ILServizio di guardiania dell'hostè una funzionalità di sicurezza che controlla se l'host può eseguire macchine virtuali altamente protette. Gestisce le chiavi utilizzate per avviare VM schermate, ovvero VM che forniscono funzionalità di sicurezza aggiuntive. In questa guida impareremo come farloconfigurare il servizio Host Guardian su Windows Server.
Cos'è il servizio Host Guardian?
Host Guardian Service (HGS) è una funzionalità di Windows Server 2016 e versioni successive che migliora la sicurezza degli ambienti virtuali. Garantisce che solo gli host Hyper-V attendibili possano eseguire macchine virtuali schermate (VM). Le VM schermate proteggono da manomissioni e accessi non autorizzati, mantenendo al sicuro dati sensibili e carichi di lavoro.
Configura il servizio Host Guardian su Windows Server
Se desideri installare e configurare il servizio Host Guardian su Windows Server, segui i passaggi indicati di seguito.
- Installa il ruolo del servizio Guardiano host
- Preparare la foresta di Active Directory per HGS
- Crea un certificato autoprogettato
- Inizializzare l'HGS e impostare il tipo di attestazione che verrà utilizzato
Parliamo di loro in dettaglio.
1] Installa il ruolo del servizio Host Guardian
Prima di procedere con l'installazione del ruolo di servizio Host Guardian, una breve lezione di storia:HGSè relativamente un nuovo ruolo server introdotto in Windows Server 2016 per migliorare la sicurezza delle macchine virtuali fornendo una struttura di guardia.
Per installare il ruolo del servizio Host Guardian, è necessario seguire i passaggi indicati di seguito.
- Prima di tutto apri il fileGestore del server.
- Adesso vai aGestisci > Aggiungi ruoli e funzionalità.
- Una volta cheProcedura guidata Aggiungi ruoli e funzionalitàviene visualizzato, fare clic su Avanti.
- Assicurati che ilInstallazione basata su ruoli o funzionalitàl'opzione è selezionata e fare clic su Avanti.
- Seleziona il server (o mantienilo predefinito) e fai clic su Avanti.
- Una volta che sei alRuoli del serverscheda, seleziona la casellaServizio di guardiania dell'hostcasella di controllo.
- Verrà visualizzato un popup che ti chiede di installare le funzionalità correlate, fai clic suAggiungi funzionalità.
- Fare clic su Avanti.
- Poiché abbiamo già selezionato le funzionalità richieste, fare clic su Avanti per saltare la scheda Funzionalità.
- Saltare la scheda Servizi di dominio Active Directory facendo clic su Avanti, quindi saltare la scheda Servizio Host Guardian facendo clic su Avanti.
- Una volta che sei sulConfermascheda, segno di spuntaRiavvia automaticamente il server di destinazione (se richiesto)(se puoi farlo), quindi fai clic su Installa.
Verrà visualizzata la barra di stato dell'installazione, attendi il completamento, una volta terminato puoi chiudere la procedura guidata di installazione.
2] Preparare la foresta di Active Directory per HGS
Dopo aver aggiunto il ruolo del server HGS, eseguiremo il fileInstalla-HgsServercmdlet. Ciò preparerà la foresta di Active Directory per HGS, oltre a configurare il servizio HGS e le relative dipendenze. È fondamentale garantire che la macchina HGS non venga aggiunta al dominio prima di avviare questo processo nell'ultima anteprima tecnica prima del rilascio del mese precedente. L'esecuzione di questo cmdlet sul primo nodo HGS lo eleverà a controller di dominio primario all'interno del dominio scelto. Una volta terminato, dobbiamo inizializzare HGS. Per fare ciò, esegui i comandi menzionati di seguito.
$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force
Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart
Assicurati di sostituire "yourPass" con la tua password effettiva e "myDomain.com" con il tuo nome di dominio effettivo.
3] Crea un certificato autoprogettato
Per configurare Host Guardian Service (HGS) per la crittografia e la firma, avrai bisogno di certificati. Esistono tre modi per ottenere questi certificati:Utilizzando il tuo certificato PKI e il file PFX,acquisizione di un certificato supportato da un modulo di sicurezza hardware, Ocreazione di certificati autofirmati. Poiché i certificati autofirmati rappresentano l'opzione più semplice, li utilizzeremo per questo tutorial, sebbene siano più adatti per scenari di valutazione e prova di concetto.
Per fare lo stesso, devi aprirePowerShellcome amministratore ed eseguire il comando seguente.
$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force
$signingCert = New-SelfSignedCertificate -DnsName "certName.com"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'
Ciò creerà ed esporterà certificati firmati e di crittografia.
Leggere:
4] Ionizializzare l'HGS e impostare il tipo di attestazione che verrà utilizzato
Successivamente, dobbiamo farloinizializzare l'HGS e impostare il tipo di attestazione che verrà utilizzato. Per questo utilizzeremo l'attestazione della chiave host, che è simile all'attestazione con attendibilità dell'amministratore se hai familiarità con Windows Server 2016. Per risolvere il problema, puoi eseguire i comandi seguenti nella modalità elevata di PowerShell.
$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force
Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword
Assicurati di sostituire tutte le variabili fornite nella query.
Ora che abbiamo imparato come avviare HGSServer, puoi procedere e creare uno scudo per la tua VM Hyper-V e proteggere la tua organizzazione dagli attacchi malware.
Leggere:?
Come configurare il server Windows come server NTP?
Esistono due metodi per configurare Windows Server come server NTP, è possibile apportare modifiche al registro o fare lo stesso utilizzando PowerShell. Dobbiamo solo abilitare il server NTP, configurare Win32Time e quindi riavviare il server NTP. Puoi consultare la nostra guida su come farlo.
Leggi anche: