Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen
Ryan Puffer|Laatst bijgewerkt: 14-4-2017
|
1 Inzender

Van toepassing op: WindowsServer 2016

Informatie over de host voor de TPM vertrouwde attesten toevoegen

Voor de TPM-modus, legt de fabric-beheerder drie soorten informatie over de host, elk van die moet worden toegevoegd aan de configuratie van de HGS:

  • Een TPM-id (EKpub) voor elke Hyper-V-host
  • Code-integriteitsbeleid, een witte lijst van toegestane binaire bestanden voor de Hyper-V-hosts
  • Een TPM basislijn (opstartmetingen) die staat voor een set van Hyper-V host die worden uitgevoerd op dezelfde hardware-klasse

Het proces dat gebruikmaakt van de fabric-beheerder wordt beschreven in TPM vertrouwde attesten voor een beveiligde fabric - gegevens vastleggen die vereist zijn door HGS.

Na de fabric door de beheerder de gegevens worden vastgelegd, toevoegen aan de HGS-configuratie, zoals beschreven in de volgende procedure.

  1. De XML-bestanden die de EKpub informatie bevatten en deze kopiëren naar een server HGS verkrijgen. Er is een XML-bestand per host. Voer vervolgens de opdracht hieronder in een verhoogde Windows PowerShell-console op een server HGS. Herhaal de opdracht voor elk van de XML-bestanden.

    Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName> -Force
    

    Houd er rekening mee  de -Force vlag wordt hier gebruikt voor het overslaan van een validatie van de EKcert van de TPM van de host. Hosts met behulp van TPM's zonder een EKcert of met een EKcert uitgegeven door een CA de HGS-server niet vertrouwt genereren een fout zonder het gebruik van - Force. Voor het hoogste niveau van beveiliging, gebruik niet de - forceren vlag, zodat u wordt gewaarschuwd voor mogelijk onbetrouwbare TPM's.

  2. Verkrijg de code integrity-beleid die de fabric-beheerder gemaakt voor de hosts, in binaire indeling (*.p7b). Kopiëren naar een server HGS. Voer vervolgens de volgende opdracht.

    Voor <PolicyName>, Geef een naam voor de CI-beleid voor het type van de host is van toepassing op. Er is een best practice naam geven na het merk/model van de computer en de speciale softwareconfiguratie uitgevoerd.
    Voor <Path>, geef het pad en bestandsnaam van de code integrity-beleid.

     Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'
    
  3. Zorg ervoor dat de TCGlog die de fabric-beheerder vastgelegd vanaf een host verwijzing. Kopieer het bestand naar een server HGS. Voer vervolgens de volgende opdracht. U wordt meestal het beleid naam geven nadat de klasse van hardware vertegenwoordigt (bijvoorbeeld 'Fabrikant Model revisie').

     Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'
    

Hiermee voltooit u het proces van het configureren van een cluster HGS voor de TPM-modus. De fabric-beheerder mogelijk moet u twee URL's van HGS voordat de configuratie voor de hosts kan worden voltooid. Uitvoeren als u deze URL's, op een server HGS, Get-HgsServer.

© 2017 Microsoft