DeVärd förmyndartjänstär en säkerhetsfunktion som kontrollerar om värden kan köra högt skyddade virtuella maskiner. Den hanterar nycklarna som används för att starta upp skärmade virtuella datorer, som är virtuella datorer som tillhandahåller ytterligare säkerhetsfunktioner. I den här guiden ska vi lära oss hur du kankonfigurera Host Guardian Service på Windows Server.
Vad är Host Guardian Service?
Host Guardian Service (HGS) är en funktion i Windows Server 2016 och senare, som förbättrar säkerheten i virtuella miljöer. Det säkerställer att endast betrodda Hyper-V-värdar kan köra skärmade virtuella maskiner (VM). Skärmade virtuella datorer skyddar mot manipulering och obehörig åtkomst, och håller känslig data och arbetsbelastning säkra.
Konfigurera Host Guardian Service på Windows Server
Om du vill installera och konfigurera Host Guardian Service på Windows Server, följ stegen nedan.
- Installera Host Guardian Service Roll
- Förbered Active Directory-skogen för HGS
- Skapa ett självdesignat certifikat
- Initiera HGS och ange vilken typ av intyg som ska användas
Låt oss prata om dem i detalj.
1] Installera Host Guardian Service Roll
Innan vi går vidare och installerar tjänsten Host Guardian Service Roll, en snabb historielektion-HGSär en relativt ny serverroll som introduceras i Windows Server 2016 för att förbättra säkerheten för de virtuella maskinerna genom att tillhandahålla ett väktartyg.
För att installera rollen Host Guardian Service måste du följa stegen som nämns nedan.
- Först av allt, öppnaServerhanterare.
- Gå nu tillHantera > Lägg till roller och funktioner.
- NärGuiden Lägg till roller och funktionerdyker upp, klicka på Nästa.
- Se till attRollbaserad eller funktionsbaserad installationalternativet är markerat och klicka på Nästa.
- Välj servern (eller behåll den som standard) och klicka på Nästa.
- När du väl är vidServerrollerfliken, markeraVärd förmyndartjänstkryssrutan.
- Du kommer att se en popup som ber dig att installera relaterade funktioner, klicka påLägg till funktioner.
- Klicka på Nästa.
- Eftersom vi redan har valt de nödvändiga funktionerna, klicka på Nästa för att hoppa över fliken Funktioner.
- Hoppa över AD DS-fliken genom att klicka på Nästa och hoppa över fliken Host Guardian Service genom att klicka på Nästa.
- När du väl är påBekräftelseflik, bockStarta om målservern automatiskt (om det behövs)(om du kan göra det) och klicka sedan på Installera.
Du kommer att se installationsstatusfältet, vänta tills det är klart, när det är klart kan du stänga installationsguiden.
2] Förbered Active Directory-skogen för HGS
Efter att ha lagt till HGS-serverrollen kommer vi att köraInstallera-HgsServercmdlet. Detta kommer att förbereda Active Directory-skogen för HGS, samt ställa in HGS-tjänsten och dess beroenden. Det är avgörande att se till att HGS-maskinen inte är domänansluten innan den här processen påbörjas den sista tekniska förhandsgranskningen innan föregående månads release. Att köra denna cmdlet på den första HGS-noden kommer att höja den till en primär domänkontrollant inom den valda domänen. När vi är klara måste vi initiera HGS. För att göra det, kör kommandona som nämns nedan.
$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force
Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart
Se till att ersätta "yourPass" med ditt faktiska lösenord och "myDomain.com" med ditt faktiska domännamn.
3] Skapa ett självdesignat certifikat
För att konfigurera Host Guardian Service (HGS) för kryptering och signering behöver du certifikat. Det finns tre sätt att få dessa certifikat:Använd ditt eget PKI-certifikat och PFX-fil,skaffa ett certifikat som backas upp av en hårdvarusäkerhetsmodul, ellerskapa självsignerade certifikat. Eftersom självsignerade certifikat är det enklaste alternativet, kommer vi att använda det för denna handledning, även om de är bäst lämpade för utvärdering och proof-of-concept-scenarier.
För att göra detsamma måste du öppnaPowerShellsom administratör och kör sedan följande kommando.
$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force
$signingCert = New-SelfSignedCertificate -DnsName "certName.com"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'
Detta kommer att skapa och exportera, signerade och krypteringscertifikat.
Läsa:
4] Iinitiera HGS och ange vilken typ av intyg som ska användas
Nästa steg måste viinitiera HGS och ange vilken typ av intyg som ska användas. För detta kommer vi att använda Host key attestation, som liknar Admin-trusted attestation om du är bekant med Windows Server 2016. För att lösa problemet kan du köra följande kommandon i PowerShells förhöjda läge.
$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force
Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword
Se till att ersätta alla variabler som anges i frågan.
Nu när vi har lärt oss hur man initierar HGSServer kan du fortsätta och skapa en sköld för din Hyper-V VM och skydda din organisation från skadliga attacker.
Läsa:?
Hur konfigurerar jag Windows-servern som NTP-server?
Det finns två sätt att konfigurera Windows Server som NTP-server, du kan antingen göra ändringar i registret eller göra samma sak med PowerShell. Vi behöver bara aktivera NTP-servern, konfigurera Win32Time och sedan starta om NTP-servern. Du kan gå igenom vår guide om hur du gör.
Läs också: