Table of contents
TOC
De inhoudsopgave samenvouwen
De inhoudsopgave uitvouwen

Voorbereiden voor de implementatie van de Host Guardian-Service

Ryan Puffer|Laatst bijgewerkt: 14-4-2017
|
1 Inzender

Van toepassing op: WindowsServer 2016

In dit onderwerp worden de HGS vereisten en de eerste stappen voor te bereiden voor de implementatie HGS.

Vereisten voor de Host Guardian-Service

  • Hardware: HGS kan worden uitgevoerd op fysieke of virtuele machines, maar fysieke machines worden aanbevolen.

    Als u HGS als een fysieke cluster met drie knooppunten (voor beschikbaarheid) uitvoeren wilt, moet u drie fysieke servers hebben. (Als een best practice voor clustering, moeten de drie servers vergelijkbaar hardware hebben.)

  • Besturingssysteem: Windows Server 2016, Standard of Datacenter edition.

  • Serverfuncties: Host Guardian-Service en ondersteunende serverrollen.

  • Configuratie machtigingen/bevoegdheden voor het domein fabric (host): U moet voor het configureren van DNS-forwarding tussen de fabric (host)-domein en het domein HGS. Als u beheerders-attestation (AD-modus) gebruikt, moet u voor het configureren van een Active Directory-vertrouwensrelatie tussen de fabric-domein en het domein HGS.

Upgrade-scenario's ondersteund

Controleer voordat u een beveiligde fabric implementeert, of dat de servers de meest recente cumulatieve Update hebt geïnstalleerd. Als u een beveiligde fabric vóór de release van geïmplementeerd de 27 oktober 2016 cumulatieve Update, de servers hoeven te worden bijgewerkt:

  • Beveiligde hosts kunnen worden bijgewerkt in-place door de meest recente cumulatieve Update installeren.
  • HSG servers moeten opnieuw worden opgebouwd, inclusief het configureren van certificaten en informatie over de hosts, zoals wordt beschreven in dit onderwerp.

Afgeschermde VM's die op een beveiligde host met een eerdere versie van het besturingssysteem zoals TP5 is uitgevoerd, kan nog steeds worden uitgevoerd nadat de host is bijgewerkt naar Windows Server 2016. Nieuwe afgeschermde kunnen niet VM's worden gemaakt op basis van sjabloonschijven die zijn voorbereid met behulp van de wizard sjabloon schijf van een technische Preview-versie.

Voorbereiden voor HGS

Machtigingen die de HGS en Hyper-V fabric-beheerders mogelijk geen voor deze voorbereidende stappen vereist. Deze aan het begin te doen, kan de implementatie vereenvoudigen.

Geef de certificaten voor ondertekening en versleuteling die HGS wilt gebruiken

U moet de Host Guardian-Service configureren met twee certificaten voor versleuteling en ondertekening doeleinden. Er zijn drie sluiten elkaar wederzijds uit opties:

OptieProcedure
U hebt uw eigen PKI-certificaat en een PFX-bestand.Mijn eigen PKI-certificaten die worden niet ondersteund door een HSM gebruiken
Hebt u een certificaat een back-door een Hardware Security Module (HSM).Mijn eigen certificaten met een HSM gebruiken
U gebruikt een zelfondertekend certificaat (alleen aanbevolen voor test- of Implementatiemodel omgevingen).Maken en gebruiken van zelfondertekende certificaten

Houd er rekening mee  ongeacht hoe u de certificaten maken, moeten ze RSA 2048 bits sleutels ondersteunen en hun beleid sleutelgebruik (EKU) moet toestaan digitale ondertekening en versleuteling.

HTTPS is niet nodig voor het beveiligen van communicatie tussen HGS en Hyper-V-host, maar als u ervoor kiest om in te schakelen HTTPS, moet u een aanvullende verklaring. Het HTTPS-certificaat kan een die u al hebt, of u een nieuw certificaat dat u opgeeft bij het initialiseren van de HSG-server kunt maken.

OptieAanvullende procedure
U wilt inschakelen, HTTPSEen certificaat voor het inschakelen van HTTPS configureren
Mijn eigen PKI-certificaten die worden niet ondersteund door een HSM gebruiken

Als u certificaten van een vertrouwde omgeving Public Key Infrastructure (PKI) en zowel het certificaat hebt verkregen en uw organisatie de persoonlijke sleutels worden geëxporteerd naar een PFX (persoonlijke gegevens exchange)-bestand toestaan, u bent nu kunnen gemakkelijk de PFX toevoegen aan een één knooppunt van het cluster HGS en hebben deze automatisch geconfigureerd en gerepliceerd naar andere knooppunten in het cluster HGS.

Als u geen een PFX krijgen of kan niet worden aanvragen van een met de persoonlijke sleutel intact, moet u voor het installeren van de certificaten (met inbegrip van de persoonlijke sleutel) handmatig op elk knooppunt HGS in het cluster op basis van uw organisatie certificate enrollment processen. Certificaten die zijn toegevoegd aan de HGS door middel van vingerafdruk verwijzing in plaats van een PFX-bestand en een wachtwoord vereisen verdere actie, zoals beschreven in de volgende procedure.

De HGS service toegang verlenen tot de persoonlijke sleutels van certificaten die zijn toegevoegd door middel van verwijzing vingerafdruk
  1. In tegenstelling tot andere certificaat-gerelateerde taken, MOET u dit proces op elk knooppunt HGS herhalen. CERTLM.MSC (die wordt geopend de certificaat-beheerconsole voor het lokale archief).

  2. Ga naar het handtekeningcertificaat, met de rechtermuisknop op het en klik vervolgens op alle taken>persoonlijke sleutels beheren.

  3. In het dialoogvenster Beveiliging toevoegen van de groep beheerd serviceaccount (gMSA) voor HGS aan de lijst met accounts. Om dit te doen, klikt u op toevoegen en klik in het dialoogvenster resulterende objecttypen, selecteer serviceaccounts, en klik op OK. Onder Geef de objectnamen op, typ de naam van de account - standaard HGSSVC - en klikt u op namen controleren. Als u oorspronkelijk ingesteld HGS in een bestaand domein, moet u de naam van de gMSA die u hebt opgegeven op de opdracht Initialize-HgsServer typen.

    Selecteer het account dat toegang het certificaat tot

  4. Geef het account lezen toegang tot de persoonlijke sleutels voor het certificaat.

  5. Herhaal dit proces voor het versleutelingscertificaat.

Uw eigen certificaten met een HSM gebruiken

Als u van plan bent gebruik van certificaten die zich in een Hardware Security Module (HSM bevinden), gebruikt u de volgende stappen op hoog niveau, die is afhankelijk van de leverancier van de HSM:

  1. Installeer de software van de HSM-leverancier om ervoor te zorgen dat de HSM zichtbaar voor Windows is.

  2. Maak twee certificaten binnen de HSM met RSA 2048 bits sleutels en het gebruik van de sleutel beleid voor ondertekening en versleuteling doeleinden.

    1. Een versleutelingscertificaat binnen uw HSM maken

    2. Een handtekeningcertificaat binnen uw HSM maken

  3. Controleer of dat de certificaten in het certificaatarchief van de lokale computer zijn geïnstalleerd. Als ze zijn niet automatisch geïnstalleerd, moeten ze per van de HSM-leverancier richtlijnen (Houd er rekening mee dat de persoonlijke sleutel in de HSM blijft zoals verwacht) worden toegevoegd. Voordat u, kunt u het certificaat toevoegen aan de lokale computer certificaatarchief op elke één knooppunt van het cluster HGS en deze automatisch worden geconfigureerd en gerepliceerd naar alle andere knooppunten in het cluster HGS.

  4. Ten slotte moet u ervoor zorgen dat de groep beheerd serviceaccount (gMSA) voor HGS is verleend leestoegang tot de persoonlijke sleutels voor het certificaat. De naam van de gMSA-account is standaard HGSSVC. Als u oorspronkelijk ingesteld HGS in een bestaand domein, is de gMSA die u hebt opgegeven op de opdracht Initialize-HgsServer. Het proces voor het verlenen van toegang tot verschilt tussen leveranciers, dus neem contact op de gebruikershandleiding voor uw specifieke HSM voor meer informatie over het configureren van toegang voor uw back-HSM certificaat.

Maken en gebruiken van zelfondertekende certificaten (voornamelijk gebruikt met test of bewijs van concept omgevingen)

Waarschuwing  zelfondertekende certificaten maken wordt niet aanbevolen buiten test/Implementatiemodel implementaties. Gebruik van certificaten die zijn uitgegeven door een vertrouwde certificeringsinstantie als u in een productieomgeving implementeert.

  1. Open een verhoogde Windows PowerShell-console en voer de volgende opdracht om op te geven van het wachtwoord te gebruiken bij het exporteren van de zelf-ondertekend certificaat. Voor <wachtwoord>, vervangen door een wachtwoord.

    $certificatePassword = ConvertTo-SecureString -AsPlainText '<password>' -Force
    
  2. Maak en exporteer het handtekeningcertificaat door de volgende opdrachten uit te voeren. Voor het ondertekenen van (nadat -DnsName) en voor C:\signingCert, kunt u laat u de namen weergegeven of vervangen door de namen van uw voorkeur.

    $signingCert = New-SelfSignedCertificate -DnsName "signing.relecloud.com"
    
    Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\signingCert.pfx'
    
  3. Maak en exporteer het versleutelingscertificaat door de volgende opdrachten uit te voeren. Voor versleuteling (nadat -DnsName) en voor C:\encryptionCert, kunt u uw voorkeur namen vervangen of laat u de namen weergegeven.

    $encryptionCert = New-SelfSignedCertificate -DnsName "encryption.relecloud.com"
    
    Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\encryptionCert.pfx'
    
Een certificaat voor het inschakelen van HTTPS configureren

Als u HTTPS op uw server HGS inschakelt, moet u hebt of een extra certificaat maken. Voer de volgende opdracht voor het maken van een nieuw certificaat. Voor <HgsServiceName>, kies een naam die u als de naam van het gedistribueerde netwerk van uw server HGS of HGS cluster gebruiken wilt.

$HttpsCertificate = New-SelfSignedCertificate -DnsName "<HgsServiceName>.$env:userdnsdomain" -CertStoreLocation Cert:\LocalMachine\My

Nadat u hebt gekozen of een certificaat wilt gebruiken voor HTTPS gemaakt, kunt u een opdracht zoals het volgende gebruiken om te exporteren.

Export-PfxCertificate -Cert $HttpsCertificate -Password $certificatePassword -FilePath 'c:\HttpsCertificate.pfx'

De opties voor dit certificaat op te geven wanneer het initialiseren van de server HGS worden behandeld in configureren van het eerste knooppunt HGS.

Kiezen of ze in een eigen nieuw forest of in een bestaand forest bastionhost HGS installeren

De Active Directory-forest voor HGS is gevoelig omdat de beheerders toegang tot de sleutels hebben dat besturingselement VM's afgeschermde. De standaard-installatie wordt een nieuw forest instellen voor HGS en andere afhankelijkheden configureren. Deze optie wordt aanbevolen, omdat de omgeving staat op zichzelf en bekend veilig te zijn wanneer deze is gemaakt. Zie voor de PowerShell-syntaxis en een voorbeeld HGS installeren in een eigen nieuw forest.

De alleen technische vereisten voor het installeren van HGS in een bestaand forest is dat deze worden toegevoegd aan het hoofddomein; niet-hoofddomeinen worden niet ondersteund. Maar er zijn ook operationele vereisten en best practices voor het gebruik van een bestaand forest-beveiliging. Geschikte forests opzettelijk zijn ingebouwd voor één gevoelige functie, zoals het forest dat wordt gebruikt door Privileged Access Management voor AD DS of een Enhanced Security Administrative Environment (ESAE) forest. Dergelijke forests vertonen gewoonlijk de volgende kenmerken:

  • Ze hebben enkele admins (los van de fabricbeheerders)
  • Ze hebben een laag aantal aanmeldingen
  • Ze zijn niet algemeen van aard

Voor algemene doeleinden forests zoals productieforests zijn niet geschikt voor gebruik door HGS. Fabric-forests zijn ook niet geschikt omdat de HGS moet kunnen worden geïsoleerd van de fabric-beheerders.

Vereisten voor het HGS toevoegen aan een bestaand forest

Als u wilt HGS toevoegen aan een bestaand forest bastionhost, moet deze worden toegevoegd aan het hoofddomein. Voordat u HGS initialiseren, moet u elke doelserver van het cluster HGS toevoegen aan het hoofddomein en voegt u deze objecten:

  • Een groep beheerde serviceaccounts (gMSA) die is geconfigureerd voor gebruik op de computers die als host HGS fungeren.

  • Twee Active Directory-groepen die u voor Just Enough Administration (JEA gebruiken wilt). Eén groep is voor gebruikers die HGS beheer via JEA kunnen uitvoeren, en de andere voor gebruikers die alleen HGS via JEA kunnen weergeven.

  • Voor het instellen van het cluster, ofwel voorbereid clusterobjecten of voor de gebruiker die wordt uitgevoerd Initialize-HgsServer, machtigingen voor het voorbereiden van de clusterobjecten.

Zie voor de syntaxis van de PowerShell HGS toevoegen aan een forest, HGS in een bestaand forest bastionhost initialiseren.

Naamomzetting configureren

De fabric die DNS worden geconfigureerd moet zodat beveiligde hosts kunt de naam van het cluster HGS oplossen. Zie voor een voorbeeld: de infrastructuur-DNS configureren.

Als u AD-modus attestation gebruikt, moet het domein HGS DNS-set up doorsturen en een eenzijdige forestvertrouwensrelatie zodat HGS het groepslidmaatschap van beveiligde hosts kunt valideren. Zie voor een voorbeeld: configureren van DNS-doorsturen en domeinvertrouwen.

Zie ook

© 2017 Microsoft