TPM によって信頼された構成証明のホスト情報を追加する
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
TPM モードでは、ファブリック管理者は以下の 3 種類のホスト情報をキャプチャし、それぞれを HGS 構成に追加する必要があります。
- 各 Hyper-V ホストの TPM 識別子 (EKpub)
- コード整合性ポリシー (Hyper-V ホストで許可されているバイナリの許可リスト)
- 同じクラスのハードウェア上で実行される一連の Hyper-V ホストを表す TPM ベースライン (ブート測定)
ファブリック管理者が情報をキャプチャしたら、次の手順に従って、その情報を HGS 構成に追加します。
EKpub 情報が含まれた XML ファイルを取得し、それらを HGS サーバーにコピーします。 ホストごとに 1 つの XML ファイルがあります。 次に、HGS サーバーの管理者特権の Windows PowerShell コンソールで、次のコマンドを実行します。 各 XML ファイルに対してコマンドを繰り返します。
Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName>注意
信頼されていない保証キー証明書 (EKCert) に関する TPM 識別子を追加するときにエラーが発生した場合は、信頼された TPM ルート証明書が HGS ノードに追加されていることを確認します。 また、一部の TPM ベンダーは EKCert を使用しません。 EKCert がないかどうかを確認するには、メモ帳などのエディターで XML ファイルを開き、EKCert が見つからなかったことを示すエラー メッセージがないかどうかを確認します。 そのようなケースでは、コンピューターの TPM が真正であることを信頼している場合、
-Forceフラグを使用してこの安全性チェックを無効にし、ホスト識別子を HGS に追加することができます。ホスト用にファブリック管理者が作成したコード整合性ポリシーをバイナリ形式 (*.p7b) で取得します。 それを HGS サーバーにコピーします。 次に、次のコマンドを実行します。
<PolicyName>では、適用するホストの種類を示す CI ポリシーの名前を指定します。 ベスト プラクティスとしては、コンピューターのメーカー/モデルと、それを実行する特別なソフトウェア構成に対応する名前を指定することをお勧めします。<Path>では、コード整合性ポリシーのパスとファイル名を指定します。Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'注意
署名済みのコード整合性ポリシーを使用している場合は、HGS と同じポリシーの署名されていないコピーを登録します。 コード整合性ポリシーの署名はポリシーの更新を制御するために使用されますが、ホスト TPM には適用されないため、HGS で証明することはできません。
ファブリック管理者が参照ホストからキャプチャした TCG ログ ファイルを取得します。 ファイルを HGS サーバーにコピーします。 次に、次のコマンドを実行します。 通常、ポリシーには、それが表すハードウェアのクラスに対応した名前を付けます (例: "Manufacturer Model Revision")。
Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'
これで、TPM モード用に HGS クラスターを構成するプロセスが完了します。 ファブリック管理者は、ホストの構成を完了する前に、HGS から取得した 2 つの URL を要求する場合があります。 これらの URL を取得するには、HGS サーバーで Get-HgsServer を実行します。