보안 코어는 기본 제공 하드웨어, 펌웨어, 드라이버 및 운영 체제 보안 기능을 제공하는 기능 모음입니다. 이 문서에서는 Windows Admin Center, Windows Server 데스크톱 환경 및 그룹 정책을 사용하여 보안 코어 서버를 구성하는 방법을 보여 줍니다.
보안 코어 서버는 중요한 데이터 및 애플리케이션을 위한 보안 플랫폼을 제공하도록 설계되었습니다. 자세한 내용은 보안 코어 서버란?을 참조하세요.
필수 조건
보안 코어 서버를 구성하려면 BIOS에서 다음 보안 구성 요소를 설치하고 활성화해야 합니다.
보안 부팅
Trusted Platform Module(TPM) 2.0
시스템 펌웨어는 부팅 전 DMA 보호 요구 사항을 충족하고 ACPI 테이블에서 적절한 플래그를 설정하여 커널 DMA 보호를 옵트인하고 활성화해야 합니다. Kernel DMA에 대한 자세한 내용은 OEM용 커널 DMA 보호(메모리 액세스 보호)를 참조하세요.
BIOS에서 지원되는 프로세서:
가상화 확장
입력/출력 메모리 관리 장치(IOMMU)
측정을 위한 동적 신뢰 루트(DRTM)
AMD 기반 시스템에도 투명한 보안 메모리 암호화가 필요합니다.
Important
BIOS에서 각 보안 기능을 활성화하는 것은 하드웨어 공급업체에 따라 달라질 수 있습니다. 하드웨어 제조업체의 보안 코어 서버 사용 가이드를 확인해야 합니다.
사용자 인터페이스를 사용하여 보안 코어 서버를 사용하도록 설정하는 방법은 다음과 같습니다.
Windows 데스크톱에서 시작 메뉴를 열고 Windows 관리 도구를 선택한 다음 컴퓨터 관리를 엽니다.
컴퓨터 관리에서 디바이스 관리자를 선택하고 필요한 경우 디바이스 오류를 해결합니다.
AMD 기반 시스템의 경우 계속하기 전에 DRTM 부팅 드라이버 디바이스가 있는지 확인합니다.
Windows 데스크톱에서 시작 메뉴를 열고 Windows 보안을 선택합니다.
디바이스 보안 > 코어 격리 세부 정보를 선택한 다음 메모리 무결성 및 펌웨어 보호를 활성화합니다. 먼저 펌웨어 보호를 활성화하고 서버를 다시 시작하기 전까지는 메모리 무결성을 활성화하지 못할 수 있습니다.
메시지가 표시되면 서버를 다시 시작합니다.
서버가 다시 시작되면 서버가 보안 코어 서버에 대해 사용하도록 설정됩니다.
Windows Admin Center를 사용하여 보안 코어 서버를 사용하도록 설정하는 방법은 다음과 같습니다.
Windows Admin Center 포털에 로그인합니다.
연결하려는 서버를 선택합니다.
왼쪽 패널을 사용하여 보안을 선택한 다음 보안 코어 탭을 선택합니다.
미구성 상태인 보안 특성을 체크한 다음 활성화를 선택합니다.
알림을 받으면 시스템 다시 부팅 예약을 선택하여 변경 내용을 유지합니다.
즉시 다시 시작 또는 워크로드에 적합한 시간에 다시 시작 예약을 선택합니다.
서버가 다시 시작되면 서버가 보안 코어 서버에 대해 사용하도록 설정됩니다.
그룹 정책을 사용하여 도메인 구성원에 대해 보안 코어 서버를 사용하도록 설정하는 방법은 다음과 같습니다.
그룹 정책 관리 콘솔을 열고 서버에 적용된 정책을 만들거나 편집합니다.
콘솔 트리에서 컴퓨터 구성 > 관리 템플릿 시스템 > 시스템 > Device Guard를 선택합니다.
설정의 경우 마우스 오른쪽 버튼으로 가상화 기반 보안 켜기를 클릭한 다음 편집을 선택합니다.
활성화를 선택하고 드롭다운 메뉴에서 다음을 선택합니다.
플랫폼 보안 수준에 대해 보안 부팅 및 DMA 보호를 선택합니다.
코드 무결성의 가상화 기반 보호의 경우 잠금 없이 활성화 또는 UEFI 잠금이 있는 활성화 중 하나를 선택합니다.
보안 시작 구성에 대해 활성화를 선택합니다.
주의
코드 무결성의 가상화 기반 보호에 대해 UEFI 잠금이 있는 활성화를 사용하는 경우 원격으로 비활성화할 수 없습니다. 이 기능을 비활성화하려면 UEFI에서 유지되는 구성을 지우려면 그룹 정책을 비활성화하고 물리적으로 존재하는 사용자와 함께 각 컴퓨터에서 보안 기능을 제거해야 합니다.
