Cómo configurar el servicio de protección de host (Host Guardian Service) en Windows Server

El servicio de protección de host o Host Guardian Service (HGS) es una característica de Windows Server que permite proteger máquinas virtuales de Hyper-V de accesos no autorizados. Al implementar este servicio, el HGS verifica que los hosts de Hyper-V que intentan ejecutar la VM blindada cumplan determinados requisitos de seguridad, evitando la ejecución en servidores no confiables o sin autorización. Si necesitas garantizar la confidencialidad e integridad de una máquina virtual propia o de tu empresa, aquí te contamos cómo configurar el servicio de protección de host.

Añade una capa de seguridad a tus máquinas virtuales con el servicio de protección de host. En este tutorial te mostramos cómo instalarlo y configurarlo en entornos de Hyper-V.

Cómo instalar el rol de servicio de protección de host (HGS) en entornos Hyper-V con Windows Server

Lo primero que debes hacer es añadir el rol del servicio HGS en el administrador del servidor (Server Manager). A continuación, vemos los pasos en detalle:

  1. Abre el Administrador del servidor.

  2. En la esquina superior derecha, selecciona Administrar > Agregar roles y características.

  3. Haz clic en “Siguiente”.

  4. Selecciona “Instalación basada en características o en roles” y cliquea en “Siguiente”.

  5. Elige un servidor o deja el que está por defecto y haz clic en “Siguiente”.

  6. En la lista, marca el rol de “Host Guardan Service”.

  7. Dentro de la ventana emergente, asegúrate de que la opción “Incluir herramientas de administración (si es aplicable)” se encuentre marcada y haz clic en el botón “Agregar características”.

  8. Haz clic en “Siguiente”.

  9. En la siguiente ventana, no es necesario que modifiques las características, solo haz clic en “Siguiente”.

  10. Sigue avanzando hasta llegar a la pestaña de confirmación y cliquea el botón “Instalar”.

La instalación puede llevar un tiempo. Una vez que termine, deberás reiniciar el servidor y avanzar con el siguiente apartado.

Cómo configurar el entorno de Active Directory para implementar el HGS

Para que el entorno de Active Directory funcione con el servicio de protección de host, es necesario definir una contraseña y convertir el servidor en un controlador de dominio principal, configurando los servicios necesarios para que HGS opere.

Veamos cómo hacerlo:

  1. Tras completar la instalación del rol y reiniciar el servidor, abre una ventana elevada de PowerShell.

  1. Ingresa este comando en la consola, reemplazando “TuContraseña” por una contraseña válida que elijas:

$adminPassword = ConvertTo-SecureString -AsPlainText 'TuContraseña' –Force

  1. Copia y envía el siguiente comando en la consola, cambiando “TuDominio.com” por el nombre de dominio que crearás para uso exclusivo del HGS:

Install-HgsServer -HgsDomainName "TuDominio.com" -SafeModeAdministratorPassword $adminPassword –Restart

Este comando instalará y configurará el Host Guardian Service en el servidor, incluyendo la preparación del dominio de Active Directory. Al terminar la instalación y configuración, se reiniciará el servidor automáticamente.

Cómo crear los certificados para proteger los datos del servicio de Host Guardian

El servicio de protección de host requiere de certificados para poder firmar y cifrar datos de forma segura. Aunque hay varios métodos para obtener estos certificados, aquí veremos el método más sencillo que implica crear certificaciones autofirmadas.

Enseguida, te mostramos los pasos a seguir:

  1. Ejecuta PowerShell como Administrador.

  2. Copia el siguiente bloque de comandos y envíalos en la consola (si prefieres, puedes ejecutar los comandos uno a la vez):

$certificatePassword = ConvertTo-SecureString -AsPlainText '<TuContraseña>' –Force

$signingCert = New-SelfSignedCertificate -DnsName "NombreCertFirma.com"

Export-PfxCertificate -Cert $signingCert -Password $certificatePassword -FilePath 'C:\MiCertificadoFirma.pfx'

$encryptionCert = New-SelfSignedCertificate -DnsName "NombreCertCifrado.com"

Export-PfxCertificate -Cert $encryptionCert -Password $certificatePassword -FilePath 'C:\MiCertificadoCifrado.pfx'

Recuerda colocar los referencias que se adaptan a tu caso, en particular:

Tras completar estos pasos, se crearán dos certificados, no para firmar datos y el otro para cifrarlos. Estarán listos para usar en la configuración de HGS.

Cómo iniciar el servicio de protección de host y terminar de configurar la validación de los hosts

Por último, es momento de inicializar el Host Guardian Service y ajustar el tipo de atestación a usar, que en este caso será mediante una clave de host.

Solo sigue estos pasos para terminar la configuración:

  1. Abre PowerShell con permisos elevados.

  2. Envía el siguiente comando en la consola, colocando tu contraseña:

$certificatePassword = ConvertTo-SecureString -AsPlainText 'TuContraseña' -Force

  1. Envía este comando, reemplazando la información correcta al copiar la ubicación y el nombre de los certificados, como los creaste en el apartado anterior:

Initialize-HGSServer -LogDirectory c:\temp -HgsServiceName HGSService -HTTP -TrustHostKey -SigningCertificatePath C:\MiCertificadoFirma.pfx -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath C:\MiCertificadoCifrado.pfx -EncryptionCertificatePassword $certificatePassword

Con eso, el servicio de protección de host ya queda configurado correctamente y está listo para proteger la máquina virtual blindada.

Conclusiones personales

El Host Guardian Service (HGS) de Windows Server es una solución de seguridad avanzada para Hyper-V de Microsoft que, cuando se configura correctamente, proporciona una capa robusta de protección para las máquinas virtuales, garantizando que sus datos y recursos adicionales estén seguros frente a manipulaciones o filtraciones.

Siguiendo la guía que te presentamos, podrás implementar el servicio de protección de host en tu servidor sin problemas y así garantizar la seguridad de las máquinas virtuales que gestiones.

Comentarios