確認受防護主機可以證明
網狀架構系統管理員必須確認 Hyper-V 主機可以以受防護主機身分執行。 在至少一個受防護主機上完成下列步驟:
如果您尚未安裝 Hyper-V 角色和主機守護者 Hyper-V 支援功能,請使用下列命令加以安裝:
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart請確定 Hyper-V 主機可以解析 HGS DNS 名稱,並具有網路連線能力,以連線到 HGS 伺服器上的連接埠 80 (如果您設定 HTTPS,則為 443)。
設定主機的金鑰保護和證明 URL:
透過 Windows PowerShell:您可以在提升權限的 Windows PowerShell 主控台中執行下列命令,以設定金鑰保護和證明 URL。 針對 <FQDN>,請使用 HGS 叢集的完整網域名稱 (FQDN) (例如 hgs.bastion.local,或要求 HGS 系統管理員在 HGS 伺服器上執行 Get-HgsServer Cmdlet 以擷取 URL)。
Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'若要設定後援 HGS 伺服器,請重複此命令,並指定金鑰保護和證明服務的後援 URL。 如需詳細資訊,請參閱後援設定。
透過 VMM:如果您使用 System Center Virtual Machine Manager (VMM),您可以在 VMM 中設定證明和金鑰保護 URL。 如需詳細資訊,請參閱在 VMM 中佈建受防護主機中的設定全域 HGS 設定。
注意事項
- 如果 HGS 系統管理員在 HGS 伺服器上啟用 HTTPS,則使用
https://來開始 URL。 - 如果 HGS 系統管理員在 HGS 伺服器上啟用 HTTPS,並使用自我簽署憑證,您必須將憑證匯入每個主機上的受信任根憑證授權單位存放區。 若要這樣做,請在每個主機上執行下列命令:
PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root - 如果您已將 HGS 用戶端設定為使用 HTTPS 並在全系統停用 TLS 1.0,請參閱新式 TLS 指導
若要在主機上起始證明嘗試並檢視證明狀態,請執行下列命令:
Get-HgsClientConfiguration命令的輸出會指出主機是否已通過證明,而且現在受到防護。 如果
IsHostGuarded沒有傳回 True,您可以執行 HGS 診斷工具 Get-HgsTrace 來調查。 若要執行診斷,請在主機上提升權限的 Windows PowerShell 提示字元中輸入下列命令:Get-HgsTrace -RunDiagnostics -Detailed重要
如果您使用的是 Windows Server 2019 或 Windows 10 版本 1809 或更新版本,且使用程式碼完整性原則,則
Get-HgsTrace會針對程式碼完整性原則作用中診斷傳回失敗。 當這是唯一失敗的診斷時,您就可以放心地忽略此結果。