建立受防護主機的安全性群組,並使用 HGS 註冊群組
重要
從 Windows Server 2019 開始,AD 模式已遭取代。 針對無法進行 TPM 證明的環境,設定主機金鑰證明。 主機金鑰證明提供與 AD 模式類似的保證,而且設定更簡單。
本主題描述使用管理員信任證明 (AD 模式),使 Hyper-V 主機成為受防護主機的中間準備步驟。 在採取這些步驟之前,請先完成為將成為受防護主機的主機設定網狀架構 DNS 中的步驟。
建立安全性群組並新增主機
在網狀架構網域中新建 GLOBAL 安全性群組,並新增將執行受防護 VM 的 Hyper-V 主機。 重新啟動主機以更新其群組成員資格。
使用 Get-ADGroup 取得安全性群組的安全性識別碼 (SID),並將其提供給 HGS 管理員。
Get-ADGroup "Guarded Hosts"
使用 HGS 註冊安全性群組的 SID
在 HGS 伺服器上執行下列命令,以使用 HGS 註冊安全性群組。 視需要針對其他群組重新執行命令。 提供群組的易記名稱。 其不需要符合 Active Directory 安全性群組名稱。
Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"若要確認已新增群組,請執行 Get-HgsAttestationHostGroup。