Home Jak nakonfigurovat službu Host Guardian na Windows Server

Jak nakonfigurovat službu Host Guardian na Windows Server

TheSlužba opatrovníka hostiteleje bezpečnostní funkce, která kontroluje, zda hostitel může provozovat vysoce chráněné virtuální stroje. Spravuje klíče používané ke spouštění chráněných virtuálních počítačů, což jsou virtuální počítače, které poskytují další funkce zabezpečení. V této příručce se naučíme, jak můžetenakonfigurujte službu Host Guardian na Windows Server.

Co je to Host Guardian Service?

Host Guardian Service (HGS) je funkce v systému Windows Server 2016 a novějších, která zlepšuje zabezpečení virtuálních prostředí. Zajišťuje, že pouze důvěryhodní hostitelé Hyper-V mohou spouštět stíněné virtuální stroje (VM). Stíněné virtuální počítače chrání před manipulací a neoprávněným přístupem a udržují citlivá data a pracovní zátěž v bezpečí.

Nakonfigurujte službu Host Guardian na Windows Server

Pokud chcete nainstalovat a nakonfigurovat službu Host Guardian na Windows Server, postupujte podle níže uvedených kroků.

  1. Nainstalujte roli správce hostitele
  2. Připravte doménovou strukturu Active Directory pro HGS
  3. Vytvořte si vlastní certifikát
  4. Inicializujte HGS a nastavte typ atestace, která bude použita

Promluvme si o nich podrobně.

1] Nainstalujte roli služby Host Guardian

Než budeme pokračovat a nainstalujeme roli správce hostitele, rychlá lekce historie-HGSje relativně nová role serveru představená v systému Windows Server 2016 s cílem zlepšit zabezpečení virtuálních počítačů poskytnutím ochranné struktury.

Chcete-li nainstalovat roli Host Guardian Service, musíte postupovat podle kroků uvedených níže.

  1. Nejprve otevřeteSprávce serveru.
  2. Nyní jděte naSpravovat > Přidat role a funkce.
  3. JednouPrůvodce přidáním rolí a funkcíse objeví, klikněte na Další.
  4. Ujistěte se, žeInstalace na základě rolí nebo funkcíje vybrána možnost a klikněte na Další.
  5. Vyberte server (nebo jej ponechte jako výchozí) a klikněte na Další.
  6. Jakmile jste naRole serverukartu, zaškrtněteSlužba opatrovníka hostitelezaškrtávací políčko.
  7. Zobrazí se vyskakovací okno s výzvou k instalaci souvisejících funkcí, klikněte naPřidat funkce.
  8. Klikněte na Další.
  9. Protože jsme již vybrali požadované funkce, kliknutím na tlačítko Další přeskočte kartu Funkce.
  10. Přeskočte kartu AD DS kliknutím na tlačítko Další a poté přeskočte kartu Služba Host Guardian Service kliknutím na tlačítko Další.
  11. Jakmile jste naPotvrzenízáložka, zaškrtnutíAutomaticky restartujte cílový server (v případě potřeby)(pokud to dokážete) a poté klikněte na Instalovat.

Uvidíte stavový řádek instalace, počkejte na dokončení a po dokončení můžete průvodce instalací zavřít.

2] Připravte doménovou strukturu Active Directory pro HGS

Po přidání role serveru HGS spustímeInstall-HgsServercmdlet. Tím se připraví doménová struktura Active Directory pro HGS a také se nastaví služba HGS a její závislosti. Před zahájením tohoto procesu v posledním technickém náhledu před vydáním předchozího měsíce je důležité zajistit, aby stroj HGS nebyl připojen k doméně. Spuštění této rutiny na prvním uzlu HGS ji povýší na primární řadič domény ve zvolené doméně. Po dokončení musíme inicializovat HGS. Chcete-li to provést, spusťte níže uvedené příkazy.

$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force
Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart

Ujistěte se, že jste nahradili 'yourPass' svým skutečným heslem a "myDomain.com" svým skutečným názvem domény.

3] Vytvořte vlastní certifikát

Chcete-li nastavit službu Host Guardian Service (HGS) pro šifrování a podepisování, budete potřebovat certifikáty. Tyto certifikáty lze získat třemi způsoby:Pomocí vlastního certifikátu PKI a souboru PFX,získání certifikátu podporovaného hardwarovým bezpečnostním modulemnebovytváření certifikátů s vlastním podpisem. Protože certifikáty s vlastním podpisem jsou nejjednodušší možností, použijeme je pro tento tutoriál, i když jsou nejvhodnější pro scénáře hodnocení a ověřování konceptu.

Chcete-li udělat totéž, musíte otevřítPowerShelljako správce a poté spusťte následující příkaz.

$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force
$signingCert = New-SelfSignedCertificate -DnsName "certName.com"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'

Tím se vytvoří a exportují, podepsané a šifrovací certifikáty.

Číst:

4] Iinicializovat HGS a nastavit typ atestace, která bude použita

Dále musímeinicializujte HGS a nastavte typ atestace, která bude použita. K tomu použijeme atestaci klíče hostitele, která je podobná atestaci důvěryhodné pro správce, pokud znáte Windows Server 2016. Chcete-li problém vyřešit, můžete spustit následující příkazy ve zvýšeném režimu PowerShellu.

$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force
Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword

Ujistěte se, že jste nahradili všechny proměnné uvedené v dotazu.

Nyní, když jsme se naučili, jak spustit HGSServer, můžete pokračovat a vytvořit štít pro váš Hyper-V VM a chránit vaši organizaci před útoky malwaru.

Číst:?

Jak nakonfigurovat Windows server jako NTP server?

Existují dva způsoby, jak nakonfigurovat Windows Server jako server NTP, můžete buď provést změny v registru, nebo totéž provést pomocí prostředí PowerShell. Musíme povolit server NTP, nakonfigurovat Win32Time a potom restartovat server NTP. Můžete si projít našeho průvodce, jak na to.

Přečtěte si také:

Related Posts

Akční centrum Windows se neustále objevuje [oprava]

Akční centrum Windows se neustále objevuje [oprava]

2025-05-01
Jak se zmenšit a kompaktní virtuální pevné disky v Hyper-V

Jak se zmenšit a kompaktní virtuální pevné disky v Hyper-V

2025-03-11
Tiny11 STUCK ON Pojďme přidat váš účet Microsoft [oprava]

Tiny11 STUCK ON Pojďme přidat váš účet Microsoft [oprava]

2025-05-09
Nelze spustit AutoCAD. Chybí runtime závislé komponenty Microsoft Edge WebView2

Nelze spustit AutoCAD. Chybí runtime závislé komponenty Microsoft Edge WebView2

2025-03-18
Spravujte více monitorů jako profesionál pomocí PowerToys

Spravujte více monitorů jako profesionál pomocí PowerToys

2024-12-01
Průvodce Ransomware na stupních

Průvodce Ransomware na stupních

2025-04-30
Správce systému omezil typy přihlášení (síťové nebo interaktivní), které můžete používat

Správce systému omezil typy přihlášení (síťové nebo interaktivní), které můžete používat

2024-09-19
Konečný průvodce nástroji pro škrábání na webu a proxy IP pro 2024

Konečný průvodce nástroji pro škrábání na webu a proxy IP pro 2024

2025-10-04
Služby vývoje webu

Služby vývoje webu

2025-03-07
Nejlepší VPN pro používání TOR: Zůstaňte v bezpečí a anonym

Nejlepší VPN pro používání TOR: Zůstaňte v bezpečí a anonym

2025-07-10
Steam testuje nový osobní kalendář pro personalizaci objevování her

Steam testuje nový osobní kalendář pro personalizaci objevování her

2025-10-22
Jak odemknout iPad, pokud zapomenuté heslo iPad

Jak odemknout iPad, pokud zapomenuté heslo iPad

2025-04-30
Co dělat, když zapomenete na svůj přístupový kód času na vašem iPhone/iPad

Co dělat, když zapomenete na svůj přístupový kód času na vašem iPhone/iPad

2025-05-14
Nejnovější tipy a návody pro uživatele stolních počítačů a chytrých telefonů

Nejnovější tipy a návody pro uživatele stolních počítačů a chytrých telefonů

2024-12-20
Jak opravit chybu 0x803FA067 Problém aktivace Windows 11

Jak opravit chybu 0x803FA067 Problém aktivace Windows 11

2025-03-27