TheСлужба охорони господаряце функція безпеки, яка перевіряє, чи може хост запускати високозахищені віртуальні машини. Він керує ключами, які використовуються для запуску екранованих віртуальних машин, тобто віртуальних машин, які надають додаткові функції безпеки. У цьому посібнику ми дізнаємося, як ви можетеналаштувати службу Host Guardian на Windows Server.

Що таке Host Guardian Service?

Служба Host Guardian Service (HGS) — це функція Windows Server 2016 і новіших версій, яка покращує безпеку віртуальних середовищ. Це гарантує, що лише надійні хости Hyper-V можуть запускати екрановані віртуальні машини (ВМ). Екрановані віртуальні машини захищають від втручання та несанкціонованого доступу, захищаючи конфіденційні дані та робочі навантаження.

Налаштуйте службу Host Guardian на Windows Server

Якщо ви хочете встановити та налаштувати службу Host Guardian на Windows Server, виконайте наведені нижче дії.

1. Інсталюйте роль Host Guardian Service
2. Підготуйте ліс Active Directory для HGS
3. Створіть власноруч розроблений сертифікат
4. Ініціалізуйте HGS і встановіть тип атестації, який буде використовуватися

Поговоримо про них докладніше.

1] Встановіть роль Host Guardian Service

Перш ніж ми продовжимо та встановимо роль Host Guardian Service Role, короткий урок історії –HGSце відносно нова роль сервера, представлена ​​в Windows Server 2016, щоб підвищити безпеку віртуальних машин шляхом надання опікунської тканини.

Щоб установити роль Host Guardian Service, ви повинні виконати наведені нижче дії.

1. Перш за все, відкрийтеМенеджер сервера.
2. Тепер перейдіть доКерувати > Додати ролі та функції.
3. Одного разуМайстер додавання ролей і функційспливає, натисніть Далі.
4. Переконайтеся, щоВстановлення на основі ролей або функційвибрано та натисніть кнопку Далі.
5. Виберіть сервер (або залиште його за замовчуванням) і натисніть «Далі».
6. Як тільки ви опинитесь наРолі серверавкладку, поставте галочкуСлужба охорони господаряпрапорець.
7. Ви побачите спливаюче вікно з проханням встановити відповідні функції, натиснітьДодати функції.
8. Натисніть Далі.
9. Оскільки ми вже вибрали необхідні функції, натисніть «Далі», щоб пропустити вкладку «Функції».
10. Пропустіть вкладку AD DS, натиснувши «Далі», а потім пропустіть вкладку «Служба опікуна хосту», натиснувши «Далі».
11. Як тільки ви перебуваєте наПідтвердженнявкладка, галочкаАвтоматично перезапустіть цільовий сервер (за потреби)(якщо ви можете це зробити), а потім натисніть «Встановити».

Ви побачите рядок стану інсталяції, зачекайте, поки вона завершиться, після завершення ви можете закрити майстер інсталяції.

2] Підготуйте ліс Active Directory для HGS

Після додавання ролі сервера HGS ми будемо виконуватиВстановити-HgsServerкомандлет. Це підготує ліс Active Directory для HGS, а також налаштує службу HGS і її залежності. Важливо переконатися, що машина HGS не приєднана до домену, перш ніж ініціювати цей процес останнього технічного попереднього перегляду перед випуском за попередній місяць. Запуск цього командлета на першому вузлі HGS підніме його до основного контролера домену у вибраному домені. Після цього нам потрібно ініціалізувати HGS. Для цього виконайте наведені нижче команди.

$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force

Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart

Обов’язково замініть «yourPass» на справжній пароль, а «myDomain.com» — на ваше фактичне доменне ім’я.

3] Створіть власноруч розроблений сертифікат

Щоб налаштувати службу Host Guardian Service (HGS) для шифрування та підпису, вам знадобляться сертифікати. Є три способи отримати ці сертифікати:Використання власного сертифіката PKI та файлу PFX,отримання сертифіката, що підтримується апаратним модулем безпеки, абостворення самопідписаних сертифікатів. Оскільки самопідписані сертифікати є найпростішим варіантом, ми збираємося використовувати його для цього підручника, хоча вони найкраще підходять для сценаріїв оцінювання та підтвердження концепції.

Щоб зробити те ж саме, потрібно відкритиPowerShellяк адміністратор, а потім виконайте таку команду.

$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force

$signingCert = New-SelfSignedCertificate -DnsName "certName.com"

Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'

$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"

Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'

Це створить і експортує підписані сертифікати та сертифікати шифрування.

читати:

4] Іініціалізувати HGS і встановити тип атестації, який буде використовуватися

Далі, нам потрібноініціалізувати HGS і встановити тип атестації, який буде використовуватися. Для цього ми будемо використовувати атестацію ключа хоста, яка схожа на атестацію довіреного адміністратора, якщо ви знайомі з Windows Server 2016. Щоб вирішити проблему, ви можете запустити такі команди в режимі PowerShell з підвищеними правами.

$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force

Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword

Обов’язково замініть усі змінні, указані в запиті.

Тепер, коли ми дізналися, як ініціювати HGSServer, ви можете продовжити та створити щит для своєї віртуальної машини Hyper-V і захистити свою організацію від атак зловмисного програмного забезпечення.

читати:?

Як налаштувати сервер Windows як сервер NTP?

Існує два способи налаштування Windows Server як NTP-сервера: ви можете внести зміни до реєстру або зробити те саме за допомогою PowerShell. Нам просто потрібно ввімкнути NTP-сервер, налаштувати Win32Time, а потім перезапустити NTP-сервер. Ви можете переглянути наш посібник, щоб дізнатися, як це зробити.

Читайте також: