DerHost Guardian Serviceist eine Sicherheitsfunktion, die prüft, ob der Host hochgeschützte virtuelle Maschinen ausführen kann. Es verwaltet die Schlüssel, die zum Starten abgeschirmter VMs verwendet werden. Dabei handelt es sich um VMs, die zusätzliche Sicherheitsfunktionen bieten. In diesem Leitfaden erfahren Sie, wie Sie das könnenKonfigurieren Sie den Host Guardian Service auf Windows Server.
Was ist der Host Guardian Service?
Der Host Guardian Service (HGS) ist eine Funktion in Windows Server 2016 und höher, die die Sicherheit virtueller Umgebungen verbessert. Es stellt sicher, dass nur vertrauenswürdige Hyper-V-Hosts abgeschirmte virtuelle Maschinen (VMs) ausführen können. Abgeschirmte VMs schützen vor Manipulation und unbefugtem Zugriff und schützen sensible Daten und Arbeitslasten.
Konfigurieren Sie den Host Guardian-Dienst auf Windows Server
Wenn Sie den Host Guardian Service auf Windows Server installieren und konfigurieren möchten, befolgen Sie die unten aufgeführten Schritte.
- Installieren Sie die Host-Guardian-Dienstrolle
- Bereiten Sie die Active Directory-Gesamtstruktur für HGS vor
- Erstellen Sie ein selbst entworfenes Zertifikat
- Initialisieren Sie das HGS und legen Sie die Art der Bescheinigung fest, die verwendet werden soll
Lassen Sie uns ausführlich darüber sprechen.
1] Installieren Sie die Rolle „Host Guardian Service“.
Bevor wir mit der Installation der Host Guardian Service-Rolle fortfahren, eine kurze Geschichtslektion:HGSist eine relativ neue Serverrolle, die in Windows Server 2016 eingeführt wurde, um die Sicherheit der virtuellen Maschinen durch die Bereitstellung einer Guardian-Fabric zu erhöhen.
Um die Host Guardian Service-Rolle zu installieren, müssen Sie die unten aufgeführten Schritte ausführen.
- Öffnen Sie zunächst dieServermanager.
- Jetzt geh zuVerwalten > Rollen und Funktionen hinzufügen.
- Sobald dieAssistent zum Hinzufügen von Rollen und Funktionenerscheint, klicken Sie auf Weiter.
- Stellen Sie sicher, dass dieRollenbasierte oder funktionsbasierte InstallationOption ausgewählt ist und klicken Sie auf Weiter.
- Wählen Sie den Server aus (oder behalten Sie die Standardeinstellung bei) und klicken Sie auf Weiter.
- Sobald Sie am sindServerrollenKlicken Sie auf die RegisterkarteHost Guardian ServiceKontrollkästchen.
- Es erscheint ein Popup-Fenster, in dem Sie aufgefordert werden, entsprechende Funktionen zu installieren. Klicken Sie aufFunktionen hinzufügen.
- Klicken Sie auf Weiter.
- Da wir die erforderlichen Funktionen bereits ausgewählt haben, klicken Sie auf Weiter, um die Registerkarte „Funktionen“ zu überspringen.
- Überspringen Sie die Registerkarte „AD DS“, indem Sie auf „Weiter“ klicken, und überspringen Sie dann die Registerkarte „Host Guardian Service“, indem Sie auf „Weiter“ klicken.
- Sobald Sie auf der sindBestätigungTab, HäkchenDen Zielserver automatisch neu starten (falls erforderlich)(sofern Sie das können) und klicken Sie dann auf Installieren.
Sie sehen die Installationsstatusleiste. Warten Sie, bis sie abgeschlossen ist. Sobald Sie fertig sind, können Sie den Installationsassistenten schließen.
2] Bereiten Sie die Active Directory-Gesamtstruktur für HGS vor
Nachdem wir die HGS-Serverrolle hinzugefügt haben, führen wir Folgendes ausInstall-HgsServerCmdlet. Dadurch wird die Active Directory-Gesamtstruktur für HGS vorbereitet und der HGS-Dienst und seine Abhängigkeiten eingerichtet. Es ist wichtig, sicherzustellen, dass der HGS-Computer nicht in die Domäne eingebunden ist, bevor dieser Prozess in der letzten technischen Vorschau vor der Veröffentlichung im Vormonat eingeleitet wird. Wenn Sie dieses Cmdlet auf dem ersten HGS-Knoten ausführen, wird dieser zum primären Domänencontroller innerhalb der ausgewählten Domäne erhoben. Sobald wir fertig sind, müssen wir HGS initialisieren. Führen Sie dazu die unten genannten Befehle aus.
$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force
Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart
Stellen Sie sicher, dass Sie „yourPass“ durch Ihr tatsächliches Passwort und „myDomain.com“ durch Ihren tatsächlichen Domainnamen ersetzen.
3] Erstellen Sie ein selbst entworfenes Zertifikat
Um den Host Guardian Service (HGS) für die Verschlüsselung und Signatur einzurichten, benötigen Sie Zertifikate. Es gibt drei Möglichkeiten, diese Zertifikate zu erhalten:Verwendung Ihres eigenen PKI-Zertifikats und Ihrer eigenen PFX-Datei,Erwerb eines Zertifikats, das durch ein Hardware-Sicherheitsmodul unterstützt wird, oderErstellen selbstsignierter Zertifikate. Da selbstsignierte Zertifikate die einfachste Option sind, werden wir sie für dieses Tutorial verwenden, obwohl sie sich am besten für Evaluierungs- und Proof-of-Concept-Szenarien eignen.
Um dasselbe zu tun, müssen Sie öffnenPowerShellals Administrator und führen Sie dann den folgenden Befehl aus.
$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force
$signingCert = New-SelfSignedCertificate -DnsName "certName.com"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'
Dadurch werden signierte und verschlüsselte Zertifikate erstellt und exportiert.
Lesen:
4] IchInitialisieren Sie das HGS und legen Sie die Art der Bescheinigung fest, die verwendet werden soll
Als nächstes müssen wir es tunInitialisieren Sie das HGS und legen Sie die Art der Bescheinigung fest, die verwendet werden soll. Zu diesem Zweck verwenden wir die Hostschlüsselbescheinigung, die der vom Administrator vertrauenswürdigen Bescheinigung ähnelt, wenn Sie mit Windows Server 2016 vertraut sind. Um das Problem zu beheben, können Sie die folgenden Befehle im erhöhten Modus von PowerShell ausführen.
$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force
Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword
Stellen Sie sicher, dass Sie alle in der Abfrage angegebenen Variablen ersetzen.
Nachdem wir nun gelernt haben, wie man HGSServer initiiert, können Sie einen Schutzschild für Ihre Hyper-V-VM erstellen und Ihr Unternehmen vor Malware-Angriffen schützen.
Lesen:?
Wie konfiguriere ich einen Windows-Server als NTP-Server?
Es gibt zwei Methoden, Windows Server als NTP-Server zu konfigurieren: Sie können entweder Änderungen an der Registrierung vornehmen oder dasselbe mit PowerShell tun. Wir müssen lediglich den NTP-Server aktivieren, Win32Time konfigurieren und dann den NTP-Server neu starten. In unserem Leitfaden erfahren Sie, wie es geht.
Lesen Sie auch: