Windows Server でホストガーディアンサービスを構成する方法

のホストガーディアンサービスホストが高度に保護された仮想マシンを実行できるかどうかをチェックするセキュリティ機能です。追加のセキュリティ機能を提供する VM であるシールドされた VM の起動に使用されるキーを管理します。このガイドでは、その方法を学びます。Windows Server でホストガーディアンサービスを構成します。

ホストガーディアンサービスとは何ですか?

Host Guardian Service (HGS) は、仮想環境のセキュリティを向上させる Windows Server 2016 以降の機能です。これにより、信頼された Hyper-V ホストのみがシールドされた仮想マシン (VM) を実行できるようになります。 Shielded VM は改ざんや不正アクセスから保護し、機密データとワークロードを安全に保ちます。

Windows Server でホストガーディアンサービスを構成する

Windows Server に Host Guardian サービスをインストールして構成する場合は、以下の手順に従ってください。

ホストガーディアンサービスロールのインストール
HGS 用の Active Directory フォレストを準備する
自己設計の証明書を作成する
HGS を初期化し、使用する証明書の種類を設定します。

それらについて詳しく話しましょう。

1] ホストガーディアンサービスロールをインストールする

ホストガーディアンサービスロールのインストールに進む前に、簡単な歴史のレッスンを行ってください。HGSは、ガーディアンファブリックを提供することで仮想マシンのセキュリティを強化するために、Windows Server 2016 で導入された比較的新しいサーバーの役割です。

ホストガーディアンサービスの役割をインストールするには、以下の手順に従う必要があります。

まず、開いてくださいサーバーマネージャー。
さあ、次へ行ってください「管理」>「役割と機能の追加」。
一度役割と機能の追加ウィザードポップアップが表示されたら、「次へ」をクリックします。
ことを確認してください。役割ベースまたは機能ベースのインストールオプションが選択されていることを確認し、「次へ」をクリックします。
サーバーを選択し（またはデフォルトのままにし）、「次へ」をクリックします。
到着したら、サーバーの役割タブでチェックを入れますホストガーディアンサービスチェックボックス。
関連機能をインストールするかどうかを尋ねるポップアップが表示されます。機能を追加します。
「次へ」をクリックします。
必要な機能をすでに選択しているため、「次へ」をクリックして「機能」タブをスキップします。
[次へ] をクリックして [AD DS] タブをスキップし、[次へ] をクリックして [ホストガーディアンサービス] タブをスキップします。
オンになったら、確認タブ、チェックマーク宛先サーバーを自動的に再起動します (必要な場合)(それができる場合)、[インストール]をクリックします。

インストールステータスバーが表示され、完了するまで待ちます。完了したら、インストールウィザードを閉じます。

2] HGS 用の Active Directory フォレストを準備する

HGS サーバーの役割を追加した後、インストール-HgsServerコマンドレット。これにより、HGS 用の Active Directory フォレストが準備され、HGS サービスとその依存関係がセットアップされます。前月のリリース前の最後のテクニカルプレビューでこのプロセスを開始する前に、HGS コンピューターがドメインに参加していないことを確認することが重要です。最初の HGS ノードでこのコマンドレットを実行すると、選択したドメイン内のプライマリドメインコントローラーに昇格されます。完了したら、HGS を初期化する必要があります。これを行うには、以下のコマンドを実行します。

$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force

Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart

「yourPass」を実際のパスワードに置き換え、「myDomain.com」を実際のドメイン名に置き換えてください。

3] 独自にデザインした証明書を作成する

暗号化と署名のためにホストガーディアンサービス (HGS) を設定するには、証明書が必要です。これらの証明書を取得するには、次の 3 つの方法があります。独自の PKI 証明書と PFX ファイルの使用、ハードウェアセキュリティモジュールによって裏付けられた証明書の取得、または自己署名証明書の作成。自己署名証明書は最も単純なオプションであるため、このチュートリアルではこれを使用しますが、評価および概念実証のシナリオに最適です。

同じことを行うには、次のように開く必要がありますパワーシェル管理者として次のコマンドを実行します。

$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force

$signingCert = New-SelfSignedCertificate -DnsName "certName.com"

Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'

$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"

Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'

これにより、署名付き証明書と暗号化証明書が作成およびエクスポートされます。

読む：

4]私HGS を初期化し、使用される証明書の種類を設定します。

次に行う必要があるのは、HGS を初期化し、使用される証明書の種類を設定します。このため、Windows Server 2016 に精通している場合は、管理者の信頼された構成証明に似たホストキー構成証明を使用します。この問題を解決するには、PowerShell の管理者特権モードで次のコマンドを実行できます。

$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force

Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword

クエリで指定されたすべての変数を必ず置き換えてください。

HGSServer を開始する方法を学習したので、Hyper-V VM のシールドを作成して組織をマルウェア攻撃から保護できます。

読む：?

WindowsサーバーをNTPサーバーとして設定するにはどうすればよいですか?

Windows Server を NTP サーバーとして構成するには 2 つの方法があり、レジストリを変更するか、PowerShell を使用して同じ変更を行うことができます。 NTP サーバーを有効にし、Win32Time を構成して、NTP サーバーを再起動するだけです。その方法についてはガイドをご覧ください。。

こちらもお読みください: