Confirmación de que los hosts protegidos pueden atestar
Un administrador de tejido debe confirmar que los hosts de Hyper-V se pueden ejecutar como hosts protegidos. Complete los pasos siguientes en al menos un host protegido:
Si aún no ha instalado el rol de Hyper-V y la característica de compatibilidad con Hyper-V de protección de host, instálelos con el siguiente comando:
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
Asegúrese de que el host de Hyper-V puede resolver el nombre DNS de HGS y tiene conectividad de red para llegar al puerto 80 (o 443 si configura HTTPS) en el servidor HGS.
Configure las direcciones URL de atestación y protección de claves del host:
A través de Windows PowerShell: puede configurar las direcciones URL de protección de claves y atestación ejecutando el siguiente comando en una consola de Windows PowerShell con privilegios elevados. Para <FQDN>, use el nombre de dominio completo (FQDN) de su clúster HGS (por ejemplo, hgs.bastion.local, o pida al administrador de HGS que ejecute el cmdlet Get-HgsServer en el servidor HGS para recuperar las URL).
Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'
Para configurar un servidor HGS de reserva, repita este comando y especifique las direcciones URL de reserva para los servicios de protección de claves y atestación. Para más información, consulte Configuración de reserva.
A través de VMM: Si usa System Center Virtual Machine Manager (VMM), puede configurar las URL de atestación y protección de claves en VMM. Para más información, consulte Configuración global de HGS en Aprovisionamiento de hosts protegidos en VMM.
Notas
- Si el administrador de HGS ha habilitado HTTPS en el servidor HGS, comience las direcciones URL con
https://
. - Si el administrador de HGS habilitó HTTPS en el servidor HGS y usó un certificado autofirmado, necesitará importar el certificado al almacén de Autoridades de certificación raíz de confianza en cada host. Para ello, ejecute el siguiente comando en cada host:
PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
- Si ha configurado el cliente HGS para usar HTTPS y ha deshabilitado TLS 1.0 en todo el sistema, consulte nuestra guía de TLS moderna
Para iniciar un intento de atestación en el host y ver el estado de atestación, ejecute el siguiente comando:
Get-HgsClientConfiguration
La salida del comando indica si el host pasó la atestación y ahora está protegido. Si
IsHostGuarded
no devuelve True, puede ejecutar la herramienta de diagnóstico de HGS, Get-HgsTrace, para investigar. Para ejecutar diagnósticos, escriba el siguiente comando en un símbolo del sistema de Windows PowerShell con privilegios elevados en el host:Get-HgsTrace -RunDiagnostics -Detailed
Importante
Si usa Windows Server 2019 o Windows 10, versión 1809 o posterior, y está usando directivas de integridad de código,
Get-HgsTrace
devuelve un fallo para el diagnóstico Directiva de integridad de código activa. Puede omitir este resultado de forma segura cuando sea el único diagnóstico con errores.