ThePriimančioji globėjo tarnybayra saugos funkcija, kuri tikrina, ar priegloba gali paleisti labai apsaugotas virtualias mašinas. Jis valdo raktus, naudojamus paleidžiant ekranuotas VM, kurios yra VM, kurios suteikia papildomų saugos funkcijų. Šiame vadove mes sužinosime, kaip galitesukonfigūruokite „Host Guardian Service“ sistemoje „Windows Server“.

Kas yra Host Guardian Service?

„Host Guardian Service“ (HGS) yra „Windows Server 2016“ ir naujesnių versijų funkcija, kuri pagerina virtualių aplinkų saugumą. Tai užtikrina, kad tik patikimi „Hyper-V“ pagrindiniai kompiuteriai gali paleisti ekranuotas virtualias mašinas (VM). Ekranuotos VM apsaugo nuo klastojimo ir neteisėtos prieigos, saugo neskelbtinus duomenis ir darbo krūvius.

„Windows Server“ sukonfigūruokite „Host Guardian Service“.

Jei norite įdiegti ir konfigūruoti „Host Guardian Service“ sistemoje „Windows Server“, atlikite toliau nurodytus veiksmus.

1. Įdiekite Host Guardian Service Role
2. Paruoškite „Active Directory“ mišką HGS
3. Sukurkite savarankiškai sukurtą sertifikatą
4. Inicijuokite HGS ir nustatykite atestacijos tipą, kuris bus naudojamas

Pakalbėkime apie juos išsamiai.

1] Įdiekite Host Guardian Service Role

Prieš pradėdami diegti Host Guardian Service Role, trumpa istorijos pamokaHGSyra palyginti naujas serverio vaidmuo, įdiegtas sistemoje „Windows Server 2016“, siekiant pagerinti virtualių mašinų saugą, suteikiant globėjų audinį.

Norėdami įdiegti Host Guardian Service vaidmenį, turite atlikti toliau nurodytus veiksmus.

1. Pirmiausia atidarykiteServerio tvarkyklė.
2. Dabar eik įTvarkyti > Pridėti vaidmenų ir funkcijų.
3. KartąPridėti vaidmenų ir funkcijų vedlįpasirodo, spustelėkite Pirmyn.
4. Įsitikinkite, kadVaidmenų arba funkcijų diegimasPasirinkta parinktis ir spustelėkite Pirmyn.
5. Pasirinkite serverį (arba palikite numatytąjį) ir spustelėkite Pirmyn.
6. Kai būsite prieServerio vaidmenysskirtuką, pažymėkitePriimančioji globėjo tarnybažymimąjį laukelį.
7. Pamatysite iššokantįjį langą, kuriame bus prašoma įdiegti susijusias funkcijas, spustelėkitePridėti funkcijų.
8. Spustelėkite Kitas.
9. Kadangi jau pasirinkome reikiamas funkcijas, spustelėkite Kitas, kad praleistumėte skirtuką Funkcijos.
10. Praleiskite AD DS skirtuką spustelėdami Kitas, tada praleiskite skirtuką „Host Guardian Service“ spustelėdami Kitas.
11. Kai būsite antPatvirtinimasskirtukas, varneleAutomatiškai iš naujo paleiskite paskirties serverį (jei reikia)(jei galite tai padaryti), tada spustelėkite Įdiegti.

Pamatysite diegimo būsenos juostą, palaukite, kol ji bus baigta, o baigę galėsite uždaryti diegimo vedlį.

2] Paruoškite Active Directory mišką HGS

Pridėję HGS serverio vaidmenį, vykdysimeĮdiegti-HgsServercmdlet. Taip bus paruoštas Active Directory miškas HGS, taip pat bus nustatyta HGS paslauga ir jos priklausomybės. Labai svarbu užtikrinti, kad HGS įrenginys nebūtų prijungtas prie domeno prieš pradedant šį procesą paskutinę techninę peržiūrą prieš praėjusio mėnesio išleidimą. Paleidus šią cmdlet pirmame HGS mazge jis bus pakeltas į pirminį domeno valdiklį pasirinktame domene. Baigę turime inicijuoti HGS. Norėdami tai padaryti, paleiskite toliau nurodytas komandas.

$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force

Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart

Būtinai pakeiskite „yourPass“ tikruoju slaptažodžiu, o „myDomain.com“ – tikruoju domeno pavadinimu.

3] Sukurkite savo sukurtą sertifikatą

Norėdami nustatyti šifravimo ir pasirašymo prieglobos globėjo paslaugą (HGS), jums reikės sertifikatų. Yra trys būdai gauti šiuos sertifikatus:Naudodami savo PKI sertifikatą ir PFX failą,gauti sertifikatą, paremtą aparatūros saugos moduliu, arbasavarankiškai pasirašytų sertifikatų kūrimas. Kadangi savarankiškai pasirašyti sertifikatai yra paprasčiausias pasirinkimas, mes ketiname jį naudoti šioje mokymo programoje, nors jie geriausiai tinka vertinant ir patvirtinant koncepcijos scenarijus.

Norėdami tai padaryti, turite atidarytiPowerShellkaip administratorius ir paleiskite šią komandą.

$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force

$signingCert = New-SelfSignedCertificate -DnsName "certName.com"

Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'

$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"

Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'

Taip bus sukurti ir eksportuoti pasirašyti ir šifruojami sertifikatai.

Skaityti:

4] Iinicijuokite HGS ir nustatykite atestacijos tipą, kuris bus naudojamas

Toliau mums reikiainicijuokite HGS ir nustatykite atestacijos tipą, kuris bus naudojamas. Tam naudosime pagrindinio kompiuterio rakto patvirtinimą, kuris yra panašus į administratoriaus patikimą patvirtinimą, jei esate susipažinę su Windows Server 2016. Norėdami išspręsti problemą, galite paleisti šias komandas padidintu PowerShell režimu.

$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force

Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword

Būtinai pakeiskite visus užklausoje pateiktus kintamuosius.

Dabar, kai sužinojome, kaip inicijuoti HGSServer, galite tęsti ir sukurti savo Hyper-V VM skydą ir apsaugoti savo organizaciją nuo kenkėjiškų programų atakų.

Skaityti:?

Kaip sukonfigūruoti Windows serverį kaip NTP serverį?

Yra du būdai, kaip konfigūruoti „Windows Server“ kaip NTP serverį. Galite atlikti registro pakeitimus arba atlikti tą patį naudodami „PowerShell“. Mums tereikia įjungti NTP serverį, sukonfigūruoti Win32Time ir iš naujo paleisti NTP serverį. Galite peržiūrėti mūsų vadovą, kaip tai padaryti.

Taip pat skaitykite: