Host Guardian Service (HGS) ist eine leistungsstarke Sicherheitsfunktion in Windows Server, die überprüft, ob ein Host hochgeschützte virtuelle Maschinen ausführen kann. Durch die Verwaltung der Schlüssel, die zum Starten abgeschirmter VMs verwendet werden, bietet HGS eine zusätzliche Schutzebene gegen unbefugten Zugriff und Manipulation. Diese Anleitung führt Sie durch den Prozess der Einrichtung des Host Guardian Service auf Windows Server.
Was ist der Host Guardian Service?
Der in Windows Server 2016 eingeführte Host Guardian Service soll die Sicherheit virtueller Umgebungen verbessern. Es stellt sicher, dass nur vertrauenswürdige Hyper-V-Hosts abgeschirmte virtuelle Maschinen (VMs) ausführen können, bei denen es sich um VMs mit zusätzlichen Sicherheitsfunktionen handelt. Dieser zusätzliche Schutz ist für den Schutz sensibler Daten und Arbeitslasten in virtualisierten Umgebungen von entscheidender Bedeutung.
Konfigurieren des Host-Guardian-Dienstes
Die Einrichtung des Host Guardian Service umfasst mehrere wichtige Schritte. Gehen wir jeden einzelnen im Detail durch:
Schritt 1:Installieren Sie die Host-Guardian-Dienstrolle
Der erste Schritt besteht darin, die Rolle „Host Guardian Service“ zu Ihrem Windows Server hinzuzufügen. So geht's:
1. Öffnen Sie den Server-Manager
2. Gehen Sie zu Verwalten > Rollen und Funktionen hinzufügen
3. Klicken Sie im Assistenten zum Hinzufügen von Rollen und Funktionen auf Weiter
4. Wählen Sie „Rollenbasierte oder funktionsbasierte Installation“ und klicken Sie auf „Weiter“.
5. Wählen Sie den Server aus (oder behalten Sie die Standardeinstellung bei) und klicken Sie auf Weiter
6. Aktivieren Sie auf der Registerkarte „Serverrollen“ das Kontrollkästchen „Host Guardian Service“.
7. Wenn Sie aufgefordert werden, verwandte Funktionen hinzuzufügen, klicken Sie auf „Funktionen hinzufügen“.
Empfohlene Lektüre:So beheben Sie Ping-Fehler „Zielhost nicht erreichbar“ in Windows
8. Klicken Sie auf den verbleibenden Registerkarten auf Weiter
9. Aktivieren Sie auf der Registerkarte „Bestätigung“ die Option „Zielserver bei Bedarf automatisch neu starten“ (sofern für Ihre Umgebung geeignet).
10. Klicken Sie auf „Installieren“ und warten Sie, bis die Installation abgeschlossen ist
Schritt 2:Bereiten Sie die Active Directory-Gesamtstruktur für HGS vor
Nach der Installation der HGS-Rolle müssen Sie die Active Directory-Gesamtstruktur vorbereiten. Dieser Prozess richtet den HGS-Dienst und seine Abhängigkeiten ein. Es ist wichtig, dass die HGS-Maschine nicht in die Domäne eingebunden ist, bevor dieser Vorgang gestartet wird.
Öffnen Sie PowerShell als Administrator und führen Sie die folgenden Befehle aus:
$adminPassword = ConvertTo-SecureString -AsPlainText 'YourPassword' -Force
Install-HgsServer -HgsDomainName "YourDomain.com" -SafeModeAdministratorPassword $adminPassword -Restart
Ersetzen Sie „YourPassword“ durch ein sicheres Passwort und „YourDomain.com“ durch Ihren gewünschten Domainnamen. Dieser Befehl erstellt eine neue Active Directory-Gesamtstruktur speziell für HGS und erhebt den ersten HGS-Knoten zu einem primären Domänencontroller innerhalb dieser Domäne.
Schritt 3:Erstellen Sie selbstsignierte Zertifikate
HGS benötigt Zertifikate zur Verschlüsselung und Signierung. Obwohl es mehrere Möglichkeiten gibt, diese Zertifikate zu erhalten, verwenden wir für dieses Tutorial selbstsignierte Zertifikate. Beachten Sie, dass selbstsignierte Zertifikate am besten für Test- und Proof-of-Concept-Szenarien geeignet sind.
Führen Sie die folgenden PowerShell-Befehle aus, um die Zertifikate zu erstellen und zu exportieren:
$certificatePassword = ConvertTo-SecureString -AsPlainText 'CertPassword' -Force
$signingCert = New-SelfSignedCertificate -DnsName "SigningCert.com"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:signingCert.pfx'
$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:encryptionCert.pfx'
Ersetzen Sie „CertPassword“ durch ein sicheres Passwort Ihrer Wahl. Mit diesen Befehlen werden Signatur- und Verschlüsselungszertifikate erstellt und auf Ihr Laufwerk C: exportiert.
Schritt 4:Initialisieren Sie HGS und legen Sie den Attestierungstyp fest
Der letzte Schritt besteht darin, den Host Guardian Service zu initialisieren und den Attestierungstyp festzulegen. Wir verwenden die Hostschlüssel-Bescheinigung, die der vom Administrator vertrauenswürdigen Bescheinigung in Windows Server 2016 ähnelt.
Führen Sie den folgenden PowerShell-Befehl aus:
$certificatePassword = ConvertTo-SecureString -AsPlainText 'CertPassword' -Force
Initialize-HgsServer -LogDirectory c:temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword
Stellen Sie sicher, dass Sie „CertPassword“ durch das Passwort ersetzen, das Sie beim Erstellen der Zertifikate verwendet haben. Dieser Befehl initialisiert den HGS-Server, richtet die HTTP-Kommunikation ein, konfiguriert die Host-Schlüssel-Bescheinigung und gibt die Pfade zu Ihren Signatur- und Verschlüsselungszertifikaten an.
Nach Abschluss dieser Schritte haben Sie den Host Guardian Service erfolgreich auf Ihrem Windows Server eingerichtet. Sie können jetzt Schutzschilde für Ihre Hyper-V-VMs erstellen und so einen zusätzlichen Schutz vor Malware und unbefugtem Zugriff bieten. Denken Sie daran, Ihre HGS-Konfiguration regelmäßig zu aktualisieren und zu warten, um optimale Sicherheit für Ihre virtualisierte Umgebung zu gewährleisten.
