Secured-core is een verzameling mogelijkheden die ingebouwde hardware- en firmware-, stuurprogramma- en besturingssysteembeveiligingsfuncties biedt. In dit artikel leest u hoe u beveiligde kernserver configureert met behulp van het Windows-beheercentrum, de Bureaubladervaring van Windows Server en groepsbeleid.
Beveiligde kernserver is ontworpen om een beveiligd platform te leveren voor kritieke gegevens en toepassingen. Zie Wat is een beveiligde kernserver?
Voorwaarden
Voordat u de Secured Core-server kunt configureren, moet de volgende beveiligingsonderdelen zijn geïnstalleerd en ingeschakeld in het BIOS:
Beveiligd opstarten.
Trusted Platform Module (TPM) 2.0.
Systeemfirmware moet voldoen aan de vereisten voor preboot DMA-beveiliging en de juiste vlaggen in de ACPI-tabellen instellen om kernel-DMA-beveiliging mogelijk te maken en in te schakelen. Zie Kernel DMA Protection (Memory Access Protection) voor OEM'svoor meer informatie over DMA-beveiliging van kernels.
Een processor met ondersteuning ingeschakeld in het BIOS voor:
Virtualisatie-extensies.
Input/Output Memory Management Unit (IOMMU).
Dynamische Vertrouwensbasis voor Meting (DRTM).
Transparent Secure Memory Encryption is ook vereist voor AMD-systemen.
Belangrijk
Het inschakelen van elk van de beveiligingsfuncties in het BIOS kan variëren op basis van uw hardwareleverancier. Zorg ervoor dat u de handleiding voor het inschakelen van beveiligde kernservers van de hardwarefabrikant controleert.
Als u Een beveiligde kernserver wilt configureren, moet u specifieke Beveiligingsfuncties van Windows Server inschakelen, selecteert u de relevante methode en volgt u de stappen.
U kunt als volgt beveiligde kernserver inschakelen met behulp van de gebruikersinterface.
Open op het Windows-bureaublad het menu Start start, selecteer Windows-systeembeheer, open Computerbeheer.
Selecteer in Computerbeheer Device Manager, los indien nodig een apparaatfout op.
Controleer voor AMD-systemen of het DRTM Boot Driver-apparaat aanwezig is voordat u doorgaat
Open vanuit het Windows-bureaublad het menu Start en selecteer Windows Security.
Selecteer Apparaatbeveiliging en > Kernel-isolatiedetails, schakel vervolgens Geheugenintegriteit en Firmwarebeveiligingin. Mogelijk kunt u geheugenintegriteit pas inschakelen als u Firmware Protection voor het eerst hebt ingeschakeld en de server opnieuw hebt opgestart.
Start de server opnieuw op wanneer u hierom wordt gevraagd.
Zodra de server opnieuw is opgestart, is uw server ingeschakeld voor beveiligde kernserver.
U kunt als volgt beveiligde kernserver inschakelen met behulp van het Windows-beheercentrum.
Meld u aan bij de Windows Admin Center-portal.
Selecteer de server waarmee u verbinding wilt maken.
Selecteer Security via het linkerdeelvenster en selecteer vervolgens het tabblad Secured-core.
Controleer de beveiligingsfuncties met de status Niet geconfigureerden selecteer vervolgens inschakelen.
Wanneer u een melding ontvangt, selecteert u Systeemherstart plannen om de wijzigingen op te slaan.
Selecteer de Onmiddellijk opnieuw opstarten of Herstart plannen op een tijdstip dat geschikt is voor uw workload.
Zodra de server opnieuw is opgestart, is uw server ingeschakeld voor beveiligde kernserver.
U kunt als volgt beveiligde kernserver inschakelen voor domeinleden met behulp van Groepsbeleid.
Open de Groepsbeleidsbeheerconsole, maak of bewerk een beleid die op uw server is toegepast.
Selecteer in de consolestructuur Computerconfiguratie > Beheersjablonen > Systeem > Apparaatbeveiliging.
Klik voor de instelling met de rechtermuisknop op Beveiliging op basis van virtualisatie inschakelen en selecteer Bewerken.
Selecteer Ingeschakelden kies vervolgens het volgende uit de vervolgkeuzelijsten:
Selecteer Beveiligd opstarten en DMA-beveiliging voor het platformbeveiligingsniveau.
Selecteer Ingeschakeld zonder te vergrendelen of ingeschakeld met UEFI-vergrendeling voor beveiliging van code-integriteit op basis van virtualisatie.
Selecteer Ingeschakeld voor de configuratie voor veilig starten.
Voorzichtigheid
Als u ingeschakeld met UEFI-vergrendeling gebruikt voor beveiliging van code-integriteit op basis van virtualisatie, kan deze niet extern worden uitgeschakeld. Als u de functie wilt uitschakelen, moet u groepsbeleid instellen op uitgeschakelde en de beveiligingsfunctionaliteit van elke computer verwijderen, met een fysiek aanwezige gebruiker, om de configuratie te wissen die in UEFI blijft bestaan.
Selecteer OK- om de configuratie te voltooien.
Start de server opnieuw op om het groepsbeleid toe te passen.
Zodra de server opnieuw is opgestart, is uw server ingeschakeld voor beveiligde kernserver.
Configuratie van beveiligde kernserver controleren
Nu u de Secured Core-server hebt geconfigureerd, selecteert u de relevante methode om uw configuratie te verifiëren.
U kunt als volgt controleren of uw Secure Core-server is geconfigureerd met behulp van de gebruikersinterface.
Open op het Windows-bureaublad het menu Start, typ msinfo32.exe om systeemgegevens te openen. Bevestig op de pagina Systeemoverzicht:
Secure Boot State en Kernel DMA Protection is ingeschakeld.
Virtualisatie-gebaseerde beveiliging is actief.
Virtualisatie-gebaseerde beveiligingsdiensten Draait toont Hypervisor-afgedwongen code-integriteit en Veilige lancering.
U kunt als volgt controleren of uw Beveiligde kernserver is geconfigureerd met behulp van het Windows-beheercentrum.
Meld u aan bij de Windows Admin Center-portal.
Selecteer de server waarmee u verbinding wilt maken.
Selecteer Security via het linkerdeelvenster en selecteer vervolgens het tabblad Secured-core.
Controleer of alle beveiligingsfuncties de status Geconfigureerdhebben.
Als u wilt controleren of Groepsbeleid is toegepast op uw server, voert u de volgende opdracht uit vanaf een opdrachtprompt met verhoogde bevoegdheid.
gpresult /SCOPE COMPUTER /R /V
Controleer in de uitvoer of de Device Guard-instellingen zijn toegepast in de sectie Beheersjablonen. In het volgende voorbeeld ziet u de uitvoer wanneer de instellingen worden toegepast.
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
Controleer of uw Secure Core-server is geconfigureerd door de stappen te volgen.
Open op het Windows-bureaublad het menu Start, typ msinfo32.exe om systeemgegevens te openen. Bevestig op de pagina Systeemoverzicht:
Secure Boot Status en Kernel DMA-bescherming zijn ingeschakeld.
beveiliging op basis van virtualisatie is actief.
Beveiligingsdiensten op basis van virtualisatie worden uitgevoerd met hypervisor-afgedwongen code-integriteit en Secure Launch.
Volgende stappen
Nu u beveiligde kernserver hebt geconfigureerd, vindt u hier enkele bronnen voor meer informatie over: