Konfigurace zabezpečeného základního serveru

• Platí pro:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Zabezpečené jádro je kolekce funkcí, které nabízí integrované funkce hardwaru, firmwaru, ovladače a zabezpečení operačního systému. V tomto článku se dozvíte, jak nakonfigurovat zabezpečený základní server pomocí Centra pro správu Windows, desktopového prostředí Windows Serveru a zásad skupiny.

Zabezpečený základní server je navržený tak, aby poskytoval zabezpečenou platformu pro důležitá data a aplikace. Další informace najdete v tématu Co je zabezpečený základní server?

Požadavky

Před konfigurací serveru zabezpečeného jádra musíte mít v systému BIOS nainstalované a povolené následující součásti zabezpečení:

• Zabezpečené spouštění.
• Trusted Platform Module (TPM) 2.0.
• Firmware systému musí splňovat požadavky na ochranu DMA před spuštěním a nastavit příslušné příznaky v tabulkách ACPI, aby se aktivovala a umožnila ochrana DMA jádra. Další informace o ochraně DMA jádra najdete v tématu Ochrana DMA jádra (ochrana přístupu do paměti) pro OEM.
• Procesor s podporou povolenou v systému BIOS pro:
  • Rozšíření virtualizace.
  • Jednotka pro správu vstupní/výstupní paměti (IOMMU).
  • Dynamický kořen důvěryhodnosti pro měření (DRTM).
  • Transparentní zabezpečené šifrování paměti je také vyžadováno pro systémy založené na amd.

Důležitý

Povolení jednotlivých funkcí zabezpečení v systému BIOS se může lišit v závislosti na dodavateli hardwaru. Ujistěte se, že jste si zkontrolovali průvodce povolením serveru s zabezpečeným jádrem od výrobce hardwaru.

Hardware certifikovaný pro server s bezpečným jádrem najdete v katalogu Windows Serverua místní servery Azure v katalogu Azure Local.

Povolení funkcí zabezpečení

Pokud chcete nakonfigurovat zabezpečený server, musíte povolit konkrétní funkce zabezpečení Windows Serveru, vyberte příslušnou metodu a postupujte podle pokynů.

grafického uživatelského rozhraní

Tady je postup povolení zabezpečeného základního serveru pomocí uživatelského rozhraní.

1. Na ploše Windows otevřete nabídku Start, vyberte Nástroje pro správu systému Windows, otevřete správa počítače.
2. Ve správě počítače vyberte správce zařízení, v případě potřeby vyřešte všechny chyby zařízení.
   1. V případě systémů založených na amd ověřte, že je k dispozici zařízení ovladače spouštění DRTM, a teprve potom pokračujte.
3. Na ploše Windows otevřete nabídku Start a vyberte Zabezpečení systému Windows .
4. Vyberte zabezpečení zařízení, poté podrobnosti o izolaci jádra >, a pak povolte integritu paměti a ochranu firmwaru. Možná nebudete moct povolit integritu paměti, dokud nepovolíte ochranu firmwaru a nerestartujete server.
5. Po zobrazení výzvy restartujte server.

Po restartování serveru je server konfigurován pro server se zabezpečeným jádrem.

Windows Centrum pro správu

Tady je postup povolení zabezpečeného základního serveru pomocí Centra pro správu Windows.

1. Přihlaste se k portálu Windows Admin Center.
2. Vyberte server, ke kterému se chcete připojit.
3. Na levém panelu vyberte Zabezpečení a poté vyberte kartu Zabezpečené jádro.
4. Zkontrolujte funkce zabezpečení se stavem Nenakonfigurovánoa pak vyberte Povolit.
5. Po upozornění vyberte Naplánovat restartování systému, aby se změny zachovaly.
6. Vyberte Restartovat okamžitě nebo Naplánovat restartování v době vhodné pro vaši úlohu.

Po restartování serveru bude server povolen jako Server s zabezpečeným jádrem.

Postup, jak povolit server s chráněným jádrem pro členy domény pomocí zásad skupin.

1. Otevřete konzolu pro správu zásad skupiny , vytvořte nebo upravte zásadu použitou na vašem serveru.

2. Ve stromu konzoly vyberte Konfigurace počítače > Šablony pro správu > Systém > Device Guard.

3. V nastavení klikněte pravým tlačítkem na Zapnout zabezpečení založené na virtualizaci a vyberte Upravit.

4. Z rozevírací nabídky vyberte Povoleno, a poté vyberte následující:

   1. Pro úroveň zabezpečení platformy vyberte Bezpečné spouštění a ochranu DMA.
   2. Vyberte buď Povoleno bez uzamčení, nebo Povoleno s uzamčením UEFI pro ochranu integrity kódu založenou na virtualizaci.
   3. Vyberte Enabled pro konfiguraci zabezpečeného spuštění.

   Opatrnost

   Pokud používáte Povoleno se zámkem UEFI pro ochranu integrity kódu na základě virtualizace, nedá se vzdáleně zakázat. Chcete-li tuto funkci zakázat, musíte nastavit zásady skupiny na Zakázáno a také odebrat funkce zabezpečení z každého počítače s fyzickou přítomností uživatele, aby bylo možné vymazat konfiguraci zachovanou v rozhraní UEFI.

5. Konfiguraci dokončete výběrem OK.

6. Restartujte server, aby se použily zásady skupiny.

Po restartování serveru je server nastaven jako "server se zabezpečeným jádrem".

Ověření konfigurace zabezpečeného základního serveru

Teď, když jste nakonfigurovali server zabezpečeného jádra, vyberte příslušnou metodu pro ověření konfigurace.

grafického uživatelského rozhraní

Tady je postup, jak ověřit, jestli je server zabezpečeného jádra nakonfigurovaný pomocí uživatelského rozhraní.

1. Na ploše Windows otevřete nabídku Start, zadejte msinfo32.exe a otevřete informace o systému. Na stránce Souhrn systému potvrďte:

   1. stavu zabezpečeného spouštění a je zapnutá ochrana DMA jádra .

   2. Zabezpečení založené na virtualizaci je spuštěno.

   3. Služby zabezpečení založené na virtualizaci Běh ukazuje integritu kódu vynucovanou hypervisorem a zabezpečené spuštění.

      

Windows Admin Center

Tady je postup ověření konfigurace zabezpečeného základního serveru pomocí Centra pro správu Windows.

1. Přihlaste se k portálu Windows Admin Center.

2. Vyberte server, ke kterému se chcete připojit.

3. Na levém panelu vyberte zabezpečení a pak vyberte kartu zabezpečené jádro.

4. Zkontrolujte, že všechny funkce zabezpečení mají stav Nakonfigurované.

   

Zásady skupiny

Pokud chcete ověřit, že se zásady skupiny použily na váš server, spusťte z příkazového řádku se zvýšenými oprávněními následující příkaz.

gpresult /SCOPE COMPUTER /R /V

Ve výstupu ověřte, že se nastavení Device Guard použije v části Šablony pro správu. Následující příklad ukazuje výstup při použití nastavení.

        Administrative Templates
        ------------------------
            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
                Value:       1, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
                Value:       2, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
                Value:       1, 0, 0, 0
                State:       Enabled

Podle kroků ověřte, že je server zabezpečeného jádra nakonfigurovaný.

1. Z plochy Windows otevřete nabídku Start a napište msinfo32.exe pro otevření informací o systému. Na stránce Souhrn systému potvrďte:

   1. Stav zabezpečeného spouštění a ochrana DMA jádra je zapnutá.

   2. Zabezpečení na základě virtualizace je spuštěno.

   3. Služby zabezpečení založené na virtualizaci Běh ukazuje hypervisorově vynucenou integritu kódu a zabezpečené spuštění.

      

Další kroky

Teď, když jste nakonfigurovali zabezpečený základní server, najdete tady některé zdroje informací, které vám podají další informace:

• zabezpečení na základě virtualizace (VBS)
• Integrita paměti a povolení VBS
• Zabezpečené spuštění System Guard