Archives de catégorie : DRP

SCVMM, un produit qui vous veut du bien (par défaut)

Oui, SCVMM pense à vous les exploitant de cloud privés.. Lorsqu’on l’installe, il vous propose de stocker ses clés de chiffrement directement dans l’annuaire Active Directory de raccordement du serveur. Dans le processus d’installation, ça se passe à ce niveau :

clip_image001

 

Après, certains font le choix de ne pas stocker cette information ultra-sensible dans l’annuaire Active Directory. C’est un choix. Le problème, c’est que c’est un choix qu’on ne fait qu’une seule fois car la clé est soit dans une conteneur dédié dans la partition de configuration de l’annuaire Active Directory, soit c’est stocké localement sur le serveur SCVMM :

HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings.

Après, les « psychorigides » peuvent penser que ce n’est pas assez sécurisé de stocker cela dans l’annuaire Active Directory (un truc de près de 15 an d’âge que l’on retrouve partout dans le monde). Donc, ils stockent l’information localement dans le registre. La vraie question, c’est qu’est ce qui se passe si je perds cette information :

  • VMM inopérant
  • Impossibilité de décrypter les credentials stockées dans la base SCVMM
  • Impossibilité de communiquer avec les agents
  • Services Templates indisponibles

Bref, ne pas stocker la clé de chiffrement dans l’annuaire Active Directory, c’est signer avec son sang que le backup de notre serveur SCVMM a toujours fonctionné et qu’on est capable de retrouver le contenu de la clé de registre.

Après, si vous voulez tester le DRP de SCVMM et vous retrouver avec une infrastructure Cloud privé impossible à gérer, c’est votre choix. Dans ce cas, je vous conseille de prier et tester régulièrement la procédure Restore registry keys, Active Directory objects, and non-VMM managed credentials.

Alors que si l’information est déjà disponible dans l’annuaire Active Directory, une simple réinstallation de SCVMM suffit si votre sauvegarde ne fonctionne pas. Si ce n’est pas déjà fait. Courrez sauvegarder la clé de chiffrement localisé à cet emplacement : HKLM\Software\Microsoft\Microsoft System Center Virtual Machine Manager Server\Settings.

 

Sur ce, bonnes vacances.

 

BenoîtS – Simple and secure by design but Business compliant (with disruptive flag enabled)