DeHost Guardian Serviceer en sikkerhetsfunksjon som sjekker om verten kan kjøre svært beskyttede virtuelle maskiner. Den administrerer nøklene som brukes til å starte opp skjermede VM-er, som er VM-er som gir ekstra sikkerhetsfunksjoner. I denne veiledningen skal vi lære hvordan du kankonfigurere Host Guardian Service på Windows Server.
Hva er Host Guardian Service?
Host Guardian Service (HGS) er en funksjon i Windows Server 2016 og nyere, som forbedrer sikkerheten til virtuelle miljøer. Det sikrer at bare pålitelige Hyper-V-verter kan kjøre skjermede virtuelle maskiner (VM). Beskyttede VM-er beskytter mot tukling og uautorisert tilgang, og holder sensitive data og arbeidsbelastninger trygge.
Konfigurer Host Guardian Service på Windows Server
Hvis du vil installere og konfigurere Host Guardian Service på Windows Server, følg trinnene nevnt nedenfor.
- Installer Vert Guardian Service Rolle
- Forbered Active Directory-skogen for HGS
- Lag et selvdesignet sertifikat
- Initialiser HGS og angi hvilken type attestasjon som skal brukes
La oss snakke om dem i detalj.
1] Installer Vert Guardian Service Rolle
Før vi går videre og installerer tjenesterollen Host Guardian, en rask historieleksjon-HGSer en relativt ny serverrolle introdusert i Windows Server 2016 for å forbedre sikkerheten til de virtuelle maskinene ved å tilby et beskyttende stoff.
For å installere rollen Host Guardian Service må du følge trinnene nevnt nedenfor.
- Først av alt, åpneServer Manager.
- Nå, gå tilAdministrer > Legg til roller og funksjoner.
- NårVeiviseren for å legge til roller og funksjonerdukker opp, klikk på Neste.
- Sørg for atRollebasert eller funksjonsbasert installasjonalternativet er valgt og klikk på Neste.
- Velg serveren (eller behold den som standard) og klikk på Neste.
- Når du er påServerrollerfanen, merk avHost Guardian Serviceavmerkingsboksen.
- Du vil se en popup som ber deg installere relaterte funksjoner, klikk påLegg til funksjoner.
- Klikk på Neste.
- Siden vi allerede har valgt de nødvendige funksjonene, klikker du på Neste for å hoppe over fanen Funksjoner.
- Hopp over AD DS-fanen ved å klikke på Neste og hopp over kategorien Host Guardian Service ved å klikke på Neste.
- Når du er påBekreftelsefane, kryss avStart målserveren på nytt automatisk (hvis nødvendig)(hvis du kan gjøre det), og klikk deretter på Installer.
Du vil se installasjonsstatuslinjen, vent til den er fullført, når du er ferdig, kan du lukke installasjonsveiviseren.
2] Forbered Active Directory-skogen for HGS
Etter å ha lagt til HGS-serverrollen, vil vi utføreInstaller-HgsServercmdlet. Dette vil forberede Active Directory-skogen for HGS, samt sette opp HGS-tjenesten og dens avhengigheter. Det er avgjørende å sikre at HGS-maskinen ikke er domenetilknyttet før du starter denne prosessen den siste tekniske forhåndsvisningen før forrige måneds utgivelse. Å kjøre denne cmdleten på den første HGS-noden vil heve den til en primær domenekontroller innenfor det valgte domenet. Når det er gjort, må vi initialisere HGS. For å gjøre det, kjør kommandoene nevnt nedenfor.
$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force
Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart
Sørg for å erstatte 'yourPass' med ditt faktiske passord og "myDomain.com" med ditt faktiske domenenavn.
3] Lag et selvdesignet sertifikat
For å sette opp Host Guardian Service (HGS) for kryptering og signering, trenger du sertifikater. Det er tre måter å få disse sertifikatene på:Bruke ditt eget PKI-sertifikat og PFX-fil,skaffe et sertifikat støttet av en maskinvaresikkerhetsmodul, ellerlage selvsignerte sertifikater. Siden selvsignerte sertifikater er det enkleste alternativet, kommer vi til å bruke det for denne opplæringen, selv om de er best egnet for evaluering og proof-of-concept-scenarier.
For å gjøre det samme, må du åpnePowerShellsom administrator og kjør deretter følgende kommando.
$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force
$signingCert = New-SelfSignedCertificate -DnsName "certName.com"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'
Dette vil opprette og eksportere, signerte og krypteringssertifikater.
Lese:
4] jeginitialiser HGS og angi hvilken type attestasjon som skal brukes
Neste opp må viinitialisere HGS og angi hvilken type attestasjon som skal brukes. Til dette vil vi bruke Host key attestation, som ligner på Admin-trusted attestation hvis du er kjent med Windows Server 2016. For å løse problemet kan du kjøre følgende kommandoer i PowerShells forhøyede modus.
$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force
Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword
Sørg for å erstatte alle variablene gitt i spørringen.
Nå som vi har lært hvordan du starter HGSServer, kan du gå videre og lage et skjold for Hyper-V VM og beskytte organisasjonen din mot angrep fra skadelig programvare.
Lese:?
Hvordan konfigurere Windows-serveren som NTP-server?
Det er to metoder for å konfigurere Windows Server som NTP-server, du kan enten gjøre endringer i registret eller gjøre det samme ved å bruke PowerShell. Vi trenger bare å aktivere NTP-serveren, konfigurere Win32Time og deretter starte NTP-serveren på nytt. Du kan gå gjennom guiden vår om hvordan.
Les også: