确认受保护的主机可以证明
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
构造管理员需要确认 Hyper-V 主机可以作为受保护的主机运行。 在至少一台受保护的主机上完成以下步骤:
如果尚未安装 Hyper-V 角色和主机保护者 Hyper-V 支持功能,请使用以下命令安装它们:
Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart确保 Hyper-V 主机能够解析 HGS DNS 名称,并具有网络连接来访问 HGS 服务器上的端口 80(如果设置了 HTTPS,则为 443)。
配置主机的密钥保护和证明 URL:
通过 Windows PowerShell:可以通过在提升的 Windows PowerShell 控制台中执行以下命令来配置密钥保护和证明 URL。 对于 <FQDN>,请使用 HGS 群集的完全限定域名 (FQDN)(例如 hgs.bastion.local,或要求 HGS 管理员在 HGS 服务器上运行 Get-HgsServer cmdlet 来检索 URL)。
Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'若要配置回退 HGS 服务器,请重复此命令,并为密钥保护和证明服务指定回退 URL。 有关详细信息,请参阅回退配置。
通过 VMM:如果使用 System Center Virtual Machine Manager (VMM),则可以在 VMM 中配置证明和密钥保护 URL。 有关详细信息,请参阅“在 VMM 中预配受保护的主机”中的配置全局 HGS 设置。
说明
- 如果 HGS 管理员在 HGS 服务器上启用了 HTTPS,请使 URL 以
https://开头。 - 如果 HGS 管理员在 HGS 服务器上启用了 HTTPS 并使用自签名证书,则需要在每台主机上将证书导入“受信任的根证书颁发机构”存储区中。 若要执行此操作,请在每台主机上运行以下命令:
PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root - 如果你已将 HGS 客户端配置为使用 HTTPS 并在系统范围内禁用了 TLS 1.0,请参阅我们的新式 TLS 指南
若要在主机上启动证明尝试并查看证明状态,请运行以下命令:
Get-HgsClientConfiguration命令的输出会指示主机是否通过了证明,以及现在是否受保护。 如果
IsHostGuarded未返回 True,则可以运行 HGS 诊断工具 Get-HgsTrace 来进行调查。 若要运行诊断,请在主机上的提升的 Windows PowerShell 提示符中输入以下命令:Get-HgsTrace -RunDiagnostics -Detailed重要
如果你使用的是 Windows Server 2019 或 Windows 10 版本 1809 或更高版本,并且在使用代码完整性策略,则对于“代码完整性策略处于活动状态”诊断,
Get-HgsTrace将返回失败。 如果这是唯一失败的诊断,则可以放心地忽略此结果。