ΟΥπηρεσία κηδεμόνα υποδοχήςείναι μια δυνατότητα ασφαλείας που ελέγχει εάν ο κεντρικός υπολογιστής μπορεί να τρέξει εξαιρετικά προστατευμένες εικονικές μηχανές. Διαχειρίζεται τα κλειδιά που χρησιμοποιούνται για την εκκίνηση των θωρακισμένων VM, τα οποία είναι εικονικά μηχανήματα που παρέχουν πρόσθετες λειτουργίες ασφαλείας. Σε αυτόν τον οδηγό, θα μάθουμε πώς μπορείτερυθμίστε τις παραμέτρους του Host Guardian Service στον Windows Server.
Τι είναι η υπηρεσία Host Guardian Service;
Η υπηρεσία Host Guardian Service (HGS) είναι μια δυνατότητα στον Windows Server 2016 και μεταγενέστερα, που βελτιώνει την ασφάλεια των εικονικών περιβαλλόντων. Διασφαλίζει ότι μόνο αξιόπιστοι κεντρικοί υπολογιστές Hyper-V μπορούν να εκτελούν θωρακισμένες εικονικές μηχανές (VM). Τα θωρακισμένα VM προστατεύουν από παραβιάσεις και μη εξουσιοδοτημένη πρόσβαση, διατηρώντας ασφαλή τα ευαίσθητα δεδομένα και τον φόρτο εργασίας.
Ρύθμιση παραμέτρων Host Guardian Service στον Windows Server
Εάν θέλετε να εγκαταστήσετε και να ρυθμίσετε τις παραμέτρους του Host Guardian Service στον Windows Server, ακολουθήστε τα βήματα που αναφέρονται παρακάτω.
- Εγκαταστήστε το ρόλο υπηρεσίας κηδεμόνα κεντρικού υπολογιστή
- Προετοιμάστε το δάσος Active Directory για το HGS
- Δημιουργήστε ένα αυτοσχεδιασμένο πιστοποιητικό
- Αρχικοποιήστε το HGS και ορίστε τον τύπο της βεβαίωσης που θα χρησιμοποιηθεί
Ας μιλήσουμε για αυτούς λεπτομερώς.
1] Εγκαταστήστε το ρόλο υπηρεσίας φύλαξης κεντρικού υπολογιστή
Προτού προχωρήσουμε και εγκαταστήσουμε τον ρόλο υπηρεσίας Host Guardian, ένα γρήγορο μάθημα ιστορίας-HGSείναι ένας σχετικά νέος ρόλος διακομιστή που εισήχθη στον Windows Server 2016 προκειμένου να ενισχυθεί η ασφάλεια των εικονικών μηχανών παρέχοντας ένα ύφασμα φύλακα.
Για να εγκαταστήσετε τον ρόλο του Host Guardian Service, πρέπει να ακολουθήσετε τα βήματα που αναφέρονται παρακάτω.
- Πρώτα απ 'όλα, ανοίξτε τοΔιαχειριστής διακομιστή.
- Τώρα, πηγαίνετε στοΔιαχείριση > Προσθήκη ρόλων και δυνατοτήτων.
- Μόλις τοΟδηγός προσθήκης ρόλων και δυνατοτήτωνεμφανίζεται, κάντε κλικ στο Επόμενο.
- Βεβαιωθείτε ότι τοΕγκατάσταση βασισμένη σε ρόλους ή σε χαρακτηριστικάεπιλέγεται η επιλογή και κάντε κλικ στο Επόμενο.
- Επιλέξτε τον διακομιστή (ή διατηρήστε τον ως προεπιλογή) και κάντε κλικ στο Επόμενο.
- Μόλις βρεθείτε στοΡόλοι διακομιστήκαρτέλα, σημειώστε τοΥπηρεσία κηδεμόνα υποδοχήςπλαίσιο ελέγχου.
- Θα δείτε ένα αναδυόμενο παράθυρο που σας ζητά να εγκαταστήσετε σχετικές λειτουργίες, κάντε κλικ στοΠροσθήκη δυνατοτήτων.
- Κάντε κλικ στο Επόμενο.
- Εφόσον έχουμε ήδη επιλέξει τις απαιτούμενες δυνατότητες, κάντε κλικ στο Επόμενο για να παραλείψετε την καρτέλα Χαρακτηριστικά.
- Παραλείψτε την καρτέλα AD DS κάνοντας κλικ στο Next και, στη συνέχεια, παραλείψτε την καρτέλα Host Guardian Service κάνοντας κλικ στο Next.
- Μόλις βρεθείτε στοΕπιβεβαίωσηκαρτέλα, τικΕπανεκκινήστε αυτόματα τον διακομιστή προορισμού (εάν απαιτείται)(αν μπορείτε να το κάνετε αυτό) και μετά κάντε κλικ στο Εγκατάσταση.
Θα δείτε τη γραμμή κατάστασης εγκατάστασης, περιμένετε να ολοκληρωθεί, μόλις ολοκληρωθεί, μπορείτε να κλείσετε τον οδηγό εγκατάστασης.
2] Προετοιμάστε το δάσος Active Directory για το HGS
Αφού προσθέσουμε τον ρόλο διακομιστή HGS, θα εκτελέσουμε τοΕγκατάσταση-HgsServercmdlet. Αυτό θα προετοιμάσει το δάσος Active Directory για το HGS, καθώς και θα ρυθμίσει την υπηρεσία HGS και τις εξαρτήσεις της. Είναι σημαντικό να διασφαλίσετε ότι το μηχάνημα HGS δεν είναι συνδεδεμένο σε τομέα προτού ξεκινήσετε αυτήν τη διαδικασία την τελευταία τεχνική προεπισκόπηση πριν από την κυκλοφορία του προηγούμενου μήνα. Η εκτέλεση αυτού του cmdlet στον πρώτο κόμβο HGS θα το ανυψώσει σε έναν κύριο ελεγκτή τομέα εντός του επιλεγμένου τομέα. Μόλις τελειώσουμε, πρέπει να αρχικοποιήσουμε το HGS. Για να το κάνετε αυτό, εκτελέστε τις εντολές που αναφέρονται παρακάτω.
$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force
Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart
Φροντίστε να αντικαταστήσετε το "yourPass" με τον πραγματικό κωδικό πρόσβασής σας και το "myDomain.com" με το πραγματικό σας όνομα τομέα.
3] Δημιουργήστε ένα αυτοσχεδιασμένο πιστοποιητικό
Για να ρυθμίσετε την υπηρεσία Host Guardian Service (HGS) για κρυπτογράφηση και υπογραφή, θα χρειαστείτε πιστοποιητικά. Υπάρχουν τρεις τρόποι για να αποκτήσετε αυτά τα πιστοποιητικά:Χρησιμοποιώντας το δικό σας πιστοποιητικό PKI και αρχείο PFX,απόκτηση πιστοποιητικού που υποστηρίζεται από μια μονάδα ασφαλείας υλικού, ήδημιουργία αυτουπογεγραμμένων πιστοποιητικών. Δεδομένου ότι τα αυτο-υπογεγραμμένα πιστοποιητικά είναι η απλούστερη επιλογή, θα τα χρησιμοποιήσουμε για αυτό το σεμινάριο, αν και είναι τα καλύτερα κατάλληλα για σενάρια αξιολόγησης και απόδειξης ιδέας.
Για να κάνετε το ίδιο, πρέπει να ανοίξετεPowerShellως διαχειριστής και μετά εκτελέστε την ακόλουθη εντολή.
$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force
$signingCert = New-SelfSignedCertificate -DnsName "certName.com"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'
Αυτό θα δημιουργήσει και θα εξαγάγει, υπογεγραμμένα και κρυπτογραφημένα πιστοποιητικά.
Ανάγνωση:
4] Ιαρχικοποιήστε το HGS και ορίστε τον τύπο της βεβαίωσης που θα χρησιμοποιηθεί
Στη συνέχεια, πρέπειαρχικοποιήστε το HGS και ορίστε τον τύπο της βεβαίωσης που θα χρησιμοποιηθεί. Για αυτό, θα χρησιμοποιήσουμε τη βεβαίωση κλειδιού κεντρικού υπολογιστή, η οποία είναι παρόμοια με τη βεβαίωση αξιόπιστης διαχείρισης, εάν είστε εξοικειωμένοι με τον Windows Server 2016. Για να επιλύσετε το πρόβλημα, μπορείτε να εκτελέσετε τις ακόλουθες εντολές στην ανυψωμένη λειτουργία του PowerShell.
$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force
Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword
Βεβαιωθείτε ότι έχετε αντικαταστήσει όλες τις μεταβλητές που δίνονται στο ερώτημα.
Τώρα που μάθαμε πώς να ξεκινήσουμε το HGSServer, μπορείτε να προχωρήσετε και να δημιουργήσετε μια ασπίδα για το Hyper-V VM σας και να προστατέψετε τον οργανισμό σας από επιθέσεις κακόβουλου λογισμικού.
Ανάγνωση:?
Πώς να ρυθμίσετε τον διακομιστή Windows ως διακομιστή NTP;
Υπάρχουν δύο μέθοδοι για να ρυθμίσετε τον Windows Server ως διακομιστή NTP, μπορείτε είτε να κάνετε αλλαγές στο μητρώο είτε να κάνετε το ίδιο χρησιμοποιώντας το PowerShell. Απλώς πρέπει να ενεργοποιήσουμε τον διακομιστή NTP, να διαμορφώσουμε το Win32Time και, στη συνέχεια, να επανεκκινήσουμε τον διακομιστή NTP. Μπορείτε να διαβάσετε τον οδηγό μας για το πώς να το κάνετε.
Διαβάστε επίσης: