Compartir a través de


Creación de un grupo de seguridad para hosts protegidos y registro del grupo con HGS

Importante

El modo AD está en desuso a partir de Windows Server 2019. En entornos en los que la atestación de TPM no es posible, configure la atestación de clave de host. La atestación de clave de host proporciona una garantía similar al modo de AD y es más fácil de configurar.

En este tema se describen los pasos intermedios para preparar los hosts de Hyper-V para convertirse en hosts protegidos mediante la atestación de confianza de administración (modo AD). Antes de realizar estos pasos, complete los pasos descritos en Configuración del DNS de tejido para hosts que se convertirán en hosts protegidos.

Creación de un grupo de seguridad e incorporación de hosts

  1. Cree un nuevo grupo de seguridad GLOBAL en el dominio de tejido y agregue hosts de Hyper-V que ejecutarán máquinas virtuales blindadas. Reinicie los hosts para actualizar su pertenencia a grupos.

  2. Use Get-ADGroup para obtener el identificador de seguridad (SID) del grupo de seguridad y proporcionarlo al administrador de HGS.

    Get-ADGroup "Guarded Hosts"
    

    Comando Get-AdGroup con salida

Registro del SID del grupo de seguridad con HGS

  1. En un servidor HGS, ejecute el siguiente comando para registrar el grupo de seguridad con HGS. Vuelva a ejecutar el comando si es necesario para grupos adicionales. Proporcione un nombre descriptivo para el grupo. No es necesario que coincida con el nombre del grupo de seguridad de Active Directory.

    Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"
    
  2. Para comprobar que se agregó el grupo, ejecute Get-HgsAttestationHostGroup.

Paso siguiente

Referencias adicionales