如何在 Windows Server 上配置 Host Guardian 服务

这主机监护服务是一项安全功能，用于检查主机是否可以运行受到高度保护的虚拟机。它管理用于启动受防护虚拟机的密钥，这些虚拟机提供额外的安全功能。在本指南中，我们将学习如何在 Windows Server 上配置 Host Guardian 服务。

什么是寄宿监护人服务？

主机监护服务 (HGS) 是 Windows Server 2016 及更高版本中的一项功能，可提高虚拟环境的安全性。它确保只有受信任的 Hyper-V 主机才能运行受防护的虚拟机 (VM)。受防护的虚拟机可防止篡改和未经授权的访问，从而保证敏感数据和工作负载的安全。

在 Windows Server 上配置 Host Guardian 服务

如果您想在 Windows Server 上安装和配置 Host Guardian 服务，请按照以下步骤操作。

1. 安装主机守护者服务角色
2. 为 HGS 准备 Active Directory 林
3. 创建自行设计的证书
4. 初始化 HGS 并设置将使用的证明类型

让我们详细谈谈它们。

1]安装Host Guardian服务角色

在我们继续安装主机监护人服务角色之前，先回顾一下历史教训 -人类地质调查局是 Windows Server 2016 中引入的一个相对较新的服务器角色，旨在通过提供监护结构来增强虚拟机的安全性。

要安装主机监护服务角色，您必须按照以下步骤操作。

1. 首先，打开服务器管理器。
2. 现在，前往管理 > 添加角色和功能。
3. 一旦添加角色和功能向导弹出来，点击下一步。
4. 确保基于角色或基于功能的安装选择选项并单击“下一步”。
5. 选择服务器（或保留默认值），然后单击“下一步”。
6. 一旦您到达服务器角色选项卡，勾选主机监护服务复选框。
7. 您将看到一个弹出窗口，要求您安装相关功能，单击添加功能。
8. 单击“下一步”。
9. 由于我们已经选择了所需的功能，因此单击“下一步”以跳过“功能”选项卡。
10. 单击“下一步”跳过 AD DS 选项卡，然后单击“下一步”跳过“主机监护服务”选项卡。
11. 一旦您在确认选项卡，勾选自动重新启动目标服务器（如果需要）（如果可以的话），然后单击“安装”。

您将看到安装状态栏，等待其完成，完成后，您可以关闭安装向导。

2] 为 HGS 准备 Active Directory 林

添加 HGS 服务器角色后，我们将执行安装-HgsServercmdlet。这将为 HGS 准备 Active Directory 林，并设置 HGS 服务及其依赖项。在上个月发布之前的最后一个技术预览启动此过程之前，确保 HGS 计算机未加入域至关重要。在第一个 HGS 节点上运行此 cmdlet 会将其提升为所选域中的主域控制器。完成后，我们需要初始化 HGS。为此，请运行下面提到的命令。

$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force

Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart

确保将“yourPass”替换为您的实际密码，将“myDomain.com”替换为您的实际域名。

3]创建一个自行设计的证书

要设置主机监护服务 (HGS) 进行加密和签名，您需要证书。获得这些证书有以下三种方式：使用您自己的 PKI 证书和 PFX 文件,获取硬件安全模块支持的证书， 或者创建自签名证书。由于自签名证书是最简单的选项，因此我们将在本教程中使用它，尽管它们最适合评估和概念验证场景。

要执行相同的操作，您需要打开电源外壳作为管理员，然后运行以下命令。

$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force

$signingCert = New-SelfSignedCertificate -DnsName "certName.com"

Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'

$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"

Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'

这将创建并导出、签名和加密证书。

读：

4]我初始化 HGS 并设置将使用的证明类型

接下来，我们需要初始化 HGS 并设置将使用的证明类型。为此，我们将使用主机密钥证明，如果您熟悉 Windows Server 2016，这类似于管理员信任的证明。要解决此问题，您可以在 PowerShell 的提升模式下运行以下命令。

$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force

Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword

确保替换查询中给出的所有变量。

现在我们已经了解了如何启动 HGSServer，您可以继续为您的 Hyper-V VM 创建防护罩并保护您的组织免受恶意软件攻击。

读：？

如何将Windows服务器配置为NTP服务器？

有两种方法可以将 Windows Server 配置为 NTP 服务器，您可以更改注册表或使用 PowerShell 执行相同操作。我们只需要启用NTP服务器，配置Win32Time，然后重新启动NTP服务器。您可以浏览我们的指南，了解如何。

另请阅读：