ЗСлужба опікунів -господаря- це функція безпеки, яка перевіряє, чи хост може запускати високо захищені віртуальні машини. Він керує клавішами, які використовуються для запуску екранованих VM, які є VM, які забезпечують додаткові функції безпеки. У цьому посібнику ми дізнаємось, як можнаНалаштуйте службу Host Guardian на сервері Windows.
Що таке служба опікунів -господаря?
Служба Host Guardian (HGS) - це функція в Windows Server 2016, а пізніше, що покращує безпеку віртуальних середовищ. Це гарантує, що лише довірені хости Hyper-V можуть запускати екрановані віртуальні машини (VM). Захищені захисні ВМ від підробки та несанкціонованого доступу, зберігаючи конфіденційні дані та навантаження в безпеці.
Налаштуйте службу Host Guardian на сервері Windows
Якщо ви хочете встановити та налаштувати службу Host Guardian на Windows Server, виконайте кроки, згадані нижче.
- Встановіть роль служби опікуна хостів
- Підготуйте лісовий ліс для HGS
- Створіть сертифікат самозакоханого
- Ініціалізуйте HGS та встановіть тип атестації, який буде використовуватися
Давайте поговоримо про них детально.
1] Встановіть роль служби опікуна хостів
Перш ніж ми підемо і встановимо роль служби опікунів-господаря, швидкий урокHGSце відносно нова роль сервера, представлена в Windows Server 2016 з метою підвищення безпеки віртуальних машин, надаючи тканину опікуна.
Щоб встановити роль служби опікуна хостів, ви повинні виконати, згадані нижче кроки.
- Перш за все, відкрийтеМенеджер серверів.
- Тепер перейдіть доКеруйте> Додати ролі та функції.
- Одного разуДодайте ролі та майстриВискакує, натисніть Далі.
- Переконайтесь, щоУстановка на основі ролей або функційОпція вибрана та натисніть кнопку Далі.
- Виберіть сервер (або зберігайте його за замовчуванням) та натисніть кнопку Далі.
- Як тільки ти опинишся вРолі серверавкладка, галочкаСлужба опікунів -господаряпрапорець.
- Ви побачите спливаюче вікно з проханням встановити пов’язані функції, натисніть наДодати функції.
- Клацніть Далі.
- Оскільки ми вже вибрали необхідні функції, натисніть далі, щоб пропустити вкладку «Особливості».
- Пропустіть вкладку AD DS, натиснувши далі, а потім пропустіть вкладку Служба Host Guardian, натиснувши далі.
- Як тільки ти будеш наПідтвердженнявкладка, галочкаАвтоматично перезапустіть сервер призначення (якщо потрібно)(Якщо ви можете це зробити), а потім натисніть на встановлення.
Ви побачите панель стану встановлення, зачекайте, поки вона завершиться, як тільки закінчиться, ви можете закрити майстра встановлення.
2] Підготуйте Active Directory Lost
Після додавання ролі сервера HGS ми виконаємоВстановлення-hgsserverCmdlet. Це підготує ліс Active Directory для HGS, а також створить службу HGS та її залежності. Важливо забезпечити, щоб машина HGS не була пов'язана з доменом, перш ніж ініціювати цей процес останнього технічного попереднього перегляду до випуску попереднього місяця. Запуск цього командлета на першому вузлі HGS підніме його до первинного контролера домену в обраному домені. Після закінчення нам потрібно ініціалізувати HGS. Для цього запустіть команди, згадані нижче.
$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force
Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart
Не забудьте замінити "YourPass" на свій фактичний пароль та "mydomain.com" на своє фактичне доменне ім'я.
3] Створіть сертифікат самозакоханого
Щоб налаштувати службу Host Guardian (HGS) для шифрування та підписання, вам знадобляться сертифікати. Існує три способи отримання цих сертифікатів:Використовуючи власний сертифікат PKI та PFX -файл,придбання сертифіката, підкріпленого модулем безпеки обладнанняАБОСтворення самопідписаних сертифікатів. Оскільки сертифікати самопідписання-це найпростіший варіант, ми будемо використовувати його для цього підручника, хоча вони найкраще підходять для оцінювання та доказів концепцій.
Щоб зробити те ж саме, вам потрібно відкритиPowerShellяк адміністратор, а потім запустити наступну команду.
$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force
$signingCert = New-SelfSignedCertificate -DnsName "certName.com"
Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"
Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'
Це створить та експортує, підписані та шифрування сертифікатів.
Прочитайте:
4] iнітіалізуйте HGS та встановіть тип атестації, який буде використовуватися
Далі нам потрібноІніціалізуйте HGS та встановіть тип атестації, який буде використовуватися. Для цього ми будемо використовувати атестацію ключа хостів, що схоже на атестацію адміністратора, якщо ви знайомі з Windows Server 2016. Для вирішення проблеми ви можете запустити наступні команди у піднесеному режимі PowerShell.
$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force
Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword
Переконайтесь, що замініть усі змінні, наведені в запиті.
Тепер, коли ми навчилися ініціювати HGSServer, ви можете продовжувати і створити щит для свого VM Hyper-V та захистити свою організацію від нападів зловмисного програмного забезпечення.
Прочитайте:?
Як налаштувати Windows Server як NTP -сервер?
Існує два методи налаштування Windows Server як NTP -сервер, ви можете або внести зміни в реєстр, або зробити те ж саме за допомогою PowerShell. Нам просто потрібно ввімкнути NTP -сервер, налаштувати Win32Time, а потім перезапустити сервер NTP. Ви можете пройти наш путівник про те, як це зробити.
Також читайте: