Usando uma Imagem do Windows

Para criar um pool de desktops usando o Windows, você deve trazer sua própria licença.

Observação

  • A Oracle fornece imagens básicas do Windows para fins gerais que são pré-configuradas para uso com o Secure Desktops. Abra uma solicitação de serviço para solicitar uma dessas imagens. Para obter mais informações, consulte Imagens com Suporte.
  • A OCI não fornece imagens ou licenças para o Windows 10 ou Windows 11. Para usar uma imagem do Windows, você deve cumprir seu contrato de licença da Microsoft. Consulte Licenciamento da Microsoft no Oracle Cloud Infrastructure.

Importando Imagens Personalizadas do Windows

O serviço Compute permite importar imagens do Windows que foram criadas fora do Oracle Cloud Infrastructure. Por exemplo, você pode importar imagens em execução em máquinas físicas ou virtuais locais (VMs) ou VMs em execução no Oracle Cloud Infrastructure Classic. Em seguida, você pode iniciar suas imagens importadas em máquinas virtuais de computação.

Cuidado

  • O suporte do Oracle Cloud Infrastructure ao iniciar uma instância de um sistema operacional personalizado não garante que o fornecedor do sistema operacional também suporte a instância.
  • O Windows 10/11 exige que você traga sua própria licença (BYOL). Para ativar essa opção, a imagem personalizada deve especificar o sistema operacional Windows.
  • Por padrão, os desktops do Windows são provisionados em Host de Máquina Virtual Dedicado (DVH). Se o seu contrato de licença permitir virtualizar desktops do Windows 10/11 em um ambiente de nuvem, você poderá desativar o provisionamento de DVH adicionando a tag apropriada à imagem usada para criar o pool de desktops. Consulte Tags de Desktops Seguros.

Requisitos de Imagem de Origem do Windows

As imagens personalizadas devem atender aos seguintes requisitos:

  • O tamanho máximo da imagem é de 400 GB.
  • A imagem deve ser configurada para um tipo de inicialização suportado.
    • Para uma imagem do Windows 10, use o tipo de inicialização UEFI ou BIOS legado.
    • Para uma imagem do Windows 11, use apenas o tipo de inicialização UEFI.
  • O processo de inicialização não deve exigir a presença de volumes de dados adicionais para uma inicialização bem-sucedida.
  • A imagem do disco não pode ser criptografada.
  • A imagem do disco deve ser um arquivo VMDK ou QCOW2.
    • Crie o arquivo de imagem clonando o volume de origem, e não criando um snapshot.
    • Os arquivos VMDK devem ser do tipo "single growable" (monolithicSparse) ou do tipo "stream optimization" (streamOptimized), ambos consistem em um único arquivo VMDK. Não há suporte para todos os outros formatos VMDK, como aqueles que usam vários arquivos ou volumes divididos, ou que contêm snapshots.
  • A interface de rede deve utilizar DHCP para descobrir as definições de rede. Quando você importa uma imagem personalizada, as interfaces de rede existentes não são recriadas. Qualquer interface de rede existente é substituída por uma só NIC depois que o processo de importação é concluído. Você pode anexar VNICs adicionais depois de iniciar a instância importada.
  • A configuração de rede não deve codificar o endereço MAC da interface de rede.
  • Para imagens do Windows 11, o Secure Boot e o Trusted Platform Module (TPM) devem ser desativados para o Windows durante a criação da imagem se sua plataforma de virtualização não os suportar (por exemplo, VirtualBox). Antes da instalação, use o Editor de Registro para adicionar novas chaves de registro:
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassRAMCheck Valor DWORD (32 bits) 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassSecureBootCheck Valor DWORD (32 bits) 1.
    • HKEY_LOCAL_MACHINE\SYSTEM\Setup\LabConfig\BypassTPMCheck Valor DWORD (32 bits) 1.

Preparando VMs Windows para Importação

Para que você possa importar uma imagem do Windows personalizada, é necessário preparar a imagem para garantir que as instâncias iniciadas pela imagem possam ser inicializadas corretamente e que as conexões de rede funcionarão corretamente.

Você pode executar as tarefas descritas nesta seção no sistema de origem em execução. Se você tiver dúvidas sobre a modificação do sistema de origem ativo, poderá exportar a imagem no estado em que está, importá-la para o Oracle Cloud Infrastructure e, em seguida, iniciar uma instância com base na imagem personalizada. Você pode, então, se conectar à instância usando a console VNC e executar as etapas de preparação.

Importante

A unidade de sistema em que o Windows está instalado será importada para o Oracle Cloud Infrastructure. Todas as partições na unidade se seguirão por meio da imagem importada. Nenhuma outra unidade será importada e você deverá recriá-la na instância após a importação. Em seguida, você precisará mover manualmente os dados nas unidades que não são do sistema.

Para preparar uma VM do Windows para importação, use uma das seguintes opções:

Preparando uma VM com o Secure Desktops Image Builder

Use o Secure Desktops Image Builder para preparar uma VM como uma imagem para uso com o Secure Desktops.

Esse utilitário verifica os requisitos, executa uma instalação autônoma e configura uma imagem (no formato VMDK) que pode ser carregada no Oracle Cloud Infrastructure.

Observação

  • Este utilitário cria imagens para o Windows 10 ou 11 (64 bits) edições Enterprise ou Professional. Versões de avaliação não são suportadas.
  • Este utilitário requer o uso do Oracle VirtualBox versão 7.0.18. Se estiver usando uma solução de software de virtualização diferente, siga o método manual para preparar a VM.
  • Este utilitário seleciona automaticamente o firmware UEFI para uma imagem do Windows 11.

Para usar o Secure Desktops Image Builder:

  1. Consulte OCI Secure Desktops: Como Criar uma Imagem do Windows para Uso com o OCI Secure Desktops Usando o OCI Secure Desktops Image Builder (KB91837).
  2. Revise as instruções e faça download de todos os pacotes necessários para o sistema local.
  3. Faça download do arquivo do aplicativo (anexado no artigo da base de conhecimento) para o sistema local.
  4. Execute o arquivo do aplicativo como Administrador e siga todos os prompts.
  5. Após a conclusão do processo, o utilitário exibe o local do arquivo de imagem VMDK que foi criado.

Próxima Etapa:

Importe o arquivo de imagem VMDK para o Oracle Cloud Infrastructure.

Preparando uma VM com o Método Manual

Use o método manual para preparar uma VM como uma imagem para uso com o Secure Desktops.

Observação

Para obter orientação sobre como preparar manualmente a VM usando VirtualBox, consulte OCI Secure Desktops: Windows 10/11 para preparação do OCI (KB60923).

Para preparar manualmente uma VM Windows:

  1. Siga as diretrizes de segurança da sua organização para garantir que o sistema Windows esteja protegido. Isso pode incluir, sem limitação, as seguintes tarefas:
    • Instalar as atualizações de segurança mais recentes para o sistema operacional e os aplicativos instalados.
    • Ativar o firewall e configurá-lo para que você só ative as regras necessárias.
    • Desativar contas privilegiadas desnecessárias.
    • Usar senhas fortes de todas as contas.
  2. Defina seu servidor de ativação de licença:
    slmgr.vbs /skms <KMS_server_name_or_IP>:1688
  3. Crie um backup do volume raiz.
  4. Se a VM tiver armazenamento conectado remotamente, como NFS ou volumes em blocos, configure quaisquer serviços que dependam deste armazenamento para iniciar manualmente. O armazenamento conectado remotamente não está disponível na primeira vez que uma instância importada é inicializada no Oracle Cloud Infrastructure.
  5. Certifique-se de que todas as interfaces de rede usem DHCP e que o endereço MAC e os endereços IP não sejam codificados. Consulte a documentação do sistema para saber as etapas necessárias para executar a configuração de rede para o seu sistema.
  6. Instale o Oracle Cloud Agent. Para obter o arquivo de instalação do Oracle Cloud Agent, entre em contato com o Suporte Técnico da Oracle.
  7. Faça download dos Drivers Oracle VirtIO para Microsoft Windows.
  8. Instale os drivers (selecionando o tipo de instalação Personalizado) e reinicie a instância.
  9. Desative o LockScreen:
    try {
      Get-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -ErrorAction Stop 
    } catch {
     New-Item -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Force
    } try {
     New-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1 -PropertyType Dword -ErrorAction Stop
     Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Personalization" -Name "NoLockScreen" -Value 1  -ErrorAction Stop
    } catch {
     echo "done"
    }
  10. Desativar RDP:
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Control\Terminal Server' -name "fDenyTSConnections" -value 1
  11. Defina o servidor de tempo como OCI:
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'Type' -Value NTP -Type String
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'AnnounceFlags' -Value 5 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer' -Name 'Enabled' -Value 1 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Parameters' -Name 'NtpServer' -Value '169.254.169.254,0x9' -Type String
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient' -Name 'SpecialPollInterval' -Value 900 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxPosPhaseCorrection' -Value 1800 -Type DWord
    Set-ItemProperty -Path 'HKLM:\System\CurrentControlSet\Services\W32Time\Config' -Name 'MaxNegPhaseCorrection' -Value 1800 -Type DWord
  12. Opcionalmente, instale qualquer software adicional ao qual você gostaria que seus usuários tivessem acesso.
  13. Instale o Cloudbase-Init. Durante a instalação:
    • Nome de Usuário: Administrador
    • Não selecione a opção para executar o serviço Cloudbase-Init como LocalSystem.

      O uso dessa opção torna determinados recursos do SO indisponíveis durante a fase de inicialização da nuvem e pode resultar na falta de volumes da área de trabalho quando a área de trabalho é iniciada, exigindo que você execute o script attach_volume.ps1 para resolver o problema. Consulte Volumes de área de trabalho ausentes ao abrir a área de trabalho do Windows.

    • Não selecione as opções para executar o Sysprep no Cloudbase-Init e faça shutdown do sistema.

    Quando a instalação estiver concluída, edite C:\Program Files\Cloudbase Solutions\Cloudbase-Init\conf\cloudbase-init.conf e adicione retry_count=100.

  14. Crie o script PowerShell C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 para ativar o RDP no Oracle Cloud Infrastructure quando o Cloudbase-Init for executado:
    #ps1_sysnative 
    # 
    # location C:\Program Files\Cloudbase Solutions\Cloudbase-Init\LocalScripts\enable_rdp.ps1 
    # 
    $script_path=$Env:ProgramData+"\Oracle\OCI\Desktops"
    $log="$script_path\enable_rdp.txt" 
    Start-Transcript -Path $log -Append 
    Write-Host "Enabling rdp port" | Out-Default 
    Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
    date | Out-Default 
    Set-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections -Value 0 | Out-Default 
    Enable-NetFirewallRule -DisplayGroup "Remote Desktop" | Out-Default 
    # 
    Get-ItemProperty -Path "HKLM:\System\CurrentControlSet\Control\Terminal Server" -name fDenyTSConnections | Out-Default 
  15. Se você planeja iniciar a imagem importada em mais de uma instância da VM, crie uma imagem generalizada do disco de inicialização. Uma imagem generalizada é limpa de informações específicas do computador, como identificadores exclusivos. Quando você cria instâncias com base em uma imagem generalizada, os identificadores exclusivos são gerados novamente. Isso impede que duas instâncias criadas com base na mesma imagem colidam nos mesmos identificadores.
  16. Execute o OCI Secure Desktops Image Readiness Checker para verificar se sua VM atende aos requisitos de conformidade a serem criados como uma imagem para uso com o Secure Desktops.

    Essa ferramenta pode atualizar o Network Time Protocol (NTP), o Remote Desktop Protocol (RDP) e as configurações de tela de bloqueio necessárias para uma imagem do Secure Desktops Windows.

    Para obter mais informações sobre esse utilitário e fazer download do arquivo de aplicativo, consulte OCI Secure Desktops: How To Confirm Compliance Using The OCI Secure Desktops Image Readiness Checker (KB100881)

  17. Clone a VM interrompida como um arquivo VMDK ou QCOW2. Consulte a documentação das ferramentas fornecidas com seu ambiente de virtualização para obter as etapas.

Próxima Etapa:

Importe o arquivo de imagem VMDK ou QCOW2 para o Oracle Cloud Infrastructure.

Importando uma VM Baseada no Windows

Após preparar uma imagem do Windows para importação, faça upload do arquivo de imagem e importe a imagem.

  1. Faça upload do arquivo de imagem para um bucket do Object Storage. Use a interface de linha de comando (CLI) para emitir o seguinte comando:
    oci --profile <profile in $HOME/.oci/config> --region <region> os object put\
        -bn <name of bucket> \
        -ns <name space> \
        --name <The name of the object in the bucket> \
        --file <path to the QCOW2 or VMDK image>
  2. Crie uma imagem personalizada com base no objeto de upload no bucket:
    oci --profile <profile in $HOME/.oci/config> --region <region> \
       compute image import from-object \
       -ns <name space> \
       -bn <name of bucket> \
       --name <The name of the object in the bucket> \
       --compartment-id <The OCID of the compartment you want the custom image to be created in> \
       --display-name <A user-friendly name for the new custom image> \
       --launch-mode PARAVIRTUALIZED \
       --source-image-type QCOW2|VMDK

    A imagem importada aparece na lista de imagens Personalizadas do compartimento, com o estado Importando. Quando a importação for concluída com sucesso, o estado mudará para Disponível.

    Se o estado não for alterado ou nenhuma entrada aparecer na lista de imagens personalizadas, a importação falhará. Certifique-se de ter acesso de leitura ao objeto do Object Storage e de que o objeto contenha uma imagem suportada.

  3. Atualize a imagem personalizada para especificar o sistema operacional Windows e a versão do sistema operacional Windows10 ou Windows11:
    oci --profile <profile in $HOME/.oci/config> --region <region> \
       compute image update --image-id <custom image ocid> \
       --operating-system Windows \
       --operating-system-version <Windows10 or Windows11>
  4. Certifique-se de que a imagem personalizada esteja definida para o modo de inicialização correto.
    • Para uma imagem do Windows 10, use UEFI ou o tipo de inicialização BIOS legado.
    • Para uma imagem do Windows 11, use somente o tipo de inicialização UEFI.

    Para ajustar o modo de inicialização:

    1. Abra o menu de navegação e clique em Compute. Em Compute, clique em Imagens Personalizadas.
    2. Clique na imagem personalizada em que você está interessado.
    3. Clique em Ações e selecione Editar recursos de imagem. Para Firmware, selecione o modo de inicialização apropriado.
    4. Clique em Salvar alterações.
  5. (Windows 11) Configure a imagem personalizada para instâncias blindadas.

    O Windows 11 inclui suporte para instâncias blindadas. As instâncias blindadas usam uma combinação de Inicialização Segura, Inicialização Medida e Módulo de Plataforma Confiável (TPM) para proteger a segurança de firmware para se defender contra software mal-intencionado de nível de inicialização.

    • A Inicialização Segura é um recurso da especificação UEFI (Unified Extensible Firmware Interface) que impede que carregadores de inicialização e sistemas operacionais não autorizados sejam inicializados.
    • A Inicialização Medida aumenta a segurança da inicialização armazenando medidas de componentes de inicialização, como carregadores de inicialização, drivers e sistemas operacionais.
    • O TCM (Trusted Platform Module) é um chip de segurança especializado usado pela Inicialização Medida para armazenar as medições de inicialização. A ativação da inicialização medida para VMs ativa automaticamente o TPM.

    Para ativar instâncias blindadas:

    1. Abra o menu de navegação e clique em Compute. Em Compute, clique em Imagens Personalizadas.
    2. Clique na imagem personalizada em que você está interessado.
    3. Clique em Ações e selecione Editar Recursos de Imagem. Defina o seguinte:
      • Para Firmware, certifique-se de que apenas UEFI-64 seja selecionado.
      • Garanta que a Inicialização Segura esteja ativada.
    4. Clique em Salvar alterações.

    Como resultado, quando você cria um pool de desktops usando essa imagem, o Secure Desktops detecta essa configuração de imagem e ativa automaticamente instâncias de desktops blindadas.

  6. Antes de disponibilizar sua imagem para uso com o Secure Desktops, recomendamos que você teste a imagem criando manualmente uma instância de computação com a imagem e estabelecendo uma conexão de console. Consulte Diagnosticando e Solucionando Problemas com o Uso de Conexões da Console da Instância .
  7. Adicione a tag de imagem necessária para disponibilizar a imagem para uso com o Secure Desktops.

    oci:desktops:is_desktop_image=true

    Consulte Tags de Áreas de Trabalho Seguras.