Confirmer que les hôtes Service Guardian peuvent attester

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Un administrateur de structure doit confirmer que les hôtes Hyper-V peuvent s’exécuter en tant qu’hôtes Service Guardian. Effectuez les étapes suivantes sur au moins un hôte Service Guardian :

1. Si vous n’avez pas encore installé le rôle Hyper-V et la fonctionnalité de support Host Guardian Hyper-V, installez-les avec la commande suivante :

   Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
   

2. Assurez-vous que l’hôte Hyper-V peut résoudre le nom DNS HGS et dispose d’une connectivité réseau pour atteindre le port 80 (ou 443 si vous avez configuré HTTPS) sur le serveur HGS.

3. Configurez les URL de protection de clé d’attestation de l’hôte :

   • Via Windows PowerShell : vous pouvez configurer les RL de protection de clé d’attestation en exécutant la commande suivante dans une console Windows PowerShell avec élévation de privilèges. Pour <FQDN>, utilisez le nom de domaine complet (FQDN) de votre cluster HGS (par exemple, hgs.bastion.local, ou demandez à l’administrateur HGS d’exécuter l’applet de commande Get-HgsServer sur le serveur HGS pour récupérer les URL).

     Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'
     

     Pour configurer un serveur HGS de secours, répétez cette commande et spécifiez les URL de secours pour les services Protection de clé et Attestation. Pour plus d’informations, voir Configuration de secours.

   • Via VMM : si vous utilisez System Center Virtual Machine Manager (VMM), vous pouvez configurer des URL d’attestation et de protection de clé dans VMM. Pour plus d’informations, consultez Configurer les paramètres HGS globaux dans Provisionner des hôtes Service Guardian dans VMM.

   Remarques

   • Si l’administrateur HGS a activé HTTPS sur le serveur HGS, commencez les URL par https://.
   • Si l’administrateur HGS a activé HTTPS sur le serveur HGS et utilisé un certificat auto-signé, vous devez importer le certificat dans le magasin d’autorités de certification racines approuvées sur chaque hôte. Pour cela, exécutez la commande suivante sur chaque hôte : PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
   • Si vous avez configuré le client HGS pour utiliser HTTPS et que vous avez désactivé TLS 1.0 à l’échelle du système, consultez nos instructions TLS modernes

4. Pour lancer une tentative d’attestation sur l’hôte et afficher l’état de l’attestation, exécutez la commande suivante :

   Get-HgsClientConfiguration
   

   La sortie de la commande indique si l’hôte a passé l’attestation et s’il est désormais protégé. Si IsHostGuarded ne retourne pas True, vous pouvez exécuter l’outil de diagnostic HGS, Get-HgsTrace, pour enquêter. Pour exécuter des diagnostics, entrez la commande suivante dans une invite de Windows PowerShell avec élévation de privilèges sur l’hôte :

   Get-HgsTrace -RunDiagnostics -Detailed
   

   Important

   Si vous utilisez Windows Server 2019 ou Windows 10, version 1809 ou version ultérieure et que vous utilisez des stratégies d’intégrité du code, Get-HgsTrace retourne un échec pour le diagnostic actif de la stratégie d’intégrité du code. Vous pouvez ignorer ce résultat en toute sécurité lorsqu’il s’agit du seul diagnostic défaillant.

Étape suivante

Déployer des machines virtuelles protégées

Références supplémentaires

• Déployer le service Guardian hôte (HGS)
• Déployer des machines virtuelles protégées