TheUsługa opiekuna gospodarzato funkcja bezpieczeństwa, która sprawdza, czy host może uruchomić wysoce chronione maszyny wirtualne. Zarządza kluczami używanymi do uruchamiania ekranowanych maszyn wirtualnych, które zapewniają dodatkowe funkcje bezpieczeństwa. W tym przewodniku dowiemy się, jak to zrobićskonfiguruj usługę Host Guardian w systemie Windows Server.
Czym jest Usługa Opiekuna Gospodarza?
Usługa Host Guardian Service (HGS) to funkcja dostępna w systemie Windows Server 2016 i nowszych wersjach, która poprawia bezpieczeństwo środowisk wirtualnych. Zapewnia, że tylko zaufane hosty Hyper-V mogą uruchamiać chronione maszyny wirtualne (VM). Chronione maszyny wirtualne chronią przed manipulacją i nieautoryzowanym dostępem, zapewniając bezpieczeństwo wrażliwych danych i obciążeń.
Skonfiguruj usługę Host Guardian w systemie Windows Server
Jeśli chcesz zainstalować i skonfigurować usługę Host Guardian Service na Windows Server, wykonaj kroki wymienione poniżej.
- Zainstaluj rolę usługi Host Guardian
- Przygotuj las Active Directory dla HGS
- Utwórz samodzielnie zaprojektowany certyfikat
- Zainicjuj HGS i ustaw typ zaświadczenia, który będzie używany
Porozmawiajmy o nich szczegółowo.
1] Zainstaluj rolę usługi Host Guardian
Zanim przejdziemy dalej i zainstalujemy rolę usługi Host Guardian, krótka lekcja historii:HGSto stosunkowo nowa rola serwera wprowadzona w systemie Windows Server 2016 w celu zwiększenia bezpieczeństwa maszyn wirtualnych poprzez zapewnienie struktury zabezpieczającej.
Aby zainstalować rolę Host Guardian Service, musisz wykonać kroki wymienione poniżej.
- Przede wszystkim otwórz plikMenedżer serwera.
- Teraz idź doZarządzaj > Dodaj role i funkcje.
- RazKreator dodawania ról i funkcjiwyskakuje, kliknij Dalej.
- Upewnij się, żeInstalacja oparta na rolach lub funkcjachopcja jest zaznaczona i kliknij Dalej.
- Wybierz serwer (lub pozostaw domyślny) i kliknij Dalej.
- Gdy już znajdziesz się wRole serwerazakładkę, zaznaczUsługa opiekuna gospodarzapole wyboru.
- Zobaczysz wyskakujące okienko z prośbą o zainstalowanie powiązanych funkcji, kliknijDodaj funkcje.
- Kliknij Dalej.
- Ponieważ wybraliśmy już wymagane funkcje, kliknij Dalej, aby pominąć zakładkę Funkcje.
- Pomiń kartę AD DS, klikając Dalej, a następnie pomiń kartę Host Guardian Service, klikając Dalej.
- Gdy już znajdziesz się naPotwierdzeniezakładka, zaznaczAutomatycznie zrestartuj serwer docelowy (jeśli jest to wymagane)(jeśli możesz to zrobić), a następnie kliknij Zainstaluj.
Zobaczysz pasek stanu instalacji, poczekaj na jej zakończenie, po zakończeniu możesz zamknąć kreatora instalacji.
2] Przygotuj las Active Directory dla HGS
Po dodaniu roli serwera HGS będziemy wykonywaćZainstaluj HgsServerpolecenie cmdlet. Spowoduje to przygotowanie lasu Active Directory dla HGS, a także skonfigurowanie usługi HGS i jej zależności. Bardzo ważne jest, aby upewnić się, że maszyna HGS nie jest przyłączona do domeny przed rozpoczęciem tego procesu w ramach ostatniej wersji zapoznawczej przed wydaniem z poprzedniego miesiąca. Uruchomienie tego polecenia cmdlet na pierwszym węźle HGS spowoduje podniesienie go do poziomu głównego kontrolera domeny w wybranej domenie. Po zakończeniu musimy zainicjować HGS. Aby to zrobić, uruchom polecenia wymienione poniżej.
$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force
Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart
Pamiętaj, aby zastąpić „yourPass” rzeczywistym hasłem, a „myDomain.com” rzeczywistą nazwą domeny.
3] Utwórz samodzielnie zaprojektowany certyfikat
Aby skonfigurować usługę Host Guardian Service (HGS) do szyfrowania i podpisywania, potrzebne będą certyfikaty. Certyfikaty można uzyskać na trzy sposoby:Korzystanie z własnego certyfikatu PKI i pliku PFX,uzyskanie certyfikatu wspieranego przez sprzętowy moduł bezpieczeństwa, Lubtworzenie certyfikatów z podpisem własnym. Ponieważ certyfikaty z podpisem własnym są najprostszą opcją, użyjemy ich w tym samouczku, chociaż najlepiej nadają się do scenariuszy oceny i weryfikacji koncepcji.
Aby zrobić to samo, musisz otworzyćPowerShelljako administrator, a następnie uruchom następujące polecenie.
$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force
$signingCert = New-SelfSignedCertificate -DnsName "certName.com"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'
Spowoduje to utworzenie i wyeksportowanie certyfikatów podpisanych i szyfrowanych.
Czytać:
4] Izainicjuj HGS i ustaw typ zaświadczenia, który będzie używany
Musimy to zrobić dalejzainicjuj HGS i ustaw typ zaświadczenia, który będzie używany. W tym celu użyjemy zaświadczenia klucza hosta, które jest podobne do zaświadczenia zaufanego administratora, jeśli znasz system Windows Server 2016. Aby rozwiązać ten problem, możesz uruchomić następujące polecenia w trybie podwyższonego poziomu programu PowerShell.
$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force
Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword
Pamiętaj o zastąpieniu wszystkich zmiennych podanych w zapytaniu.
Teraz, gdy nauczyliśmy się, jak inicjować HGSServer, możesz śmiało stworzyć osłonę dla swojej maszyny wirtualnej Hyper-V i chronić swoją organizację przed atakami złośliwego oprogramowania.
Czytać:?
Jak skonfigurować serwer Windows jako serwer NTP?
Istnieją dwie metody konfiguracji systemu Windows Server jako serwera NTP. Możesz wprowadzić zmiany w rejestrze lub zrobić to samo za pomocą programu PowerShell. Musimy tylko włączyć serwer NTP, skonfigurować Win32Time, a następnie ponownie uruchomić serwer NTP. Możesz zapoznać się z naszym przewodnikiem, jak to zrobić.
Przeczytaj także: