這主機監護服務是一項安全功能,用於檢查主機是否可以運行受到高度保護的虛擬機。它管理用於啟動受防護虛擬機的密鑰,這些虛擬機提供額外的安全功能。在本指南中,我們將學習如何在 Windows Server 上配置 Host Guardian 服務。
什麼是寄宿監護人服務?
主機監護服務 (HGS) 是 Windows Server 2016 及更高版本中的一項功能,可提高虛擬環境的安全性。它確保只有受信任的 Hyper-V 主機才能運行受防護的虛擬機 (VM)。受防護的虛擬機可防止篡改和未經授權的訪問,從而保證敏感數據和工作負載的安全。
在 Windows Server 上配置 Host Guardian 服務
如果您想在 Windows Server 上安裝和配置 Host Guardian 服務,請按照以下步驟操作。
- 安裝主機守護者服務角色
- 為 HGS 準備 Active Directory 林
- 創建自行設計的證書
- 初始化 HGS 並設置將使用的證明類型
讓我們詳細談談它們。
1]安裝Host Guardian服務角色
在我們繼續安裝主機監護人服務角色之前,先回顧一下歷史教訓 -人類地質調查局是 Windows Server 2016 中引入的一個相對較新的服務器角色,旨在通過提供監護結構來增強虛擬機的安全性。
要安裝主機監護服務角色,您必須按照以下步驟操作。
- 首先,打開服務器管理器。
- 現在,前往管理 > 添加角色和功能。
- 一旦添加角色和功能嚮導彈出來,點擊下一步。
- 確保基於角色或基於功能的安裝選擇選項並單擊“下一步”。
- 選擇服務器(或保留默認值),然後單擊“下一步”。
- 一旦您到達服務器角色選項卡,勾選主機監護服務複選框。
- 您將看到一個彈出窗口,要求您安裝相關功能,單擊添加功能。
- 單擊“下一步”。
- 由於我們已經選擇了所需的功能,因此單擊“下一步”以跳過“功能”選項卡。
- 單擊“下一步”跳過 AD DS 選項卡,然後單擊“下一步”跳過“主機監護服務”選項卡。
- 一旦您在確認選項卡,勾選自動重新啟動目標服務器(如果需要)(如果可以的話),然後單擊“安裝”。
您將看到安裝狀態欄,等待其完成,完成後,您可以關閉安裝嚮導。
2] 為 HGS 準備 Active Directory 林
添加 HGS 服務器角色後,我們將執行安裝-HgsServercmdlet。這將為 HGS 準備 Active Directory 林,並設置 HGS 服務及其依賴項。在上個月發布之前的最後一個技術預覽啟動此過程之前,確保 HGS 計算機未加入域至關重要。在第一個 HGS 節點上運行此 cmdlet 會將其提升為所選域中的主域控制器。完成後,我們需要初始化 HGS。為此,請運行下面提到的命令。
$adminPassword = ConvertTo-SecureString -AsPlainText 'yourPass' –ForceInstall-HgsServer -HgsDomainName "myDomain.com" -SafeModeAdministratorPassword $adminPassword –Restart
確保將“yourPass”替換為您的實際密碼,將“myDomain.com”替換為您的實際域名。
3]創建一個自行設計的證書
要設置主機監護服務 (HGS) 進行加密和簽名,您需要證書。獲得這些證書有以下三種方式:使用您自己的 PKI 證書和 PFX 文件,獲取硬件安全模塊支持的證書, 或者創建自簽名證書。由於自簽名證書是最簡單的選項,因此我們將在本教程中使用它,儘管它們最適合評估和概念驗證場景。
要執行相同的操作,您需要打開電源外殼作為管理員,然後運行以下命令。
$certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' –Force$signingCert = New-SelfSignedCertificate -DnsName "certName.com"Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'$encryptionCert = New-SelfSignedCertificate -DnsName "EncryptionCert.com"Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'這將創建並導出、簽名和加密證書。
讀:
4]我初始化 HGS 並設置將使用的證明類型
接下來,我們需要初始化 HGS 並設置將使用的證明類型。為此,我們將使用主機密鑰證明,如果您熟悉 Windows Server 2016,這類似於管理員信任的證明。要解決此問題,您可以在 PowerShell 的提升模式下運行以下命令。
$certificatePassword = ConvertTo-SecureString -AsPlainText 'Yusuf@2411' -Force
Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\signingCert.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\encryptionCert.pfx -EncryptionCertificatePassword $certificatePassword
確保替換查詢中給出的所有變量。
現在我們已經了解瞭如何啟動 HGSServer,您可以繼續為您的 Hyper-V VM 創建防護罩並保護您的組織免受惡意軟件攻擊。
讀:?
如何將Windows服務器配置為NTP服務器?
有兩種方法可以將 Windows Server 配置為 NTP 服務器,您可以更改註冊表或使用 PowerShell 執行相同操作。我們只需要啟用NTP服務器,配置Win32Time,然後重新啟動NTP服務器。您可以瀏覽我們的指南,了解如何。
另請閱讀:
![Chrome Remote桌面顯示黑屏[FIX]](https://sclub.recmg.com/tech/blogs/wp-content/uploads/2025/02/Chrome-Remote-Desktop-displays-black-screen.jpg)
![Windows 11 上未安裝 AMD 顯示卡驅動程式錯誤 [已修復]](https://sclub.recmg.com/tech/blogs/wp-content/uploads/2024/09/No-AMD-graphics-driver-is-installed.png)
![DeepSeek API錯誤422無效參數[fix]](https://sclub.recmg.com/tech/blogs/wp-content/uploads/2025/02/HTTP-request-error-in-DeepSeek-R1-Please-verify-your-request-parameters.jpg)