如何在 Windows 11 上將設備運行狀況證明設置為服務器

設備健康證明 (DHA) 是一項強大的安全功能，可在啟動期間驗證 Windows 設備的完整性。通過將 DHA 作為服務器運行，組織可以有效地管理和監控整個網絡中的設備運行狀況，確保遵守安全策略。本指南將引導您完成在 Windows 11 上將設備運行狀況證明設置為服務器的過程。

設備健康證明服務器的先決條件

在開始之前，請確保您的系統滿足以下要求：

• 具有桌面體驗安裝選項的 Windows Server 2016 或更高版本。
• 運行帶有 TPM 版本 1.2 或 2.0 的 Windows 10 或 Windows 11 的客戶端設備。
• 用於安全通信的 SSL 證書。
• 簽名和加密證書。

確認這些先決條件後，您就可以開始安裝過程了。

安裝設備健康證明角色

步驟一：單擊“開始”菜單並選擇“服務器管理器”，打開服務器管理器。

步驟2：單擊右上角的“管理”，然後選擇“添加角色和功能”。

步驟3：在“添加角色和功能嚮導”中，單擊“下一步”，直到到達“選擇服務器角色”頁面。

第4步：向下滾動並選中“設備健康證明”旁邊的框。當提示添加設備健康證明所需的功能時，單擊“添加功能”。

第5步：繼續單擊“下一步”，直到到達“確認安裝選擇”頁面。檢查您的選擇並單擊“安裝”。

第6步：安裝完成後，單擊“關閉”。

配置 SSL 證書

正確的 SSL 證書配置對於 DHA 服務器和客戶端設備之間的安全通信至關重要。

步驟一：按 Windows 鍵 + R 打開“運行”對話框，鍵入“mmc”，然後按 Enter 打開 Microsoft 管理控制台。

步驟2：轉到文件 > 添加/刪除管理單元，從列表中選擇“證書”，然後單擊“添加”。

步驟3：選擇“計算機帳戶”，單擊“下一步”，然後單擊“完成”，最後單擊“確定”。

第4步：在控制台樹中，展開“證書（本地計算機）”>“個人”>“證書”。

第5步：右鍵單擊要用於 DHA 的 SSL 證書，選擇“所有任務”>“管理私鑰”。

第6步：添加“IIS_IUSRS”組並授予其讀取權限。

請記住記下 SSL 證書的指紋，因為您在後續步驟中將需要它。

安裝 TPM 根證書

為了確保正確驗證客戶端 TPM，您需要安裝 TPM 根證書。

步驟一：打開提升的命令提示符。

步驟2：運行以下命令：

mkdir C:TrustedTPM
cd C:TrustedTPM
certutil -urlcache -split -f https://go.microsoft.com/fwlink/?linkid=2097925 TrustedTpm.cab
expand -F:* TrustedTpm.cab .
setup.cmd

這將下載、提取並安裝必要的 TPM 根證書。

配置設備健康度認證服務

現在是時候使用 PowerShell 配置 DHA 服務了。

步驟一：以管理員身份打開 PowerShell。

步驟2：運行以下命令，將佔位符指紋替換為實際的證書指紋：

Install-DeviceHealthAttestation -EncryptionCertificateThumbprint "YourEncryptionCertThumbprint" -SigningCertificateThumbprint "YourSigningCertThumbprint" -SslCertificateStoreName "My" -SslCertificateThumbprint "YourSSLCertThumbprint" -SupportedAuthenticationSchema "AikCertificate"

步驟3：出現提示時，選擇“是”或“全部是”以確認配置更改。

設置證書鏈策略

要完成 DHA 設置，您需要配置證書鏈策略。

步驟一：在同一 PowerShell 窗口中，運行以下命令：

$policy = Get-DHASCertificateChainPolicy
$policy.RevocationMode = "NoCheck"
Set-DHASCertificateChainPolicy -CertificateChainPolicy $policy

這會禁用吊銷檢查，這在某些環境中可能很有用。但是，在生產環境中應用此設置之前，請考慮安全影響。

驗證DHA服務配置

完成設置後，驗證 DHA 服務是否正常運行非常重要。

步驟一：檢查有效的簽名證書：

Get-DHASActiveSigningCertificate

這應該顯示您的簽名證書的詳細信息。

步驟2：驗證活動加密證書：

Get-DHASActiveEncryptionCertificate

您應該會看到加密證書的詳細信息。

步驟3：通過在 Web 瀏覽器中導航到以下 URL 來測試 DHA 服務：

https://<your-server-name>/DeviceHeathAttestation/ValidateHealthCertificate/v1

如果服務運行正常，您應該會看到“方法不允許”消息。這表明該服務正在運行並準備好處理證明請求。

常見問題故障排除

如果您在設置或操作 DHA 服務時遇到問題，以下是一些常見問題及其解決方案：

參見：如何在 Windows 上使用 Microsoft 更新健康工具

問題：“設備運行狀況證明不可用”

此錯誤通常與 TPM 問題有關。嘗試清除 TPM：

步驟一：按 Windows 鍵 + R，輸入“tpm.msc”，然後按 Enter。

步驟2：在 TPM 管理窗口中，轉到“操作”窗格並選擇“清除 TPM”。

步驟3：重新啟動計算機以完成 TPM 重置。

問題：“此設備不支持設備健康證明”

此消息表明您的設備不滿足 DHA 的必要要求。仔細檢查您的系統是否滿足本指南開頭列出的所有先決條件，特別是 TPM 版本和 Windows 版本要求。

通過執行這些步驟，您已成功將設備運行狀況證明設置為 Windows 11 上的服務器。這一強大的功能將幫助您在整個組織中維護更安全、更合規的設備生態系統。請記住定期更新和維護您的 DHA 服務器以確保最佳性能和安全性。