pour activer le partage de fichiers image ISO sur les ordinateurs virtuels Hyper-V, vous devez effectuer les configurations suivantes :

  • Vous devez spécifier un compte de domaine Active Directory pour le compte de service de serveur VMM.

  • Vous devez stocker les images ISO dans la bibliothèque VMM. Pour plus d'informations, voir Ajout de fichiers à la bibliothèque (http://go.microsoft.com/fwlink/?LinkID=162799).

  • Vous devez configurer des autorisations de partage et des autorisations NTFS sur les partages de la bibliothèque. Le compte du service du serveur VMM et le compte d'ordinateur pour chaque serveur exécutant Hyper-V doivent avoir une autorisation de lecture sur les partages.

  • Pour permettre à un ordinateur virtuel Hyper-V d'accéder à un fichier ISO sur un dossier partagé dans un environnement de domaine, vous devez configurer le serveur exécutant Hyper-V pour la délégation contrainte. Configurez le compte d'ordinateur du serveur exécutant Hyper-V pour présenter les informations d'identification déléguées pour le type de service CIFS (Common Internet File System).

noteRemarque
Dans VMM 2008, l'utilisation d'un fichier image ISO partagé n'est pas prise en charge pour les utilisateurs libre -service. Au lieu de cela, VMM associe une copie du fichier image ISO au nouvel ordinateur virtuel. VMM 2008 R2 prend en charge les images ISO partagées pour le libre-service.

Pour des procédures, voir Activation d'images ISO partagées pour les ordinateurs virtuels Hyper-V dans VMM (http://go.microsoft.com/fwlink/?LinkId=161975).

Connexions des ordinateurs virtuels

Lorsque vous ajoutez un ordinateur hôte Hyper-V à VMM, VMM active les connexions à distance aux ordinateurs virtuels à l'aide du port de connexion à distance par défaut pour les ordinateurs hôtes Hyper-V (port par défaut : 2179). Ceci est un paramètre général configurable dans VMM. Vous pouvez changer le port de connexion à distance pour un ordinateur hôte lorsque vous ajoutez ce dernier à VMM ou en modifiant le paramètre correspondant dans l'onglet À distance des propriétés de l'ordinateur hôte. Pour des instructions sur la configuration des ports de connexion à distance par défaut dans VMM, voir Configuration de l’accès à distance aux ordinateurs virtuels (http://go.microsoft.com/fwlink/?LinkId=162936).

Le gestionnaire Hyper-V utilise VMConnect pour les connexions aux ordinateurs virtuels à partir des consoles à distance. VMConnect utilise le port d'écoute RDP (Remote Desktop Protocol) pour fournir des connexions de console à un ordinateur virtuel par le biais de la partition parente dans Hyper-V.

VMM utilise la même technologie d'écouteur de port unique (SPL, Single Port Listener) pour fournir à l'administrateur des miniatures en direct dans la console Administrateur VMM. Le portail libre-service de VMM et VirtualMachineViewer.exe utilisent également la technologie d'écouteur de port unique de RDP.

Toutefois, l'écouteur de port unique pour RDP n'est disponible que pour les connexions de console à partir d'un ordinateur exécutant l'un des systèmes d'exploitation suivants : Windows Vista avec Service Pack 1 (SP1), Windows Server 2008 ou Windows Server 2008 R2. Si l'ordinateur client exécute un autre système d'exploitation, VMM se connecte directement au système d'exploitation invité qui s'exécute à l'intérieur de l'ordinateur virtuel à l'aide du protocole RDP standard. Dans ce cas, VMM ne peut établir la connexion que si l'ordinateur virtuel est en cours d'exécution et si les services invités virtuels sont installés sur l'ordinateur virtuel.

Ressources supplémentaires pour les ordinateurs hôtes Hyper-V

Considérations relatives à la sécurité dans VMM pour les ordinateurs hôtes Virtual Server

Lorsque vous voulez gérer un ordinateur hôte Virtual Server à l'aide de VMM, vous devez uniquement configurer des connexions à distance. Le modèle de sécurité de VMM prend totalement en charge les droits et autorisations attribués dans Virtual Server.

Accès aux ordinateurs virtuels

VMM prend entièrement en charge le modèle de sécurité Virtual Server pour les ordinateurs virtuels. Pour chaque ordinateur virtuel créé sur des ordinateurs hôtes Virtual Server, VMM conserve un fichier de configuration d'ordinateur virtuel (.vmc) qui reflète les droits et les autorisations assignées via la sécurité des rôles VMM. VMM n'utilise pas le fichier de configuration d'ordinateur virtuel. Ce fichier est conservé afin de permettre une gestion simple et efficace de l'ordinateur virtuel dans Virtual Server grâce au site Web d'administration de Virtual Server.

Connexions des ordinateurs virtuels

Lorsque vous ajoutez un ordinateur hôte Virtual Server à VMM, VMM active les connexions d'ordinateur virtuel dans Virtual Server via VMRC (Virtual Machine Remote Control). Par défaut, VMM utilise le port de connexion à distance par défaut pour les connexions VMRC (port 5900). Ceci est un paramètre général configurable dans VMM. Vous pouvez changer le port de connexion à distance pour un ordinateur hôte lorsque vous ajoutez ce dernier à VMM ou en modifiant certains paramètres dans l'onglet À distance des propriétés de l'ordinateur hôte. Pour des instructions sur la configuration des ports de connexion à distance par défaut pour VMM, voir Configuration de l’accès à distance aux ordinateurs virtuels (http://go.microsoft.com/fwlink/?LinkId=162936).

Le chiffrement des connexions VMRC n’est pas activé lorsque vous ajoutez un ordinateur hôte Virtual Server à VMM. Après l'ajout d'un ordinateur hôte, il est recommandé d’implémenter le chiffrement SSL (Secure Sockets Layer), notamment si vous utilisez l’authentification de base, qui transmet les mots de passe en texte brut. En modifiant des paramètres dans l'onglet À distance des propriétés de l'ordinateur hôte, vous avez la possibilité d'activer SSL en utilisant un certificat non-signé de Virtual Server. Pour des instructions, voir Modification des connexions à distance aux ordinateurs virtuels sur un ordinateur hôte (http://go.microsoft.com/fwlink/?LinkID=123607).

Par défaut, VMM ne permet pas la connexion simultanée de plusieurs utilisateurs à un ordinateur virtuel avec VMRC. Dans un souci de prise en charge des scénarios de formation et de test en laboratoire au cours desquels un utilisateur doit présenter une opération à d'autres utilisateurs connectés à la même session à distance, VMRC peut permettre la connexion de plusieurs utilisateurs à un ordinateur virtuel, chacun d'entre eux ayant la possibilité d'accéder au système d'exploitation invité sans connaître les autres. Par défaut, VMM désactive cette fonction. Si vous souhaitez l'activer, mettez à jour un autre paramètre dans l'onglet À distance des propriétés de l'ordinateur hôte.

Ressources supplémentaires pour les ordinateurs hôtes Virtual Server

Considérations relatives à la sécurité dans VMM pour les ordinateurs hôtes ESX Server

Les ordinateurs hôtes ESX Server requièrent la configuration de sécurité suivante après l'ajout du serveur VirtualCenter à VMM.

Accès aux ordinateurs virtuels

Comme indiqué précédemment, lorsque vous ajoutez un serveur VirtualCenter à VMM, VMM ajoute chaque ordinateur hôte ESX Server qui présente l'état OK (Limité) tant que vous n'avez pas configuré les informations de sécurité qui sont requises par VMM pour effectuer des transferts de fichiers entre l'ordinateur hôte et les ordinateurs Windows Server. Les opérations d'ordinateur virtuel non prises en charge incluent la création d'un ordinateur virtuel depuis un disque dur virtuel stocké sur un serveur de bibliothèque ou le stockage d'un ordinateur virtuel dans la bibliothèque VMM.

Lorsqu'un ordinateur hôte a pour état OK (Limité), les administrateurs VMM ne peuvent effectuer que des opérations d'ordinateur virtuel ne nécessitant pas ce type de transfert de fichiers. Pour obtenir une liste des opérations prises en charge sur les ordinateurs virtuels en gestion limitée ou complète dans VMM, voir Actions prises en charge pour les ordinateurs virtuels hébergés sur les ordinateurs hôtes ESX Server (http://go.microsoft.com/fwlink/?LinkID=134489).

Pour faire passer un ordinateur hôte à l'état OK et activer toutes les fonctions de gestion prises en charge par VMM, VMM doit disposer des informations d'identification de compte délégué d'ordinateur virtuel sur l'ordinateur hôte. De plus, si vous gérez votre environnement VMware en mode sécurisé, VMM doit pouvoir identifier l'ordinateur hôte par son certificat. Pour les versions non incorporées d'ESX Server, la clé publique RSH de l'ordinateur hôte est également requise. Pour des instructions détaillées sur la configuration de la sécurité pour les ordinateurs hôtes ESX Server, voir Configuration de la sécurité d'un environnement VMware géré dans VMM.

Accès aux ordinateurs virtuels VMware par le portail libre-service VMM

Pour gérer les ordinateurs virtuels VMware, les utilisateurs du portail libre-service VMM doivent télécharger et installer un contrôle ActiveX VMware. Ce contrôle doit être téléchargé par le biais d'un canal SSL sécurisé. VMM se connecte à l'ordinateur hôte VMware en utilisant SSL. Toutefois, pour garantir que les utilisateurs peuvent télécharger et installer ce contrôle ActiveX, vous devez activer SSL sur les ordinateurs hôtes VMware. Vous pouvez également installer le client d'infrastructure virtuelle sur l'ordinateur client, ce qui installe aussi le contrôle ActiveX et vous évite donc de le télécharger depuis l'ordinateur hôte.

Connexions des ordinateurs virtuels

Les ordinateurs hôtes ESX Server utilisent un contrôle VMware pour les connexions d'ordinateurs virtuels. ESX Server héberge ce contrôle qui est exécuté sur le client utilisateur.

Ressources supplémentaires pour les ordinateurs hôtes ESX Server

Voir aussi

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Microsoft réalise une enquête en ligne pour recueillir votre opinion sur le site Web de MSDN. Si vous choisissez d’y participer, cette enquête en ligne vous sera présentée lorsque vous quitterez le site Web de MSDN.

Si vous souhaitez y participer,
Afficher:
© 2014 Microsoft