AHost Guardian Serviceegy biztonsági funkció, amely ellenőrzi, hogy a gazdagép futtathat-e fokozottan védett virtuális gépeket. Ez kezeli az árnyékolt virtuális gépek indításához használt kulcsokat, amelyek további biztonsági szolgáltatásokat nyújtó virtuális gépek. Ebben az útmutatóban megtudjuk, hogyan teheti ezt megkonfigurálja a Host Guardian szolgáltatást a Windows Server rendszeren.

Mi az a Host Guardian Service?

A Host Guardian Service (HGS) a Windows Server 2016 és újabb verzióiban található szolgáltatás, amely javítja a virtuális környezetek biztonságát. Biztosítja, hogy csak megbízható Hyper-V gazdagépek futtathassanak árnyékolt virtuális gépeket (VM). Az árnyékolt virtuális gépek védelmet nyújtanak a manipuláció és az illetéktelen hozzáférés ellen, így biztonságban tartják az érzékeny adatokat és munkaterheléseket.

Konfigurálja a Host Guardian szolgáltatást a Windows Server rendszeren

Ha telepíteni és konfigurálni szeretné a Host Guardian szolgáltatást a Windows Server rendszeren, kövesse az alábbi lépéseket.

1. Telepítse a Host Guardian szolgáltatási szerepkört
2. Az Active Directory erdő előkészítése a HGS számára
3. Hozzon létre egy saját tervezésű tanúsítványt
4. Inicializálja a HGS-t, és állítsa be a használni kívánt tanúsítvány típusát

Beszéljünk róluk részletesen.

1] Telepítse a Host Guardian szolgáltatási szerepkört

Mielőtt nekilátnánk a Host Guardian Service Role telepítésének, egy gyors történelemleckeHGSegy viszonylag új kiszolgálói szerepkör, amelyet a Windows Server 2016-ban vezettek be a virtuális gépek biztonságának növelése érdekében egy gyámszövet biztosításával.

A Host Guardian Service szerepkör telepítéséhez kövesse az alábbi lépéseket.

1. Először nyissa meg aSzerverkezelő.
2. Most menj ideKezelés > Szerepkörök és szolgáltatások hozzáadása.
3. Egyszer aSzerepkörök és szolgáltatások hozzáadása varázslófelugrik, kattintson a Tovább gombra.
4. Győződjön meg arról, hogy aSzerep alapú vagy szolgáltatás alapú telepítésopció van kiválasztva, és kattintson a Tovább gombra.
5. Válassza ki a kiszolgálót (vagy tartsa alapértelmezettként), és kattintson a Tovább gombra.
6. Ha egyszer aSzerver szerepkörökfület, jelölje be aHost Guardian Servicejelölőnégyzetet.
7. Megjelenik egy felugró ablak, amely felkéri a kapcsolódó szolgáltatások telepítésére, kattintson a gombraFunkciók hozzáadása.
8. Kattintson a Tovább gombra.
9. Mivel már kiválasztottuk a szükséges szolgáltatásokat, a Funkciók lap kihagyásához kattintson a Tovább gombra.
10. Hagyja ki az AD DS lapot a Tovább gombra kattintva, majd a Host Guardian Service lapot a Tovább gombra kattintva.
11. Miután aMegerősítésfül, pipaA célkiszolgáló automatikus újraindítása (ha szükséges)(ha megteheti), majd kattintson a Telepítés gombra.

Látni fogja a telepítési állapotsort, várja meg, amíg befejeződik, ha kész, bezárhatja a telepítővarázslót.

2] Active Directory erdő előkészítése a HGS számára

A HGS-kiszolgálói szerepkör hozzáadása után végrehajtjuk aInstall-HgsServercmdlet. Ez előkészíti az Active Directory erdőt a HGS számára, valamint beállítja a HGS szolgáltatást és függőségeit. Alapvető fontosságú annak biztosítása, hogy a HGS-gép ne legyen tartományhoz csatlakozva, mielőtt elindítaná ezt a folyamatot, az előző havi megjelenés előtti utolsó technikai előnézetet. Ennek a parancsmagnak az első HGS-csomóponton való futtatása elsődleges tartományvezérlővé emeli a kiválasztott tartományon belül. Ha kész, inicializálnunk kell a HGS-t. Ehhez futtassa az alább említett parancsokat.

$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force

Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart

Ügyeljen arra, hogy a „yourPass” helyett a tényleges jelszavát adja meg, a „myDomain.com” szót pedig a tényleges domain nevével.

3] Hozzon létre egy saját tervezésű tanúsítványt

A Host Guardian Service (HGS) titkosításhoz és aláíráshoz való beállításához tanúsítványokra lesz szüksége. A tanúsítványok megszerzésének három módja van:Saját PKI-tanúsítvány és PFX-fájl használata,Hardverbiztonsági modullal támogatott tanúsítvány beszerzése, vagyönaláírt tanúsítványok létrehozása. Mivel az önaláírt tanúsítványok a legegyszerűbb megoldás, ezt fogjuk használni ebben az oktatóanyagban, bár ezek a legalkalmasabbak az értékeléshez és a koncepció bizonyításához.

Ugyanezhez meg kell nyitniaPowerShellrendszergazdaként, majd futtassa a következő parancsot.

$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force

$signingCert = New-SelfSignedCertificate -DnsName "certName.com"

Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'

$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"

Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'

Ez létrehozza és exportálja az aláírt és titkosítási tanúsítványokat.

Olvas:

4] Iinicializálja a HGS-t, és állítsa be a használni kívánt tanúsítvány típusát

Legközelebb nekünk kellinicializálja a HGS-t, és állítsa be a használni kívánt tanúsítvány típusát. Ehhez a gazdagép-kulcs tanúsítványt fogjuk használni, amely hasonló a rendszergazda által megbízható tanúsításhoz, ha ismeri a Windows Server 2016 rendszert. A probléma megoldásához futtassa a következő parancsokat a PowerShell emelt módban.

$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force

Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword

Ügyeljen arra, hogy a lekérdezésben megadott összes változót lecserélje.

Most, hogy megtanultuk, hogyan kell elindítani a HGSServer-t, létrehozhat egy pajzsot Hyper-V virtuális gépéhez, és megvédheti szervezetét a rosszindulatú programok támadásaitól.

Olvas:?

Hogyan állíthatom be a Windows szervert NTP-kiszolgálóként?

Kétféle módon konfigurálhatja a Windows Servert NTP-kiszolgálóként: módosíthatja a beállításjegyzéket, vagy ugyanezt a PowerShell segítségével. Csak engedélyeznünk kell az NTP-kiszolgálót, be kell állítani a Win32Time-ot, majd újra kell indítanunk az NTP-kiszolgálót. Végignézheti útmutatónkat, hogy hogyan.

Olvassa el még: