Il core protetto è una raccolta di funzionalità che offrono funzionalità predefinite per hardware, firmware, driver e sicurezza del sistema operativo. Questo articolo illustra come configurare un server con protezione core utilizzando Windows Admin Center, Windows Server Desktop Experience, e i Criteri di gruppo.
Il server core protetto è progettato per offrire una piattaforma sicura per dati e applicazioni critici. Per ulteriori informazioni, vedere Che cos'è il server Secured-core?
Prerequisiti
Prima di poter configurare il server Secured-Core, è necessario che nel BIOS siano installati e abilitati i componenti di sicurezza seguenti:
Secure Boot
Trusted Platform Module (TPM) 2.0.
Il firmware di sistema deve soddisfare i requisiti di protezione DMA di pre-avvio e impostare i flag appropriati nelle tabelle ACPI per optare per e abilitare la protezione DMA del kernel. Per ulteriori informazioni sulla Protezione DMA del Kernel, vedere Protezione DMA del Kernel (Protezione dall'Accesso alla Memoria) per gli OEM.
Processore con supporto abilitato nel BIOS per:
Estensioni di virtualizzazione.
Unità di gestione della memoria di input/output (IOMMU).
Radice dinamica di attendibilità per la misurazione (DRTM).
Transparent Secure Memory Encryption è necessario anche per i sistemi basati su AMD.
Importante
L'abilitazione di ognuna delle funzionalità di sicurezza nel BIOS può variare in base al fornitore dell'hardware. Assicurarsi di controllare la guida all'abilitazione del server Secured-core del produttore di hardware.
Per configurare il server protetto-core è necessario abilitare funzionalità di sicurezza specifiche di Windows Server, selezionare il metodo pertinente e seguire la procedura.
Ecco come abilitare il server Secured-core usando l'interfaccia utente.
Dal desktop di Windows aprire il menu Start , selezionare Strumenti di amministrazione di Windows, aprire Gestione computer.
In Gestione computer, selezionare Gestione dispositivi, e risolvere eventuali errori dei dispositivi, se necessario.
Per i sistemi basati su AMD, verificare che il dispositivo DRTM Boot Driver sia presente prima di continuare
Dal desktop di Windows aprire il menu Start , selezionare Sicurezza di Windows.
Selezionare il sicurezza del dispositivo > dettagli isolamento del core, quindi abilitare integrità della memoria e protezione firmware. Potrebbe non essere possibile abilitare l'integrità della memoria fino a quando non è stata abilitata prima la protezione del firmware e il server è stato riavviato.
Riavviare il server quando richiesto.
Dopo il riavvio, il server è abilitato come server Secured-core.
Ecco come abilitare la funzionalità core protetto su un server utilizzando Windows Admin Center.
Accedere al portale di Windows Admin Center.
Selezionare il server a cui connettersi.
Selezionare Sicurezza usando il pannello a sinistra, quindi selezionare la scheda Secured-core.
Verificare le caratteristiche di sicurezza con lo stato Non configurato, quindi selezionare Abilita.
Quando viene notificata, selezionare Pianificare il riavvio del sistema per rendere persistenti le modifiche.
Selezionare il Riavvia immediatamente o Pianifica il riavvio a un momento adatto al carico di lavoro.
Dopo il riavvio, il server è abilitato per il server con protezione avanzata.
Ecco come abilitare il server Secured-core per i membri del dominio usando Criteri di Gruppo.
Aprire Console Gestione Criteri di gruppo, creare o modificare un criterio applicato al server.
Nell'albero della console selezionare Configurazione computer > Modelli amministrativi > Sistema > Device Guard.
Per l'impostazione, fare clic con il pulsante destro del mouse su Attiva la sicurezza basata sulla virtualizzazione e selezionare Modifica.
Selezionare Abilitato, quindi dai menu a discesa, selezionare quanto segue:
Selezionare Avvio protetto e protezione DMA per il livello di sicurezza della piattaforma.
Selezionare Abilitato senza blocco o Abilitato con il blocco UEFI per la protezione basata su virtualizzazione dell'integrità del codice.
Selezionare Abilitato per la Configurazione di Avvio Protetto.
Attenzione
Se si usa Abilitato con blocco UEFI per la protezione basata su virtualizzazione dell'integrità del codice, non può essere disabilitato da remoto. Per disabilitare la funzionalità, è necessario impostare Criteri di gruppo su Disabilitato e rimuovere le funzionalità di sicurezza da ogni computer, con un utente fisicamente presente, per cancellare la configurazione persistente in UEFI.
Selezionare OK per completare la configurazione.
Riavviare il server per applicare i Criteri di gruppo.
Dopo il riavvio, il tuo server è abilitato come Server con protezione Secured-core.
Verificare la configurazione del server con nucleo protetto
Dopo aver configurato il server Secured-Core, selezionare il metodo pertinente per verificare la configurazione.
Ecco come verificare che il server Secure-Core sia configurato usando l'interfaccia utente.
Dal desktop di Windows aprire il menu start , digitare per aprire Informazioni di sistema. Nella pagina Riepilogo del sistema, confermare:
Stato del Secure Boot e Protezione DMA del Kernel sono attivati.
La sicurezza basata sulla virtualizzazione è in esecuzione.
Servizi di sicurezza basati su virtualizzazione mostra in esecuzione l'integrità del codice applicata dall'hypervisor e l'avvio protetto.
Ecco come verificare che il server Secured-core è configurato tramite Windows Admin Center.
Accedere al portale di Windows Admin Center.
Selezionare il server a cui connettersi.
Selezionare Sicurezza usando il pannello a sinistra, quindi selezionare la scheda Protetta.
Controllare che tutte le funzionalità di sicurezza abbiano come stato Configurato.
Per verificare che i Criteri di gruppo siano stati applicati al server, eseguire il comando seguente da un prompt dei comandi con privilegi elevati.
gpresult /SCOPE COMPUTER /R /V
Verificare nell'output che le impostazioni di Device Guard siano applicate nella sezione dei Modelli amministrativi. Nell'esempio seguente viene illustrato l'output quando vengono applicate le impostazioni.
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
Verificare che il server Secured-core sia configurato seguendo i passaggi.
Dal desktop di Windows aprire il menu start , digitare per aprire Informazioni di sistema. Nella pagina Riepilogo sistema, confermare:
lo stato di avvio protetto e la protezione DMA del kernel sono attivati.
La sicurezza basata su virtualizzazione è in esecuzione.
Servizi di sicurezza basati su virtualizzazione in esecuzione con integrità del codice imposta dall'hypervisor e avvio protetto.
Passaggi successivi
Dopo aver configurato il server con core protetto, ecco alcune risorse per approfondire le conoscenze su:
