Confirmar se os hosts protegidos podem atestar

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Um administrador de malha precisa confirmar se os hosts Hyper-V podem ser executados como hosts protegidos. Conclua as seguintes etapas em pelo menos um host protegido:

1. Se você ainda não instalou a função Hyper-V e o recurso Suporte do Hyper-V do Guardião de Host, instale-os com o seguinte comando:

   Install-WindowsFeature Hyper-V, HostGuardian -IncludeManagementTools -Restart
   

2. Verifique se o host Hyper-V pode resolver o nome DNS do HGS e tem conectividade de rede para acessar a porta 80 (ou 443, se você configurar o HTTPS) no servidor HGS.

3. Configure as URLs de Proteção de Chave e Atestado do host:

   • Com o Windows PowerShell: você pode configurar as URLs de Proteção de Chave e Atestado executando o seguinte comando em um console do Windows PowerShell com privilégios elevados. Para <FQDN>, use o FQDN (Nome de Domínio Totalmente Qualificado) do cluster HGS (por exemplo, hgs.bastion.local, ou peça ao administrador do HGS para executar o cmdlet Get-HgsServer no servidor HGS para recuperar as URLs).

     Set-HgsClientConfiguration -AttestationServerUrl 'http://<FQDN>/Attestation' -KeyProtectionServerUrl 'http://<FQDN>/KeyProtection'
     

     Para configurar um servidor HGS de fallback, repita esse comando e especifique as URLs de fallback para os serviços de Proteção de Chave e Atestado. Para obter mais informações, confira Configuração de fallback.

   • Com o VMM: se você estiver usando o VMM (System Center Virtual Machine Manager), poderá configurar as URLs de Proteção de Chave e Atestado no VMM. Para obter detalhes, confira Definir configurações globais do HGS em Provisionar hosts protegidos no VMM.

   Observações

   • Se o administrador do HGS habilitou o HTTPS no servidor HGS, inicie as URLs com https://.
   • Se o administrador do HGS habilitou o HTTPS no servidor HGS e usou um certificado autoassinado, você precisará importar o certificado para o repositório autoridades de certificado raiz confiáveis em cada host. Para fazer isso, execute o seguinte comando em cada host: PowerShell Import-Certificate -FilePath "C:\temp\HttpsCertificate.cer" -CertStoreLocation Cert:\LocalMachine\Root
   • Se você configurou o cliente HGS para usar o HTTPS e desabilitou o TLS 1.0 em todo o sistema, confira nossas diretrizes modernas do TLS

4. Para iniciar uma tentativa de atestado no host e exibir o status do atestado, execute o seguinte comando:

   Get-HgsClientConfiguration
   

   A saída do comando indica se o host passou pelo atestado e agora está protegido. Se IsHostGuarded não retornar True, você poderá executar a ferramenta de diagnóstico HGS, Get-HgsTrace, para investigar. Para executar o diagnóstico, insira o seguinte comando em um prompt do Windows PowerShell com privilégios elevados no host:

   Get-HgsTrace -RunDiagnostics -Detailed
   

   Importante

   Se você estiver usando o Windows Server 2019 ou Windows 10, versão 1809 ou posterior, e estiver usando políticas de integridade de código, Get-HgsTrace retornará uma falha para o diagnóstico Ativo da Política de Integridade de Código. Você pode ignorar esse resultado com segurança, quando ele for o único diagnóstico com falha.

Próxima etapa

Implantar VMs blindadas

Referências adicionais

• Implantar o Serviço Guardião de Host (HGS)
• Implantar VMs blindadas