Compartilhar via


Adicionar informações de host para atestado confiável do TPM

Para o modo TPM, o administrador de malha captura três tipos de informações do host, e cada uma delas precisa ser adicionada à configuração do HGS:

  • Um identificador TPM (EKpub) para cada host do Hyper-V
  • Políticas de integridade de código, uma lista de binários permitidos para os hosts do Hyper-V
  • Uma linha de base do TPM (medidas de inicialização) que representa um conjunto de hosts do Hyper-V executados na mesma classe de hardware

Depois que o administrador de malha capturar as informações, adicione-as à configuração do HGS, conforme descrito no procedimento a seguir.

  1. Obtenha os arquivos XML que contêm as informações do EKpub e copie-os para um servidor HGS. Haverá um arquivo XML por host. Em seguida, em um console do Windows PowerShell com privilégios elevados em um servidor do HGS, execute o comando abaixo. Repita o comando para cada um dos arquivos XML.

    Add-HgsAttestationTpmHost -Path <Path><Filename>.xml -Name <HostName>
    

    Observação

    Se, ao adicionar um identificador TPM ocorrer um erro relacionado ao Certificado de Chave de Endosso (EKCert) não confiável, verifique se os certificados raiz de confiança do TPM foram adicionados ao nó HGS. Além disso, alguns fornecedores de TPM não usam EKCert. Para verificar se um EKCert está ausente, abra o arquivo XML em um editor, como o Bloco de Notas, e verifique se há uma mensagem de erro indicando que nenhum EKCert foi encontrado. Se esse for o caso, e você confiar que o TPM em seu computador é autêntico, você pode usar o sinalizador -Force para substituir essa verificação de segurança e adicionar o identificador de host ao HGS.

  2. Obtenha a política de integridade de código que o administrador de malha criou para os hosts, em formato binário (*.p7b). Copie-o em um servidor do HGS. Em seguida, execute o comando a seguir.

    Para <PolicyName>, especifique um nome para a política de CI que descreva o tipo de host para o qual ela se aplica. Uma prática recomendada é nomeá-la usando a marca/modelo do computador e uma configuração de software especial em execução nele.
    Para <Path>, especifique o caminho e o nome do arquivo da política de integridade do código.

    Add-HgsAttestationCIPolicy -Path <Path> -Name '<PolicyName>'
    

    Observação

    Se estiver usando uma política de integridade de código assinada, registre uma cópia não assinada da mesma política no HGS. A assinatura em políticas de integridade de código é usada para controlar as atualizações da política, mas não é medida no TPM do host e, portanto, não pode ser certificada pelo HGS.

  3. Obtenha o arquivo de log TCG que o administrador de malha capturou de um host de referência. Copie o arquivo para um servidor do HGS. Em seguida, execute o comando a seguir. Geralmente, o nome da política é o nome da classe de hardware que ela representa (por exemplo, "Revisão do Modelo do Fabricante").

    Add-HgsAttestationTpmPolicy -Path <Filename>.tcglog -Name '<PolicyName>'
    

Isso conclui o processo de configuração de um cluster HGS para o modo TPM. O administrador de malha pode precisar que você forneça duas URLs do HGS antes que a configuração seja concluída para os hosts. Para obter essas URLs, em um servidor do HGS, execute Get-HgsServer.

Próxima etapa

Confirmar atestado