如何在 Windows Server 上設定 Host Guardian 服務

這主機監護服務是一項安全功能，用於檢查主機是否可以運行受到高度保護的虛擬機器。它管理用於啟動受防護虛擬機器的密鑰，這些虛擬機器提供額外的安全功能。在本指南中，我們將學習如何在 Windows Server 上設定 Host Guardian 服務。

什麼是寄宿監護人服務？

主機監護服務 (HGS) 是 Windows Server 2016 及更高版本中的功能，可提高虛擬環境的安全性。它確保只有受信任的 Hyper-V 主機才能執行受防護的虛擬機器 (VM)。受防護的虛擬機器可防止篡改和未經授權的訪問，從而確保敏感資料和工作負載的安全。

在 Windows Server 上設定 Host Guardian 服務

如果您想在 Windows Server 上安裝和設定 Host Guardian 服務，請依照下列步驟操作。

1. 安裝主機守護者服務角色
2. 為 HGS 準備 Active Directory 林
3. 建立自行設計的證書
4. 初始化 HGS 並設定將使用的證明類型

讓我們詳細談談它們。

1]安裝Host Guardian服務角色

在我們繼續安裝主機監護人服務角色之前，先回顧一下歷史教訓 -人類地質調查局是 Windows Server 2016 中引入的一個相對較新的伺服器角色，旨在透過提供監護結構來增強虛擬機器的安全性。

若要安裝主機監護服務角色，您必須按照下列步驟操作。

1. 首先，打開伺服器管理器。
2. 現在，前往管理 > 新增角色和功能。
3. 一旦新增角色和功能嚮導彈出來，點擊下一步。
4. 確保基於角色或基於功能的安裝選擇選項並點擊“下一步”。
5. 選擇伺服器（或保留預設值），然後按一下「下一步」。
6. 一旦您到達伺服器角色選項卡，勾選主機監護服務複選框。
7. 您將看到一個彈出窗口，要求您安裝相關功能，點擊新增功能。
8. 按一下“下一步”。
9. 由於我們已經選擇了所需的功能，因此按一下「下一步」以跳過「功能」標籤。
10. 按一下「下一步」跳過 AD DS 選項卡，然後按一下「下一步」跳過「主機監護服務」標籤。
11. 一旦您在確認選項卡，勾選自動重新啟動目標伺服器（如果需要）（如果可以的話），然後按一下「安裝」。

您將看到安裝狀態列，等待其完成，完成後，您可以關閉安裝精靈。

2] 為 HGS 準備 Active Directory 林

新增 HGS 伺服器角色後，我們將執行安裝-HgsServercmdlet。這將為 HGS 準備 Active Directory 林，並設定 HGS 服務及其相依性。在上個月發布之前的最後一個技術預覽啟動此程序之前，確保 HGS 電腦未加入網域至關重要。在第一個 HGS 節點上執行此 cmdlet 會將其提升為所選網域中的主網域控制站。完成後，我們需要初始化 HGS。為此，請運行下面提到的命令。

$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –Force

Install-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart

確保將“yourPass”替換為您的實際密碼，將“myDomain.com”替換為您的實際網域。

3]建立一個自行設計的證書

若要設定主機監護服務 (HGS) 進行加密和簽名，您需要憑證。取得這些證書有以下三種方式：使用您自己的 PKI 憑證和 PFX 文件,取得硬體安全模組支援的證書， 或者建立自簽名證書。由於自簽名憑證是最簡單的選項，因此我們將在本教程中使用它，儘管它們最適合評估和概念驗證場景。

要執行相同的操作，您需要打開電源外殼作為管理員，然後執行以下命令。

$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force

$signingCert = New-SelfSignedCertificate -DnsName "certName.com"

Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'

$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"

Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'

這將創建並匯出、簽署和加密證書。

讀：

4]我初始化 HGS 並設定將使用的證明類型

接下來，我們需要初始化 HGS 並設定將使用的證明類型。為此，我們將使用主機金鑰證明，如果您熟悉 Windows Server 2016，這類似於管理員信任的證明。

$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force

Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword

確保替換查詢中給出的所有變數。

現在我們已經了解如何啟動 HGSServer，您可以繼續為您的 Hyper-V VM 建立防護罩並保護您的組織免受惡意軟體攻擊。

讀：？

如何將Windows伺服器配置為NTP伺服器？

有兩種方法可以將 Windows Server 設定為 NTP 伺服器，您可以變更登錄檔或使用 PowerShell 執行相同操作。我們只需要啟用NTP伺服器，設定Win32Time，然後重新啟動NTP伺服器。您可以瀏覽我們的指南，了解如何。

另請閱讀：