Credential Guard pour les instances Windows - Amazon Elastic Compute Cloud
PrérequisLancer une instance prise en chargeDésactiver l'intégrité de la mémoireActivez Credential GuardVérifiez que Credential Guard est en cours d'exécution

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Credential Guard pour les instances Windows

Le système AWS Nitro prend en charge Credential Guard pour les instances Windows Amazon Elastic Compute Cloud EC2 (Amazon). Credential Guard est une fonctionnalité de sécurité basée sur la virtualisation de Windows (VBS) qui permet de créer des environnements isolés pour protéger les actifs de sécurité, tels que les informations d'identification des utilisateurs Windows et l'application de l'intégrité du code, au-delà des protections du noyau Windows. Lorsque vous exécutez des instances EC2 Windows, Credential Guard utilise le système AWS Nitro pour empêcher l'extraction des informations de connexion Windows de la mémoire du système d'exploitation.

Prérequis

Votre instance Windows doit répondre aux conditions préalables suivantes pour utiliser Credential Guard.

Images de machines Amazon (AMIs)

AMIIl doit être préconfiguré pour activer Nitro TPM et UEFI Secure Boot. Pour plus d'informations sur la prise en chargeAMIs, consultezExigences relatives à l'utilisation de Nitro TPM avec des instances Amazon EC2.

Intégrité de la mémoire

L'intégrité de la mémoire, également connue sous le nom d'intégrité du code protégée par l'hyperviseur (HVCI) ou intégrité du code renforcée par l'hyperviseur, n'est pas prise en charge. Avant d’activer Credential Guard, vous devez vous assurer que cette fonctionnalité est désactivée. Pour de plus amples informations, veuillez consulter Désactiver l'intégrité de la mémoire.

Types d’instances

Les types d'instances suivants prennent en charge Credential Guard, quelle que soit leur taille C5 C5dC5n, sauf indication contraire : C6iC6id,C6in,C7i,C7i-flex,M5,M5d,,M5dn,M5n,M5zn,M6i,M6id,,M6idn,M6in,M7i,M7i-flex,R5,R5b,,R5d,R5dn,R5n,R6i,R6id,,R6idn, R6in R7iR7iz,T3.

Note

  • Bien que Nitro TPM ait certains types d'instances obligatoires en commun, le type d'instance doit être l'un des types d'instance précédents pour prendre en charge Credential Guard.

  • Credential Guard n'est pas pris en charge pour :

    • Instances en métal nu.

    • Les types d'instances suivants : C7i.48xlargeM7i.48xlarge, etR7i.48xlarge.

Pour plus d'informations sur les types d'instances, consultez le guide des types d'EC2instances Amazon.

Lancer une instance prise en charge

Vous pouvez utiliser la EC2 console Amazon ou AWS Command Line Interface (AWS CLI) pour lancer une instance compatible avec Credential Guard. Vous aurez besoin d'un AMI identifiant compatible pour lancer votre instance, unique pour chaque instance Région AWS.

Astuce

Vous pouvez utiliser le lien suivant pour découvrir et lancer des instances compatibles avec Amazon fournies AMIs dans la EC2 console Amazon :

https://console.aws.amazon.com/ec2/v2/home?#Images:visibility=public-images;v=3;search=:TPM-Windows_Server;ownerAlias=amazon

Amazon EC2 console
Pour lancer une instance à l'aide de la EC2 console Amazon

Suivez les étapes pour lancer une instance, en spécifiant un type d'instance pris en charge et un système Windows AMI préconfiguré.

AWS CLI
Pour lancer une instance à l'aide du AWS CLI

Utilisez la run-instancescommande pour lancer une instance à l'aide d'un type d'instance pris en charge et d'un système Windows AMI préconfiguré.

aws ec2 run-instances \
    --image-id resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base \
    --instance-type c6i.large \
    --region us-east-1 \
    --subnet-id subnet-id
    --key-name key-name
PowerShell
Pour lancer une instance à l'aide du AWS Tools for PowerShell

Utilisez la New-EC2Instancecommande pour lancer une instance à l'aide d'un type d'instance pris en charge et d'un système Windows AMI préconfiguré.

New-EC2Instance `
    -ImageId resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base `
    -InstanceType c6i.large `
    -Region us-east-1 `
    -SubnetId subnet-id `
    -KeyName key-name

Désactiver l'intégrité de la mémoire

Vous pouvez utiliser l’éditeur de stratégie de groupe local pour désactiver l’intégrité de la mémoire dans les scénarios pris en charge. Les instructions suivantes peuvent être appliquées pour chaque paramètre de configuration dans le cadre de la protection de l'intégrité du code basée sur la virtualisation :

  • Activé sans verrouillage : modifiez le paramètre sur Désactivé pour désactiver l’intégrité de la mémoire.

  • Activé par UEFI verrouillage — L'intégrité de la mémoire a été activée par UEFI verrouillage. L'intégrité de la mémoire ne peut pas être désactivée une fois qu'elle a été activée par UEFI verrouillage. Nous vous recommandons de créer une nouvelle instance en désactivant l’intégrité de la mémoire et de résilier l’instance non prise en charge si elle n’est pas utilisée.

Pour désactiver l’intégrité de la mémoire à l’aide de l’éditeur de stratégie de groupe local

  1. Connectez-vous à votre instance en tant que compte utilisateur doté de privilèges d'administrateur à l'aide du protocole Remote Desktop (RDP). Pour de plus amples informations, veuillez consulter Connectez-vous à votre instance Windows à l'aide d'un RDP client.

  2. Ouvrez le menu Démarrer et recherchez cmd pour lancer une invite de commande.

  3. Exécutez la commande suivante pour ouvrir l’éditeur de stratégie de groupe local : gpedit.msc

  4. Dans l’éditeur de stratégie de groupe locale, choisissez Configuration de l’ordinateur, Modèles d’administration, Système, Device Guard.

  5. Sélectionnez Activer la sécurité basée sur la virtualisation, puis sélectionnez Modifier le paramètre de stratégie.

  6. Ouvrez la liste déroulante des paramètres de la protection de l’intégrité du code basée sur la virtualisation, choisissez Désactivé, puis sélectionnez Appliquer.

  7. Redémarrez l’instance pour appliquer les modifications.

Activez Credential Guard

Après avoir lancé une instance Windows avec un type d'instance compatible AMI et confirmé que l'intégrité de la mémoire est désactivée, vous pouvez activer Credential Guard.

Important

Des privilèges d’administrateur sont nécessaires pour exécuter les étapes suivantes afin d’activer Credential Guard.

Pour activer Credential Guard

  1. Connectez-vous à votre instance en tant que compte utilisateur doté de privilèges d'administrateur à l'aide du protocole Remote Desktop (RDP). Pour de plus amples informations, veuillez consulter Connectez-vous à votre instance Windows à l'aide d'un RDP client.

  2. Ouvrez le menu Démarrer et recherchez cmd pour lancer une invite de commande.

  3. Exécutez la commande suivante pour ouvrir l’éditeur de stratégie de groupe local : gpedit.msc

  4. Dans l’éditeur de stratégie de groupe locale, choisissez Configuration de l’ordinateur, Modèles d’administration, Système, Device Guard.

  5. Sélectionnez Activer la sécurité basée sur la virtualisation, puis sélectionnez Modifier le paramètre de stratégie.

  6. Choisissez Activé dans le menu Activer la sécurité basée sur la virtualisation.

  7. Pour Sélectionner le niveau de sécurité de la plate-forme, choisissez Démarrage sécurisé et DMA protection.

  8. Pour la configuration de Credential Guard, choisissez Activé avec UEFI verrouillage.

    Note

    Les autres paramètres de stratégie ne sont pas nécessaires pour activer Credential Guard et peuvent être laissés comme Non configurés.

    L'image suivante affiche les VBS paramètres configurés comme décrit précédemment :

    Paramètres de l’objet de stratégie de groupe « Sécurité basée sur la virtualisation » avec l’option « Activer la sécurité basée sur la virtualisation » activée.

  9. Redémarrez l’instance pour appliquer les paramètres.

Vérifiez que Credential Guard est en cours d'exécution

Vous pouvez utiliser l’outil Microsoft System Information (Msinfo32.exe) pour vérifier que Credential Guard est en cours d’exécution.

Important

Vous devez d’abord redémarrer l’instance pour terminer l’application des paramètres de stratégie nécessaires à l’activation de Credential Guard.

Pour vérifier que Credential Guard est en cours d’exécution

  1. Connectez-vous à votre instance à l'aide du protocole Remote Desktop (RDP). Pour de plus amples informations, veuillez consulter Connectez-vous à votre instance Windows à l'aide d'un RDP client.

  2. Au RDP cours de la session sur votre instance, ouvrez le menu Démarrer et recherchez cmd pour démarrer une invite de commande.

  3. Ouvrez System Information en exécutant la commande suivante : msinfo32.exe

  4. L'outil Microsoft System Information répertorie les détails de VBS configuration. À côté de Services de sécurité basés sur la virtualisation, vérifiez que Credential Guard apparaît comme étant en cours d’exécution.

    Les affichages d'images suivants VBS s'exécutent comme décrit précédemment :

    Une image de l’outil Microsoft System Information avec la ligne de sécurité basée sur la virtualisation indiquant l’état « En cours d’exécution », confirmant que Credential Guard est en cours d’exécution.