Jak skonfigurować usługę Host Guardian w systemie Windows Server

TheUsługa opiekuna gospodarzato funkcja bezpieczeństwa, która sprawdza, czy host może uruchomić wysoce chronione maszyny wirtualne. Zarządza kluczami używanymi do uruchamiania ekranowanych maszyn wirtualnych, które zapewniają dodatkowe funkcje bezpieczeństwa. W tym przewodniku dowiemy się, jak to zrobićskonfiguruj usługę Host Guardian w systemie Windows Server.

Czym jest Usługa Opiekuna Gospodarza?

Usługa Host Guardian Service (HGS) to funkcja dostępna w systemie Windows Server 2016 i nowszych wersjach, która poprawia bezpieczeństwo środowisk wirtualnych. Zapewnia, że ​​tylko zaufane hosty Hyper-V mogą uruchamiać chronione maszyny wirtualne (VM). Chronione maszyny wirtualne chronią przed manipulacją i nieautoryzowanym dostępem, zapewniając bezpieczeństwo wrażliwych danych i obciążeń.

Skonfiguruj usługę Host Guardian w systemie Windows Server

Jeśli chcesz zainstalować i skonfigurować usługę Host Guardian Service na Windows Server, wykonaj kroki wymienione poniżej.

  1. Zainstaluj rolę usługi Host Guardian
  2. Przygotuj las Active Directory dla HGS
  3. Utwórz samodzielnie zaprojektowany certyfikat
  4. Zainicjuj HGS i ustaw typ zaświadczenia, który będzie używany

Porozmawiajmy o nich szczegółowo.

1] Zainstaluj rolę usługi Host Guardian

Zanim przejdziemy dalej i zainstalujemy rolę usługi Host Guardian, krótka lekcja historii:HGSto stosunkowo nowa rola serwera wprowadzona w systemie Windows Server 2016 w celu zwiększenia bezpieczeństwa maszyn wirtualnych poprzez zapewnienie struktury zabezpieczającej.

Aby zainstalować rolę Host Guardian Service, musisz wykonać kroki wymienione poniżej.

  1. Przede wszystkim otwórz plikMenedżer serwera.
  2. Teraz idź doZarządzaj > Dodaj role i funkcje.
  3. RazKreator dodawania ról i funkcjiwyskakuje, kliknij Dalej.
  4. Upewnij się, żeInstalacja oparta na rolach lub funkcjachopcja jest zaznaczona i kliknij Dalej.
  5. Wybierz serwer (lub pozostaw domyślny) i kliknij Dalej.
  6. Gdy już znajdziesz się wRole serwerazakładkę, zaznaczUsługa opiekuna gospodarzapole wyboru.
  7. Zobaczysz wyskakujące okienko z prośbą o zainstalowanie powiązanych funkcji, kliknijDodaj funkcje.
  8. Kliknij Dalej.
  9. Ponieważ wybraliśmy już wymagane funkcje, kliknij Dalej, aby pominąć zakładkę Funkcje.
  10. Pomiń kartę AD DS, klikając Dalej, a następnie pomiń kartę Host Guardian Service, klikając Dalej.
  11. Gdy już znajdziesz się naPotwierdzeniezakładka, zaznaczAutomatycznie zrestartuj serwer docelowy (jeśli jest to wymagane)(jeśli możesz to zrobić), a następnie kliknij Zainstaluj.

Zobaczysz pasek stanu instalacji, poczekaj na jej zakończenie, po zakończeniu możesz zamknąć kreatora instalacji.

2] Przygotuj las Active Directory dla HGS

Po dodaniu roli serwera HGS będziemy wykonywaćZainstaluj HgsServerpolecenie cmdlet. Spowoduje to przygotowanie lasu Active Directory dla HGS, a także skonfigurowanie usługi HGS i jej zależności. Bardzo ważne jest, aby upewnić się, że maszyna HGS nie jest przyłączona do domeny przed rozpoczęciem tego procesu w ramach ostatniej wersji zapoznawczej przed wydaniem z poprzedniego miesiąca. Uruchomienie tego polecenia cmdlet na pierwszym węźle HGS spowoduje podniesienie go do poziomu głównego kontrolera domeny w wybranej domenie. Po zakończeniu musimy zainicjować HGS. Aby to zrobić, uruchom polecenia wymienione poniżej.

$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force
Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart

Pamiętaj, aby zastąpić „yourPass” rzeczywistym hasłem, a „myDomain.com” rzeczywistą nazwą domeny.

3] Utwórz samodzielnie zaprojektowany certyfikat

Aby skonfigurować usługę Host Guardian Service (HGS) do szyfrowania i podpisywania, potrzebne będą certyfikaty. Certyfikaty można uzyskać na trzy sposoby:Korzystanie z własnego certyfikatu PKI i pliku PFX,uzyskanie certyfikatu wspieranego przez sprzętowy moduł bezpieczeństwa, Lubtworzenie certyfikatów z podpisem własnym. Ponieważ certyfikaty z podpisem własnym są najprostszą opcją, użyjemy ich w tym samouczku, chociaż najlepiej nadają się do scenariuszy oceny i weryfikacji koncepcji.

Aby zrobić to samo, musisz otworzyćPowerShelljako administrator, a następnie uruchom następujące polecenie.

$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force
$signingCert = New-SelfSignedCertificate -DnsName "certName.com"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'

Spowoduje to utworzenie i wyeksportowanie certyfikatów podpisanych i szyfrowanych.

Czytać:

4] Izainicjuj HGS i ustaw typ zaświadczenia, który będzie używany

Musimy to zrobić dalejzainicjuj HGS i ustaw typ zaświadczenia, który będzie używany. W tym celu użyjemy zaświadczenia klucza hosta, które jest podobne do zaświadczenia zaufanego administratora, jeśli znasz system Windows Server 2016. Aby rozwiązać ten problem, możesz uruchomić następujące polecenia w trybie podwyższonego poziomu programu PowerShell.

$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force
Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword

Pamiętaj o zastąpieniu wszystkich zmiennych podanych w zapytaniu.

Teraz, gdy nauczyliśmy się, jak inicjować HGSServer, możesz śmiało stworzyć osłonę dla swojej maszyny wirtualnej Hyper-V i chronić swoją organizację przed atakami złośliwego oprogramowania.

Czytać:?

Jak skonfigurować serwer Windows jako serwer NTP?

Istnieją dwie metody konfiguracji systemu Windows Server jako serwera NTP. Możesz wprowadzić zmiany w rejestrze lub zrobić to samo za pomocą programu PowerShell. Musimy tylko włączyć serwer NTP, skonfigurować Win32Time, a następnie ponownie uruchomić serwer NTP. Możesz zapoznać się z naszym przewodnikiem, jak to zrobić.

Przeczytaj także:

Related Posts