Como configurar o serviço Host Guardian no Windows Server

OServiço de Guardião Anfitriãoé um recurso de segurança que verifica se o host pode executar máquinas virtuais altamente protegidas. Ele gerencia as chaves usadas para iniciar VMs blindadas, que são VMs que fornecem recursos de segurança adicionais. Neste guia, aprenderemos como você podeconfigure o Host Guardian Service no Windows Server.

O que é o serviço Host Guardian?

O Host Guardian Service (HGS) é um recurso do Windows Server 2016 e posterior que melhora a segurança de ambientes virtuais. Ele garante que apenas hosts Hyper-V confiáveis ​​possam executar máquinas virtuais (VMs) protegidas. As VMs protegidas protegem contra adulteração e acesso não autorizado, mantendo dados e cargas de trabalho confidenciais seguros.

Configurar o serviço Host Guardian no Windows Server

Se você deseja instalar e configurar o Host Guardian Service no Windows Server, siga as etapas mencionadas abaixo.

  1. Instalar função de serviço Host Guardian
  2. Preparar floresta do Active Directory para HGS
  3. Crie um certificado autoprojetado
  4. Inicialize o HGS e defina o tipo de atestado que será utilizado

Vamos falar sobre eles em detalhes.

1] Instale a função de serviço Host Guardian

Antes de prosseguirmos e instalarmos a função de serviço Host Guardian, uma rápida lição de história-HGSé uma função de servidor relativamente nova introduzida no Windows Server 2016 para aumentar a segurança das máquinas virtuais, fornecendo uma estrutura guardiã.

Para instalar a função Host Guardian Service, você deve seguir as etapas mencionadas abaixo.

  1. Em primeiro lugar, abra oGerenciador de servidores.
  2. Agora, vá paraGerenciar > Adicionar funções e recursos.
  3. Uma vez queAssistente para adicionar funções e recursosaparecer, clique em Avançar.
  4. Certifique-se de que oInstalação baseada em funções ou recursosopção está selecionada e clique em Avançar.
  5. Selecione o servidor (ou mantenha-o padrão) e clique em Avançar.
  6. Uma vez que você está noFunções de servidoraba, marque aServiço de Guardião Anfitriãocaixa de seleção.
  7. Você verá um pop-up solicitando a instalação de recursos relacionados, clique emAdicionar recursos.
  8. Clique em Próximo.
  9. Como já selecionamos os recursos necessários, clique em Avançar para pular a guia Recursos.
  10. Ignore a guia AD DS clicando em Avançar e, em seguida, pule a guia Host Guardian Service clicando em Avançar.
  11. Uma vez que você está noConfirmaçãoguia, marqueReinicie o servidor de destino automaticamente (se necessário)(se você puder fazer isso) e clique em Instalar.

Você verá a barra de status da instalação, aguarde a conclusão, uma vez feito isso, você pode fechar o assistente de instalação.

2]Prepare a floresta do Active Directory para HGS

Depois de adicionar a função de servidor HGS, estaremos executando oInstalar-HgsServercmdlet. Isto preparará a floresta do Active Directory para o HGS, bem como configurará o serviço HGS e suas dependências. É crucial garantir que a máquina HGS não esteja ingressada no domínio antes de iniciar esse processo, a última visualização técnica antes do lançamento do mês anterior. A execução deste cmdlet no primeiro nó HGS elevá-lo-á a um controlador de domínio primário dentro do domínio escolhido. Uma vez feito isso, precisamos inicializar o HGS. Para fazer isso, execute os comandos mencionados abaixo.

$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force
Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart

Certifique-se de substituir 'yourPass' pela sua senha real e “myDomain.com” pelo seu nome de domínio real.

3] Crie um certificado autoprojetado

Para configurar o Host Guardian Service (HGS) para criptografia e assinatura, você precisará de certificados. Existem três maneiras de obter esses certificados:Usando seu próprio certificado PKI e arquivo PFX,adquirir um certificado apoiado por um módulo de segurança de hardware, oucriando certificados autoassinados. Como os certificados autoassinados são a opção mais simples, vamos usá-los neste tutorial, embora sejam mais adequados para cenários de avaliação e prova de conceito.

Para fazer o mesmo, você precisa abrirPowerShellcomo administrador e execute o seguinte comando.

$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force
$signingCert = New-SelfSignedCertificate -DnsName "certName.com"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'

Isso criará e exportará certificados assinados e criptografados.

Ler:

4] euinicialize o HGS e defina o tipo de atestado que será utilizado

A seguir, precisamosinicialize o HGS e defina o tipo de atestado que será utilizado. Para isso, usaremos o atestado de chave Host, que é semelhante ao atestado confiável do administrador se você estiver familiarizado com o Windows Server 2016. Para resolver o problema, você pode executar os seguintes comandos no modo elevado do PowerShell.

$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force
Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword

Certifique-se de substituir todas as variáveis ​​fornecidas na consulta.

Agora que aprendemos como iniciar o HGSServer, você pode criar um escudo para sua VM Hyper-V e proteger sua organização contra ataques de malware.

Ler:?

Como configurar o servidor Windows como servidor NTP?

Existem dois métodos para configurar o Windows Server como servidor NTP: você pode fazer alterações no registro ou fazer o mesmo usando o PowerShell. Só precisamos habilitar o servidor NTP, configurar o Win32Time e reiniciar o servidor NTP. Você pode consultar nosso guia sobre como.

Leia também:

Related Posts