Delen via


Beveiligde kernserver configureren

Secured-core is een verzameling mogelijkheden die ingebouwde hardware- en firmware-, stuurprogramma- en besturingssysteembeveiligingsfuncties biedt. In dit artikel leest u hoe u beveiligde kernserver configureert met behulp van het Windows-beheercentrum, de Bureaubladervaring van Windows Server en groepsbeleid.

Beveiligde kernserver is ontworpen om een beveiligd platform te leveren voor kritieke gegevens en toepassingen. Zie Wat is een beveiligde kernserver?

Voorwaarden

Voordat u de Secured Core-server kunt configureren, moet de volgende beveiligingsonderdelen zijn geïnstalleerd en ingeschakeld in het BIOS:

  • Beveiligd opstarten.
  • Trusted Platform Module (TPM) 2.0.
  • Systeemfirmware moet voldoen aan de vereisten voor preboot DMA-beveiliging en de juiste vlaggen in de ACPI-tabellen instellen om kernel-DMA-beveiliging mogelijk te maken en in te schakelen. Zie Kernel DMA Protection (Memory Access Protection) voor OEM'svoor meer informatie over DMA-beveiliging van kernels.
  • Een processor met ondersteuning ingeschakeld in het BIOS voor:
    • Virtualisatie-extensies.
    • Input/Output Memory Management Unit (IOMMU).
    • Dynamische Vertrouwensbasis voor Meting (DRTM).
    • Transparent Secure Memory Encryption is ook vereist voor AMD-systemen.

Belangrijk

Het inschakelen van elk van de beveiligingsfuncties in het BIOS kan variëren op basis van uw hardwareleverancier. Zorg ervoor dat u de handleiding voor het inschakelen van beveiligde kernservers van de hardwarefabrikant controleert.

U vindt hardware die is gecertificeerd voor de Secured-core server van de Windows Server Catalogen lokale Azure-servers in de Azure Lokale Catalogus.

Beveiligingsfuncties inschakelen

Als u Een beveiligde kernserver wilt configureren, moet u specifieke Beveiligingsfuncties van Windows Server inschakelen, selecteert u de relevante methode en volgt u de stappen.

U kunt als volgt beveiligde kernserver inschakelen met behulp van de gebruikersinterface.

  1. Open op het Windows-bureaublad het menu Start start, selecteer Windows-systeembeheer, open Computerbeheer.
  2. Selecteer in Computerbeheer Device Manager, los indien nodig een apparaatfout op.
    1. Controleer voor AMD-systemen of het DRTM Boot Driver-apparaat aanwezig is voordat u doorgaat
  3. Open vanuit het Windows-bureaublad het menu Start en selecteer Windows Security.
  4. Selecteer Apparaatbeveiliging en > Kernel-isolatiedetails, schakel vervolgens Geheugenintegriteit en Firmwarebeveiligingin. Mogelijk kunt u geheugenintegriteit pas inschakelen als u Firmware Protection voor het eerst hebt ingeschakeld en de server opnieuw hebt opgestart.
  5. Start de server opnieuw op wanneer u hierom wordt gevraagd.

Zodra de server opnieuw is opgestart, is uw server ingeschakeld voor beveiligde kernserver.

Configuratie van beveiligde kernserver controleren

Nu u de Secured Core-server hebt geconfigureerd, selecteert u de relevante methode om uw configuratie te verifiëren.

U kunt als volgt controleren of uw Secure Core-server is geconfigureerd met behulp van de gebruikersinterface.

  1. Open op het Windows-bureaublad het menu Start, typ msinfo32.exe om systeemgegevens te openen. Bevestig op de pagina Systeemoverzicht:
    1. Secure Boot State en Kernel DMA Protection is ingeschakeld.

    2. Virtualisatie-gebaseerde beveiliging is actief.

    3. Virtualisatie-gebaseerde beveiligingsdiensten Draait toont Hypervisor-afgedwongen code-integriteit en Veilige lancering.

      Schermopname van het toepassingsvenster Systeeminformatie met Beveiligde kern ingeschakeld.

Volgende stappen

Nu u beveiligde kernserver hebt geconfigureerd, vindt u hier enkele bronnen voor meer informatie over: