Instalación de HGS en un bosque bastión existente
Unión del servidor de HGS al dominio raíz
En un bosque bastión existente, se debe agregar HGS al dominio raíz. Use el Administrador del servidor o Add-Computer para unir el servidor de HGS al dominio raíz.
Adición del rol de servidor de HGS
Ejecute todos los comandos de este tema en una sesión de PowerShell con privilegios elevados.
Agregue el rol Servicio de protección de host ejecutando el siguiente comando:
Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart
Si el centro de datos tiene un bosque bastión seguro donde desea unir nodos de HGS, siga estos pasos. También puede usar estos pasos para configurar 2 o más clústeres de HGS independientes unidos al mismo dominio.
Unión del servidor de HGS al dominio deseado.
Use el Administrador del servidor o Add-Computer para unir los servidores de HGS al dominio deseado.
Restauración de objetos de Active Directory
Cree una cuenta de servicio administrada de grupo y dos grupos de seguridad. También puede preconfigurar los objetos de clúster si la cuenta con la que va a inicializar HGS no tiene permiso para crear objetos de equipo en el dominio.
Cuenta de servicio administrada de grupo
La cuenta de servicio administrada de grupo (gMSA) es la identidad que usa HGS para recuperar y usar sus certificados. Use New-ADServiceAccount para crear una gMSA. Si es la primera gMSA del dominio, deberá agregar una clave raíz del Servicio de distribución de claves.
Cada nodo de HGS debe tener permiso para acceder a la contraseña de gMSA. La configuración más sencilla consiste en crear un grupo de seguridad que contenga todos los nodos de HGS y conceder a ese grupo de seguridad acceso para recuperar la contraseña de gMSA.
Debe reiniciar el servidor de HGS después de agregarlo a un grupo de seguridad para asegurarse de que obtiene su nueva pertenencia a grupos.
# Check if the KDS root key has been set up
if (-not (Get-KdsRootKey)) {
# Adds a KDS root key effective immediately (ignores normal 10 hour waiting period)
Add-KdsRootKey -EffectiveTime ((Get-Date).AddHours(-10))
}
# Create a security group for HGS nodes
$hgsNodes = New-ADGroup -Name 'HgsServers' -GroupScope DomainLocal -PassThru
# Add your HGS nodes to this group
# If your HGS server object is under an organizational unit, provide the full distinguished name instead of "HGS01"
Add-ADGroupMember -Identity $hgsNodes -Members "HGS01"
# Create the gMSA
New-ADServiceAccount -Name 'HGSgMSA' -DnsHostName 'HGSgMSA.yourdomain.com' -PrincipalsAllowedToRetrieveManagedPassword $hgsNodes
La gMSA necesitará el derecho para generar eventos en el registro de seguridad en cada servidor de HGS. Si usa una directiva de grupo para configurar la asignación de derechos de usuario, asegúrese de que a la cuenta de gMSA se le concede el privilegio para generar eventos de auditoría en los servidores de HGS.
Nota
Las cuentas de servicio administradas de grupo están disponibles a partir del esquema de Active Directory de Windows Server 2012. Para obtener más información, consulte los requisitos de la cuenta de servicio administrada de grupo.
Grupos de seguridad de JEA
Al configurar HGS, se configura un punto de conexión de PowerShell Just Enough Administration (JEA) para permitir que los administradores administren HGS sin necesidad de privilegios completos de administrador local. No es necesario usar JEA para administrar HGS, pero sigue siendo necesaria su configuración al ejecutar Initialize-HgsServer. La configuración del punto de conexión de JEA consta de la designación de dos grupos de seguridad que contengan a los administradores de HGS y los revisores de HGS. Los usuarios que pertenecen al grupo de administración pueden agregar, cambiar o quitar directivas en HGS; los revisores solo pueden ver la configuración actual.
Cree dos grupos de seguridad para estos grupos de JEA mediante herramientas de administración de Active Directory o New-ADGroup.
New-ADGroup -Name 'HgsJeaReviewers' -GroupScope DomainLocal
New-ADGroup -Name 'HgsJeaAdmins' -GroupScope DomainLocal
Objetos de clúster
Si la cuenta que usa para configurar HGS no tiene permiso para crear nuevos objetos de equipo en el dominio, deberá preconfigurar los objetos de clúster. Estos pasos se explican en Preconfiguración de objetos de equipo de clúster en Active Directory Domain Services.
Para configurar el primer nodo de HGS, deberá crear un objeto de nombre de clúster (CNO) y un objeto de equipo virtual (VCO). El CNO representa el nombre del clúster y se usa principalmente de forma interna mediante clústeres de conmutación por error. El VCO representa el servicio de HGS que reside en el clúster y será el nombre registrado con el servidor DNS.
Importante
El usuario que ejecutará Initialize-HgsServer requiere control total sobre los objetos CNO y VCO en Active Directory.
Para preconfigurar rápidamente el CNO y el VCO, haga que un administrador de Active Directory ejecute los siguientes comandos de PowerShell:
# Create the CNO
$cno = New-ADComputer -Name 'HgsCluster' -Description 'HGS CNO' -Enabled $false -Passthru
# Create the VCO
$vco = New-ADComputer -Name 'HgsService' -Description 'HGS VCO' -Passthru
# Give the CNO full control over the VCO
$vcoPath = Join-Path "AD:\" $vco.DistinguishedName
$acl = Get-Acl $vcoPath
$ace = New-Object System.DirectoryServices.ActiveDirectoryAccessRule $cno.SID, "GenericAll", "Allow"
$acl.AddAccessRule($ace)
Set-Acl -Path $vcoPath -AclObject $acl
# Allow time for your new CNO and VCO to replicate to your other Domain Controllers before continuing
Excepciones de la base de referencia de seguridad
Si va a implementar HGS en un entorno altamente bloqueado, ciertas configuraciones de directiva de grupo pueden impedir que HGS funcione normalmente. Compruebe la configuración de los siguientes objetos de directiva de grupo y siga las instrucciones si se ve afectado:
Inicio de sesión de red
Ruta de acceso de la directiva: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignaciones de derechos de usuario
Nombre de la directiva: Denegar el acceso a este equipo desde la red
Valor requerido: Asegúrese de que el valor no bloquea los inicios de sesión de red para todas las cuentas locales. Sin embargo, puede bloquear de forma segura las cuentas de administrador local.
Razón: la agrupación en clústeres de conmutación por error se basa en una cuenta local que no es de administrador denominada CLIUSR para administrar nodos de clúster. Bloquear el inicio de sesión de red para este usuario impedirá que el clúster funcione correctamente.
Cifrado Kerberos
Ruta de acceso de la directiva: Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad
Nombre de la directiva: Seguridad de red: configurar tipos de cifrado permitidos para Kerberos
Acción: si esta directiva está configurada, debe actualizar la cuenta de gMSA con Set-ADServiceAccount para usar solo los tipos de cifrado admitidos en esta directiva. Por ejemplo, si la directiva solo permite AES128_HMAC_SHA1 y AES256_HMAC_SHA1, debe ejecutar Set-ADServiceAccount -Identity HGSgMSA -KerberosEncryptionType AES128,AES256.
Pasos siguientes
- Para conocer los pasos siguientes para configurar la atestación basada en TPM, consulte Inicialización del clúster de HGS mediante el modo TPM en un bosque bastión existente.
- Para conocer los pasos siguientes para configurar la atestación de clave de host, consulte Inicialización del clúster de HGS mediante el modo de clave en un bosque bastión existente.
- Para conocer los pasos siguientes para configurar la atestación basada en administración (en desuso en Windows Server 2019), consulte Inicialización del clúster de HGS mediante el modo AD en un bosque bastión existente.