Как настроить службу Host Guardian на Windows Server

Служба защиты хоста — это функция безопасности, которая проверяет, может ли хост запускать виртуальные машины с высоким уровнем защиты. Он управляет ключами, используемыми для запуска экранированных виртуальных машин, то есть виртуальных машин, предоставляющих дополнительные функции безопасности. В этом руководстве мы узнаем, как настроить службу Host Guardian на Windows Server.

Что такое служба защиты хоста?

Служба защиты узла (HGS) — это функция Windows Server 2016 и более поздних версий, которая повышает безопасность виртуальных сред. Это гарантирует, что только доверенные хосты Hyper-V смогут запускать экранированные виртуальные машины (ВМ). Экранированные виртуальные машины защищают от несанкционированного доступа и несанкционированного доступа, обеспечивая безопасность конфиденциальных данных и рабочих нагрузок.

Настройка службы Host Guardian на Windows Server

Если вы хотите установить и настроить службу Host Guardian на Windows Server, выполните действия, указанные ниже.

1. Установите роль службы защиты хоста
2. Подготовьте лес Active Directory для HGS.
3. Создайте самостоятельно разработанный сертификат
4. Инициализируйте HGS и установите тип аттестации, который будет использоваться.

Давайте поговорим о них подробно.

1) Установите роль службы защиты хоста.

Прежде чем мы продолжим установку роли службы защиты хоста, небольшой урок истории:ХГС — это относительно новая роль сервера, представленная в Windows Server 2016 для повышения безопасности виртуальных машин за счет предоставления защитной структуры.

Чтобы установить роль службы защиты хоста, необходимо выполнить действия, указанные ниже.

1. Прежде всего, откройте Менеджер сервера.
2. Теперь перейдите к Управление > Добавить роли и функции.
3. Как только Мастер добавления ролей и функций появится всплывающее окно, нажмите «Далее».
4. Убедитесь, что Установка на основе ролей или функций вариант выбран и нажмите «Далее».
5. Выберите сервер (или оставьте его по умолчанию) и нажмите «Далее».
6. Как только вы окажетесь в Роли сервера вкладку, отметьте галочкой Служба защиты хоста флажок.
7. Вы увидите всплывающее окно с просьбой установить соответствующие функции, нажмите Добавить функции.
8. Нажмите Далее.
9. Поскольку мы уже выбрали необходимые функции, нажмите «Далее», чтобы пропустить вкладку «Функции».
10. Пропустите вкладку AD DS, нажав «Далее», а затем пропустите вкладку «Служба защиты хоста», нажав «Далее».
11. Как только вы окажетесь на Подтверждение вкладка, галочка Автоматически перезапустить целевой сервер (при необходимости) (если вы можете это сделать), а затем нажмите «Установить».

Вы увидите строку состояния установки, дождитесь ее завершения, после завершения вы можете закрыть мастер установки.

2) Подготовьте лес Active Directory для HGS.

После добавления роли сервера HGS мы выполним Установка-HgsServer командлет. Это подготовит лес Active Directory для HGS, а также настроит службу HGS и ее зависимости. Крайне важно убедиться, что машина HGS не присоединена к домену, прежде чем начинать этот процесс (последнюю техническую предварительную версию перед выпуском в предыдущем месяце). Запуск этого командлета на первом узле HGS повысит его статус до основного контроллера домена в выбранном домене. После этого нам нужно инициализировать HGS. Для этого выполните команды, упомянутые ниже.

$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –ForceInstall-HgsServer -HgsDomainName “myDomain.com” -SafeModeAdministratorPassword $adminPassword –Restart

Обязательно замените «yourPass» своим действительным паролем, а «myDomain.com» — фактическим именем домена.

3) Создайте сертификат собственной разработки.

Чтобы настроить службу защиты хоста (HGS) для шифрования и подписи, вам потребуются сертификаты. Получить сертификаты можно тремя способами: Использование собственного сертификата PKI и файла PFX., получение сертификата, подкрепленного аппаратным модулем безопасностиили создание самозаверяющих сертификатов. Поскольку самозаверяющие сертификаты являются самым простым вариантом, мы собираемся использовать их в этом руководстве, хотя они лучше всего подходят для сценариев оценки и проверки концепции.

Чтобы сделать то же самое, вам нужно открыть PowerShell от имени администратора, а затем выполните следующую команду.

$certificatePassword = ConvertTo-SecureString -AsPlainText '' –Force$signingCert = New-SelfSignedCertificate -DnsName “certName.com”Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'$encryptionCert = New-SelfSignedCertificate -DnsName “EncryptionCert.com”Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'

Это позволит создавать и экспортировать подписанные и шифрующие сертификаты.

Читайте: Как установить и настроить файловый сервер на Windows Server.

4) Инициализируйте HGS и установите тип аттестации, который будет использоваться.

Далее нам нужно инициализировать HGS и установить тип аттестации, который будет использоваться. Для этого мы будем использовать аттестацию ключа хоста, которая аналогична аттестации, доверенной администратору, если вы знакомы с Windows Server 2016. Чтобы решить эту проблему, вы можете запустить следующие команды в повышенном режиме PowerShell.

$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -ForceInitialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword

Обязательно замените все переменные, указанные в запросе.

Теперь, когда мы узнали, как запустить HGSServer, вы можете создать защиту для своей виртуальной машины Hyper-V и защитить свою организацию от атак вредоносных программ.

Читайте: Как установить и настроить Центр администрирования Windows?

Как настроить сервер Windows как NTP-сервер?

Существует два метода настройки Windows Server в качестве NTP-сервера: вы можете внести изменения в реестр или сделать то же самое с помощью PowerShell. Нам просто нужно включить NTP-сервер, настроить Win32Time, а затем перезапустить NTP-сервер. Вы можете просмотреть наше руководство по настройке NTP-сервера, чтобы узнать больше.

Читайте также: Добавьте или измените сервер времени в Windows.