Criar um grupo de segurança para hosts protegidos e registrar o grupo com o HGS

Importante

O modo AD foi preterido a partir do Windows Server 2019. Para ambientes em que o atestado do TPM não é possível, configure o atestado de chave de host. O atestado de chave de host fornece uma garantia semelhante ao modo do AD e é mais simples de configurar.

Este tópico descreve as etapas intermediárias para preparar os hosts do Hyper-V para se tornarem hosts protegidos usando o Atestado confiável do administrador (modo AD). Antes de executar essas etapas, conclua as etapas em Configurar o DNS de malha para hosts que se tornarão hosts protegidos.

Criar um grupo de segurança e adicionar hosts

  1. Crie um novo grupo de segurança GLOBAL no domínio de malha e adicione hosts Hyper-V que executarão VMs blindadas. Reinicie os hosts para atualizar a associação de grupo.

  2. Use Get-ADGroup para obter o SID (identificador de segurança) do grupo de segurança e fornecê-lo ao administrador do HGS.

    Get-ADGroup "Guarded Hosts"

    Comando Get-AdGroup com saída

Registrar o SID do grupo de segurança com o HGS

  1. Em um servidor HGS, execute o comando a seguir para registrar o grupo de segurança com o HGS. Execute novamente o comando, se necessário, para grupos adicionais. Forneça um nome amigável para o grupo. Ele não precisa corresponder ao nome do grupo de segurança do Active Directory.

    Add-HgsAttestationHostGroup -Name "<GuardedHostGroup>" -Identifier "<SID>"

  2. Para verificar se o grupo foi adicionado, execute Get-HgsAttestationHostGroup.

Próxima etapa

Confirmar atestado

Referências adicionais