SCVMM, un produit qui vous veut du bien (par défaut)

Oui, SCVMM pense à vous les exploitant de cloud privés.. Lorsqu’on l’installe, il vous propose de stocker ses clés de chiffrement directement dans l’annuaire Active Directory de raccordement du serveur. Dans le processus d’installation, ça se passe à ce niveau :

clip_image001

 

Après, certains font le choix de ne pas stocker cette information ultra-sensible dans l’annuaire Active Directory. C’est un choix. Le problème, c’est que c’est un choix qu’on ne fait qu’une seule fois car la clé est soit dans une conteneur dédié dans la partition de configuration de l’annuaire Active Directory, soit c’est stocké localement sur le serveur SCVMM :

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings.

Après, les « psychorigides » peuvent penser que ce n’est pas assez sécurisé de stocker cela dans l’annuaire Active Directory (un truc de près de 15 an d’âge que l’on retrouve partout dans le monde). Donc, ils stockent l’information localement dans le registre. La vraie question, c’est qu’est ce qui se passe si je perds cette information :

  • VMM inopérant
  • Impossibilité de décrypter les credentials stockées dans la base SCVMM
  • Impossibilité de communiquer avec les agents
  • Services Templates indisponibles

Bref, ne pas stocker la clé de chiffrement dans l’annuaire Active Directory, c’est signer avec son sang que le backup de notre serveur SCVMM a toujours fonctionné et qu’on est capable de retrouver le contenu de la clé de registre.

Après, si vous voulez tester le DRP de SCVMM et vous retrouver avec une infrastructure Cloud privé impossible à gérer, c’est votre choix. Dans ce cas, je vous conseille de prier et tester régulièrement la procédure Restore registry keys, Active Directory objects, and non-VMM managed credentials.

Alors que si l’information est déjà disponible dans l’annuaire Active Directory, une simple réinstallation de SCVMM suffit si votre sauvegarde ne fonctionne pas. Si ce n’est pas déjà fait. Courrez sauvegarder la clé de chiffrement localisé à cet emplacement : HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings.

 

Sur ce, bonnes vacances.

 

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)

Benoit

Simple, yes, Secure Maybe, by design for sure, Business compliant always!

Les derniers articles par Benoit (tout voir)

Une réflexion au sujet de « SCVMM, un produit qui vous veut du bien (par défaut) »

  1. Bravo

    On peut s’en sortir sans restaurer.
    Plusieurs solutions après avoir recrée le profil utilisateur du compte de service VMM.
    1-Tu sort et tu re-rentre les hôtes (tu perdra les références aux services templates).
    2-Si tu as des services Template de déployés, tu « reset » le mdp de tous les runas account, pour ré-encypter ces infos avec la nouvelles clefs.
    Le tour est joué.

    Répondre

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.