Bagikan melalui

Menambahkan informasi host untuk pengesahan tepercaya TPM

  • Artikel

Berlaku untuk: Windows Server 2022, Windows Server 2019, Windows Server 2016

Untuk mode TPM, administrator fabric menangkap tiga jenis informasi host, yang masing-masing perlu ditambahkan ke konfigurasi HGS:

  • Pengidentifikasi TPM (EKpub) untuk setiap host Hyper-V
  • Kebijakan Integritas Kode, daftar biner yang diizinkan untuk host Hyper-V
  • Garis besar TPM (pengukuran boot) yang mewakili sekumpulan host Hyper-V yang berjalan pada kelas perangkat keras yang sama

Setelah administrator fabric mengambil informasi, tambahkan ke konfigurasi HGS seperti yang dijelaskan dalam prosedur berikut.

  1. Dapatkan file XML yang berisi informasi EKpub dan salin ke server HGS. Akan ada satu file XML per host. Kemudian, di konsol Windows PowerShell yang ditinggikan di server HGS, jalankan perintah di bawah ini. Ulangi perintah untuk setiap file XML.

    Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName>

    Catatan

    Jika Anda mengalami kesalahan saat menambahkan pengidentifikasi TPM mengenai Sertifikat Kunci Dukungan (EKCert) yang tidak tepercaya, pastikan bahwa sertifikat akar TPM tepercaya telah ditambahkan ke simpul HGS. Selain itu, beberapa vendor TPM tidak menggunakan EKCerts. Anda dapat memeriksa apakah EKCert hilang dengan membuka file XML di editor seperti Notepad dan memeriksa pesan kesalahan yang menunjukkan tidak ada EKCert yang ditemukan. Jika demikian, dan Anda percaya bahwa TPM di komputer Anda autentik, Anda dapat menggunakan -Force bendera untuk mengambil alih pemeriksaan keamanan ini dan menambahkan pengidentifikasi host ke HGS.

  2. Dapatkan kebijakan integritas kode yang dibuat administrator fabric untuk host, dalam format biner (*.p7b). Salin ke server HGS. Kemudian, jalankan perintah berikut.

    Untuk <PolicyName>, tentukan nama untuk kebijakan CI yang menjelaskan jenis host yang berlaku untuknya. Praktik terbaik adalah menamainya setelah membuat/memodelkan mesin Anda dan konfigurasi perangkat lunak khusus apa pun yang berjalan di atasnya.
    Untuk <Path>, tentukan jalur dan nama file kebijakan integritas kode.

    Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'

    Catatan

    Jika Anda menggunakan kebijakan integritas kode yang ditandatangani, daftarkan salinan kebijakan yang sama yang tidak ditandatangani dengan HGS. Tanda tangan pada kebijakan integritas kode digunakan untuk mengontrol pembaruan kebijakan, tetapi tidak diukur ke dalam TPM host dan oleh karena itu tidak dapat dibuktikan oleh HGS.

  3. Dapatkan file log TCG yang diambil administrator fabric dari host referensi. Salin file ke server HGS. Kemudian, jalankan perintah berikut. Biasanya, Anda akan memberi nama kebijakan setelah kelas perangkat keras yang diwakilinya (misalnya, "Revisi Model Produsen").

    Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'

Ini menyelesaikan proses konfigurasi kluster HGS untuk mode TPM. Administrator fabric mungkin memerlukan Anda untuk menyediakan dua URL dari HGS sebelum konfigurasi dapat diselesaikan untuk host. Untuk mendapatkan URL ini, pada server HGS, jalankan Get-HgsServer.

Langkah selanjutnya

Konfirmasi pengesahan