Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В режиме TPM (модуль доверенной платформы) администратор сети фиксирует три типа информации о хосте, каждая из которых должна быть добавлена в конфигурацию HGS:
- Идентификатор TPM (EKpub) для каждого узла Hyper-V
- Политики целостности кода, список разрешенных двоичных файлов для узлов Hyper-V
- Базовый уровень доверенного платформенного модуля (загрузочные измерения), представляющий собой набор узлов Hyper-V, работающих на одном классе оборудования.
После того как администратор фабрики зафиксирует сведения, добавьте их в конфигурацию HGS, как описано в следующей процедуре.
Получите XML-файлы, содержащие сведения EKpub, и скопируйте их на сервер HGS. На каждый хост предусмотрен один XML-файл. Затем в консоли Windows PowerShell с повышенными привилегиями на сервере HGS выполните следующую команду. Повторите команду для каждого XML-файла.
Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName>Примечание.
Если при добавлении идентификатора доверенного платформенного модуля относительно сертификата ключа подтверждения (EKCert) возникает ошибка, убедитесь, что доверенные корневые сертификаты доверенного доверенного платформенного модуля добавлены в узел HGS. Кроме того, некоторые поставщики TPM не используют EKCerts. Вы можете проверить, отсутствует ли EKCert, открыв XML-файл в редакторе, например Блокноте, и проверьте сообщение об ошибке, указывающее, что EKCert не найден. Если это так, и вы доверяете подлинности TPM в вашем компьютере, можно использовать флаг
-Forceдля переписывания этой проверки безопасности и добавления идентификатора узла в HGS.Получите политику целостности кода, созданную администратором фабрики для хостов, в двоичном формате (*.p7b). Скопируйте его на сервер HGS. Затем выполните следующую команду.
Для
<PolicyName>этого узла задайте имя политики CI, описывающее тип узла, к которому она применяется. Рекомендуется назвать его в честь марки/модели вашего компьютера и любой специальной конфигурации программного обеспечения, установленной на нем.
Для<Path>укажите путь и имя файла политики целостности кода.Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'Примечание.
Если вы используете политику целостности подписанного кода, зарегистрируйте неподписаную копию той же политики в HGS. Подпись политики целостности кода используется для управления обновлениями политики, но не измеряется в доверенном платформенном модулье узла и поэтому не может быть подтверждена HGS.
Получите файл журнала TCG, который был получен администратором фабрики из эталонного узла. Скопируйте файл на сервер HGS. Затем выполните следующую команду. Как правило, вы назовете политику после класса оборудования, который он представляет (например, "Редакция модели производителя").
Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'
Это завершает процесс настройки кластера HGS для режима TPM. Администратор структуры может потребовать, чтобы вы предоставили два URL-адреса из HGS, прежде чем для хостов будет завершена конфигурация. Чтобы получить эти URL-адреса, на сервере HGS запустите Get-HgsServer.