Dans des environnements critiques, le besoin d’isoler des charges sensibles, tout en les maintenant auditées, virtualisées et résilientes, est fondamental. Ce guide approfondi s’adresse aux administrateurs systèmes et experts en sécurité qui souhaitent tirer pleinement parti d’Hyper-V sur Windows Server Core, avec un cloisonnement réseau, une gestion distante PowerShell-only, du chiffrement de disque et la journalisation centralisée.
1. Installer Hyper-V et désactiver les fonctions inutiles
Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart
Disable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-Guest-Integration-ServicesSupprime certains composants d’intégration pour minimiser la surface d’attaque VM ↔ hôte.
2. Créer un switch virtuel privé et contrôlé
New-VMSwitch -Name "VMIsolated" -SwitchType Private
Set-VMSwitch -Name "VMIsolated" -AllowManagementOS $falseEmpêche toute communication entre les VMs et l’hôte Hyper-V.
3. Créer des disques différenciés chiffrés
New-VHD -Path "D:\HyperV\BaseImage.vhdx" -SizeBytes 60GB -Dynamic
New-VHD -Path "D:\HyperV\VM-Secure1.vhdx" -ParentPath "D:\HyperV\BaseImage.vhdx"
Enable-BitLocker -MountPoint "D:\HyperV\VM-Secure1.vhdx" -EncryptionMethod XtsAes256 -UsedSpaceOnlyLe chiffrement des vDisques empêche leur exploitation en cas de vol ou d’accès non autorisé.
4. Créer une VM avec UEFI sécurisé et vTPM
New-VM -Name "VM-Secure1" -MemoryStartupBytes 4GB -SwitchName "VMIsolated" -VHDPath "D:\HyperV\VM-Secure1.vhdx" -Generation 2
Set-VMFirmware -VMName "VM-Secure1" -EnableSecureBoot On
Set-VMKeyProtector -VMName "VM-Secure1" -NewLocalKeyProtector
Enable-VMTPM -VMName "VM-Secure1"Utilise le Secure Boot, le chiffrage et un module TPM virtuel pour garantir l’intégrité du démarrage.
5. Activer le Shielded Mode (isolation hôte/VM)
Set-VM -Name "VM-Secure1" -ShieldingMode EnabledBloque l’accès direct même par les administrateurs hôtes (nécessite HGS).
6. Journaliser toutes les actions d’administration Hyper-V
auditpol /set /subcategory:"Other Object Access Events" /success:enable /failure:enable
wevtutil sl Microsoft-Windows-Hyper-V-VMMS/Admin /e:trueActive les journaux d’événements critiques (modifications, reboots, snapshots, attachements).
7. Supervision distante de la VM et déclencheurs d’alerte
$vm = Get-VM -Name "VM-Secure1"
if ($vm.State -ne "Running" -or $vm.MemoryAssigned -lt 1GB) {
Send-MailMessage -To "[email protected]" -From "[email protected]" -Subject "VM critique inactive" -SmtpServer smtp.corp.lan
}Permet d’être notifié immédiatement en cas de modification non planifiée ou dysfonctionnement critique.
8. Bloquer toute exportation non autorisée
icacls "D:\HyperV" /deny Everyone:(DE,WD)Empêche tout export manuel de VMs sensibles ou copie des disques par erreur humaine.
Conclusion
Ce déploiement avancé transforme Hyper-V Core en plateforme d’exécution minimaliste, durcie, adaptée aux workloads sensibles ou classifiés. Chaque machine virtuelle est isolée, chiffrée, journalisée, et inaccessible sans autorisation explicite. L’automatisation PowerShell renforce la traçabilité et l’auditabilité sans exposer le système à des composants graphiques ou à distance inutilement.
