Поделиться через


Подтверждение того, что защищенные узлы могут проверить

Администратор структуры должен подтвердить, что узлы Hyper-V могут запускаться как защищенные узлы. Выполните следующие действия по крайней мере на одном защищенном узле:

  1. Если вы еще не установили роль Hyper-V и компонент поддержки Host Guardian Hyper-V, установите их с помощью следующей команды:

    Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
    
  2. Убедитесь, что узел Hyper-V может разрешить DNS-имя HGS и имеет сетевое подключение для достижения порта 80 (или 443 при настройке HTTPS) на сервере HGS.

  3. Настройте URL-адреса защиты ключей и аттестации узла:

    • С помощью Windows PowerShell можно настроить URL-адреса защиты ключей и аттестации, выполнив следующую команду в консоли Windows PowerShell с повышенными привилегиями. Для <полного> доменного имени используйте полное доменное имя кластера HGS (например, hgs.bastion.local) или попросите администратора HGS запустить командлет Get-HgsServer на сервере HGS, чтобы получить URL-адреса.

      Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'
      

      Чтобы настроить резервный сервер HGS, повторите эту команду и укажите резервные URL-адреса для служб защиты ключей и аттестации. Дополнительные сведения см. в статье "Резервная конфигурация".

    • С помощью VMM: если вы используете System Center диспетчер виртуальных машин (VMM), вы можете настроить URL-адреса аттестации и защиты ключей в VMM. Дополнительные сведения см. в разделе "Настройка глобальных параметров HGS" в узлах, защищенных в VMM.

    Примечания

    • Если администратор HGS включил HTTPS на сервере HGS, начните URL-адреса с https://.
    • Если администратор HGS включил HTTPS на сервере HGS и использовал самозаверяющий сертификат, необходимо импортировать сертификат в хранилище доверенных корневых центров сертификации на каждом узле. Для этого выполните следующую команду на каждом узле: PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
    • Если вы настроили клиент HGS для использования HTTPS и отключили протокол TLS 1.0 по всей системе, ознакомьтесь с нашими современными рекомендациями по TLS.
  4. Чтобы инициировать попытку аттестации на узле и просмотреть состояние аттестации, выполните следующую команду:

    Get-HgsClientConfiguration
    

    Выходные данные команды указывают, передается ли узел аттестации и теперь охраняется. Если IsHostGuarded значение true не возвращается, можно запустить средство HGS диагностика Get-HgsTrace для изучения. Чтобы запустить диагностика, введите следующую команду в командной строке Windows PowerShell с повышенными привилегиями на узле:

    Get-HgsTrace -RunDiagnostics -Detailed
    

    Внимание

    Если вы используете Windows Server 2019 или Windows 10 версии 1809 или более поздней версии и используете политики целостности кода, Get-HgsTrace верните ошибку для активной диагностики политики целостности кода. Этот результат можно игнорировать, если это единственный сбой диагностики.

Следующий шаг

Дополнительные справочники