Создание группы безопасности для защищенных узлов и регистрация группы в HGS

Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016

Внимание

Режим AD устарел, начиная с Windows Server 2019. В средах, где аттестация TPM невозможна, настройте аттестацию ключа узла. Аттестация ключей узла обеспечивает аналогичную гарантию режима AD и упрощает настройку.

В этом разделе описаны промежуточные шаги по подготовке узлов Hyper-V к созданию защищенных узлов с помощью Администратор доверенной аттестации (режим AD). Прежде чем выполнять эти действия, выполните действия, описанные в разделе "Настройка DNS структуры для узлов, которые станут защищенными узлами".

Создание группы безопасности и добавление узлов

1. Создайте новую глобальную группу безопасности в домене структуры и добавьте узлы Hyper-V, которые будут запускать экранированные виртуальные машины. Перезапустите узлы, чтобы обновить членство в группе.

2. Используйте Get-ADGroup, чтобы получить идентификатор безопасности группы безопасности и предоставить его администратору HGS.

   Get-ADGroup "Guarded Hosts"
   

   

Регистрация безопасности группы безопасности в HGS

1. На сервере HGS выполните следующую команду, чтобы зарегистрировать группу безопасности в HGS. При необходимости повторно выполните команду для дополнительных групп. Укажите понятное имя для группы. Не нужно соответствовать имени группы безопасности Active Directory.

   Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"
   

2. Чтобы убедиться, что группа была добавлена, выполните команду Get-HgsAttestationHostGroup.

Следующий шаг

Подтверждение аттестации

Дополнительные справочники

• Развертывание службы защиты узла для защищенных узлов и экранированных виртуальных машин