Protection des informations d’identification pour les instances Windows - Amazon Elastic Compute Cloud
PrérequisLancer une instance prise en chargeDésactiver l'intégrité de la mémoireActiver la protection des informations d’identificationVérifier que la protection des informations d’identification est en cours d’exécution

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des informations d’identification pour les instances Windows

Le système AWS Nitro prend en charge Credential Guard pour les instances Windows Amazon Elastic Compute Cloud EC2 (Amazon). Credential Guard est une fonction de sécurité basée sur la virtualisation (VBS) de Windows qui permet de créer des environnements isolés pour protéger les ressources de sécurité, telles que les informations d’identification des utilisateurs Windows et l’application de l’intégrité du code, au-delà des protections du noyau Windows. Lorsque vous exécutez des instances EC2 Windows, Credential Guard utilise le système AWS Nitro pour empêcher l'extraction des informations de connexion Windows de la mémoire du système d'exploitation.

Prérequis

Votre instance Windows doit remplir les conditions préalables suivantes afin d’utiliser la protection des informations d’identification :

Images de machines Amazon (AMIs)

L’AMI doit être préconfigurée pour activer NitroTPM et UEFI Secure Boot. Pour plus d'informations sur la prise en charge AMIs, consultezConditions requises pour utiliser NitroTPM avec les instances Amazon EC2 .

Intégrité de la mémoire

L’intégrité de la mémoire, également appelée intégrité du code protégée par l’hyperviseur (HVCI) ou intégrité du code appliquée à l’hyperviseur, n’est pas prise en charge. Avant d’activer Credential Guard, vous devez vous assurer que cette fonctionnalité est désactivée. Pour de plus amples informations, veuillez consulter Désactiver l'intégrité de la mémoire.

Types d’instances

Sauf indication contraire, les types d'instance suivants prennent en charge les informations d'identification, quelle que soit la taille de l'instance : C5, C5d, C5n, C6i, C6id, C6in, C7i, C7i-flex, M5, M5d, M5dn, M5n, M5zn, M6i, M6id, M6idn, M6in, M7i, M7i-flex, R5, R5b, R5d, R5dn, R5n, R6i, R6id, R6idn, R6in R7i, R7iz, T3.

Note

  • Bien que NitroTPM ait en commun certains types d'instance requis, le type d'instance doit être l'un des types d'instance précédents pour prendre en charge la protection des informations d’identification.

  • La protection des informations d’identification n’est pas prise en charge pour :

    • Instances matériel nu

    • Les types d’instance suivants : M7i.48xlarge, R7i.48xlarge et C7i.48xlarge

Pour plus d'informations sur les types d'instances, consultez le guide des types d' EC2 instances Amazon.

Lancer une instance prise en charge

Vous pouvez utiliser la EC2 console Amazon ou AWS Command Line Interface (AWS CLI) pour lancer une instance compatible avec Credential Guard. Vous aurez besoin d’un ID AMI compatible pour lancer votre instance, qui est unique pour chaque Région AWS.

Astuce

Vous pouvez utiliser le lien suivant pour découvrir et lancer des instances compatibles avec Amazon fournies AMIs dans la EC2 console Amazon :

https://console.aws.amazon.com/ec2/v2/home?#Images:visibility=public-images;v=3;search=:TPM-Windows_Server;ownerAlias=amazon

Console
Pour lancer une instance

Suivez les étapes pour lancer une instance tout en spécifiant un type d’instance pris en charge et une AMI Windows préconfigurée.

AWS CLI
Pour lancer une instance

Utilisez la commande run-instances pour lancer une instance à l’aide d’un type d’instance pris en charge et d’une AMI Windows préconfigurée.

aws ec2 run-instances \
    --image-id resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base \
    --instance-type c6i.large \
    --region us-east-1 \
    --subnet-id subnet-0abcdef1234567890
    --key-name key-name
PowerShell
Pour lancer une instance

Utilisez la commande New-EC2Instance pour lancer une instance à l’aide d’un type d’instance pris en charge et d’une AMI Windows préconfigurée.

New-EC2Instance `
    -ImageId resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base `
    -InstanceType c6i.large `
    -Region us-east-1 `
    -SubnetId subnet-0abcdef1234567890 `
    -KeyName key-name

Désactiver l'intégrité de la mémoire

Vous pouvez utiliser l’éditeur de stratégie de groupe local pour désactiver l’intégrité de la mémoire dans les scénarios pris en charge. Les indications suivantes peuvent être appliquées pour chaque paramètre de configuration dans le cadre de la protection de l'intégrité du code basée sur la virtualisation :

  • Activé sans verrouillage : modifiez le paramètre sur Désactivé pour désactiver l’intégrité de la mémoire.

  • Activé avec verrouillage UEFI :l’intégrité de la mémoire a été activée avec le verrouillage UEFI. L’intégrité de la mémoire ne peut pas être désactivée une fois qu’elle a été activée avec le verrouillage UEFI. Nous vous recommandons de créer une nouvelle instance en désactivant l’intégrité de la mémoire et de résilier l’instance non prise en charge si elle n’est pas utilisée.

Pour désactiver l’intégrité de la mémoire à l’aide de l’éditeur de stratégie de groupe local

  1. Connectez-vous à votre instance en tant que compte utilisateur disposant de privilèges d’administrateur à l’aide du protocole RDP (Remote Desktop Protocol). Pour de plus amples informations, veuillez consulter Connectez-vous à votre instance Windows à l’aide d’un client RDP.

  2. Ouvrez le menu Démarrer et recherchez cmd pour lancer une invite de commande.

  3. Exécutez la commande suivante pour ouvrir l’éditeur de stratégie de groupe local : gpedit.msc

  4. Dans l’éditeur de stratégie de groupe locale, choisissez Configuration de l’ordinateur, Modèles d’administration, Système, Device Guard.

  5. Sélectionnez Activer la sécurité basée sur la virtualisation, puis sélectionnez Modifier le paramètre de stratégie.

  6. Ouvrez la liste déroulante des paramètres de la protection de l’intégrité du code basée sur la virtualisation, choisissez Désactivé, puis sélectionnez Appliquer.

  7. Redémarrez l’instance pour appliquer les modifications.

Activer la protection des informations d’identification

Après avoir lancé une instance Windows avec un type d’instance pris en charge et une AMI compatible, et confirmé que l’intégrité de cette mémoire est désactivée, vous pouvez activer Credential Guard.

Important

Des privilèges d’administrateur sont nécessaires pour exécuter les étapes suivantes afin d’activer Credential Guard.

Pour activer Credential Guard

  1. Connectez-vous à votre instance en tant que compte utilisateur disposant de privilèges d’administrateur à l’aide du protocole RDP (Remote Desktop Protocol). Pour de plus amples informations, veuillez consulter Connectez-vous à votre instance Windows à l’aide d’un client RDP.

  2. Ouvrez le menu Démarrer et recherchez cmd pour lancer une invite de commande.

  3. Exécutez la commande suivante pour ouvrir l’éditeur de stratégie de groupe local : gpedit.msc

  4. Dans l’éditeur de stratégie de groupe locale, choisissez Configuration de l’ordinateur, Modèles d’administration, Système, Device Guard.

  5. Sélectionnez Activer la sécurité basée sur la virtualisation, puis sélectionnez Modifier le paramètre de stratégie.

  6. Choisissez Activé dans le menu Activer la sécurité basée sur la virtualisation.

  7. Pour Sélectionner le niveau de sécurité de la plateforme, choisissez Démarrage sécurisé et Protection DMA.

  8. Pour Configuration la protection des informations d’identification, choisissez Activé avec verrouillage UEFI.

    Note

    Les autres paramètres de stratégie ne sont pas nécessaires pour activer Credential Guard et peuvent être laissés comme Non configurés.

    L’image suivante affiche les paramètres VBS configurés comme décrit précédemment :

    Paramètres de l’objet de stratégie de groupe « Sécurité basée sur la virtualisation » avec l’option « Activer la sécurité basée sur la virtualisation » activée.

  9. Redémarrez l’instance pour appliquer les paramètres.

Vérifier que la protection des informations d’identification est en cours d’exécution

Vous pouvez utiliser l’outil Microsoft System Information (Msinfo32.exe) pour vérifier que Credential Guard est en cours d’exécution.

Important

Vous devez d’abord redémarrer l’instance pour terminer l’application des paramètres de stratégie nécessaires à l’activation de Credential Guard.

Pour vérifier que Credential Guard est en cours d’exécution

  1. Connectez-vous à votre instance à l’aide du protocole RDP (Remote Desktop Protocol). Pour de plus amples informations, veuillez consulter Connectez-vous à votre instance Windows à l’aide d’un client RDP.

  2. Dans la session RDP de votre instance, ouvrez le menu Démarrer et recherchez cmd pour lancer une invite de commande.

  3. Ouvrez System Information en exécutant la commande suivante : msinfo32.exe

  4. L’outil Microsoft System Information répertorie les détails de la configuration VBS. À côté de Services de sécurité basés sur la virtualisation, vérifiez que Credential Guard apparaît comme étant en cours d’exécution.

    L’image suivante montre que VBS est en cours d’exécution comme décrit précédemment :

    Une image de l’outil Microsoft System Information avec la ligne de sécurité basée sur la virtualisation indiquant l’état « En cours d’exécution », confirmant que Credential Guard est en cours d’exécution.