Confirmación de que los hosts protegidos pueden atestar

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Un administrador de tejido debe confirmar que los hosts de Hyper-V se pueden ejecutar como hosts protegidos. Complete los pasos siguientes en al menos un host protegido:

1. Si aún no ha instalado el rol de Hyper-V y la característica de compatibilidad con Hyper-V de protección de host, instálelos con el siguiente comando:

   Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
   

2. Asegúrese de que el host de Hyper-V puede resolver el nombre DNS de HGS y tiene conectividad de red para llegar al puerto 80 (o 443 si configura HTTPS) en el servidor HGS.

3. Configure las direcciones URL de atestación y protección de claves del host:

   • A través de Windows PowerShell: puede configurar las direcciones URL de protección de claves y atestación ejecutando el siguiente comando en una consola de Windows PowerShell con privilegios elevados. Para <FQDN>, use el nombre de dominio completo (FQDN) de su clúster HGS (por ejemplo, hgs.bastion.local, o pida al administrador de HGS que ejecute el cmdlet Get-HgsServer en el servidor HGS para recuperar las URL).

     Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'
     

     Para configurar un servidor HGS de reserva, repita este comando y especifique las direcciones URL de reserva para los servicios de protección de claves y atestación. Para más información, consulte Configuración de reserva.

   • A través de VMM: Si usa System Center Virtual Machine Manager (VMM), puede configurar las URL de atestación y protección de claves en VMM. Para más información, consulte Configuración global de HGS en Aprovisionamiento de hosts protegidos en VMM.

   Notas

   • Si el administrador de HGS ha habilitado HTTPS en el servidor HGS, comience las direcciones URL con https://.
   • Si el administrador de HGS habilitó HTTPS en el servidor HGS y usó un certificado autofirmado, necesitará importar el certificado al almacén de Autoridades de certificación raíz de confianza en cada host. Para ello, ejecute el siguiente comando en cada host: PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
   • Si ha configurado el cliente HGS para usar HTTPS y ha deshabilitado TLS 1.0 en todo el sistema, consulte nuestra guía de TLS moderna

4. Para iniciar un intento de atestación en el host y ver el estado de atestación, ejecute el siguiente comando:

   Get-HgsClientConfiguration
   

   La salida del comando indica si el host pasó la atestación y ahora está protegido. Si IsHostGuarded no devuelve True, puede ejecutar la herramienta de diagnóstico de HGS, Get-HgsTrace, para investigar. Para ejecutar diagnósticos, escriba el siguiente comando en un símbolo del sistema de Windows PowerShell con privilegios elevados en el host:

   Get-HgsTrace -RunDiagnostics -Detailed
   

   Importante

   Si usa Windows Server 2019 o Windows 10, versión 1809 o posterior, y está usando directivas de integridad de código, Get-HgsTrace devuelve un fallo para el diagnóstico Directiva de integridad de código activa. Puede omitir este resultado de forma segura cuando sea el único diagnóstico con errores.

Paso siguiente

Implementar máquinas virtuales blindadas

Referencias adicionales

• Implementación del Servicio de protección de host (HGS)
• Implementar máquinas virtuales blindadas