Freigeben über


Hinzufügen von Hostinformationen für gemäß TPM vertrauenswürdige Nachweise

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Im TPM-Modus erfasst der*die Fabric-Administrator*in drei Arten von Hostinformationen, die jeweils zur HGS-Konfiguration hinzugefügt werden müssen:

  • Ein TPM-Bezeichner (EKpub) für jeden Hyper-V-Host
  • Codeintegritätsrichtlinien, eine Positivliste der zulässigen Binärdateien für die Hyper-V-Hosts
  • Eine TPM-Baseline (Startmessungen), die eine Gruppe von Hyper-V-Hosts darstellt, die auf der gleichen Hardwareklasse ausgeführt werden

Nachdem der*die Fabric-Administrator*in die Informationen erfasst hat, fügen Sie sie der HGS-Konfiguration wie im folgenden Verfahren beschrieben hinzu.

  1. Rufen Sie die XML-Dateien ab, die die EKpub-Informationen enthalten, und kopieren Sie sie in einen HGS-Server. Es gibt eine XML-Datei pro Host. Führen Sie dann in einer Windows PowerShell-Konsole mit erhöhten Rechten auf einem HGS-Server den folgenden Befehl aus. Wiederholen Sie den Befehl für jede der XML-Dateien.

    Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName>
    

    Hinweis

    Wenn beim Hinzufügen eines TPM-Bezeichners ein Fehler bezüglich eines nicht vertrauenswürdigen Endorsement Key-Zertifikats (EKCert) auftritt, vergewissern Sie sich, dass die vertrauenswürdigen TPM-Stammzertifikate zum HGS-Knoten hinzugefügt wurden. Darüber hinaus verwenden einige TPM-Anbieter EKCerts nicht. Sie können überprüfen, ob ein EKCert fehlt, indem Sie die XML-Datei in einem Editor wie Notepad öffnen und nach einer Fehlermeldung suchen, die besagt, dass kein EKCert gefunden wurde. Wenn dies der Fall ist und Sie darauf vertrauen, dass das TPM auf Ihrem Computer echt ist, können Sie das -Force-Flag verwenden, um diese Sicherheitsüberprüfung außer Kraft zu setzen und den Hostbezeichner zu HGS hinzuzufügen.

  2. Rufen Sie die Codeintegritätsrichtlinie, die der*die Fabric-Administrator*in für die Hosts erstellt hat, im Binärformat (*.p7b) ab. Kopieren Sie sie in einen HGS-Server. Führen Sie dann den folgenden Befehl aus:

    Geben Sie für <PolicyName> einen Namen für die CI-Richtlinie an, der den Typ des Hosts beschreibt, für den sie gilt. Es empfiehlt sich, die Datei nach der Marke bzw. dem Modell Ihres Computers und jeglicher spezieller Softwarekonfiguration zu benennen, die darauf ausgeführt wird.
    Geben Sie für <Path> den Pfad und den Dateinamen der Codeintegritätsrichtlinie an.

    Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'
    

    Hinweis

    Wenn Sie eine signierte Codeintegritätsrichtlinie verwenden, registrieren Sie eine nicht signierte Kopie derselben Richtlinie bei HGS. Die Signatur für Codeintegritätsrichtlinien wird verwendet, um Updates für die Richtlinie zu steuern, wird aber nicht im Host-TPM gemessen und kann daher nicht von HGS nachgewiesen werden.

  3. Rufen Sie die TCG-Protokolldatei ab, die der*die Fabric-Administrator*in von einem Referenzhost erfasst hat. Kopieren Sie die Datei auf einen HGS-Server. Führen Sie dann den folgenden Befehl aus: In der Regel wird die Richtlinie nach der Art der Hardware benannt, für die sie steht (z. B. „Manufacturer Model Revision“).

    Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'
    

Damit ist der Prozess der Konfiguration eines HGS-Clusters für den TPM-Modus abgeschlossen. Der*Die Fabric-Administrator*in muss möglicherweise zwei URLs von HGS bereitstellen, bevor die Konfiguration für die Hosts abgeschlossen werden kann. Führen Sie auf einem HGS-Server Get-HgsServer aus, um diese URLs zu erhalten.

Nächster Schritt

Bestätigen des Nachweises