Skonfiguruj serwer z zabezpieczonym jądrem

• Dotyczy:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Secured-core to zbiór funkcji, które oferują wbudowane funkcje zabezpieczeń sprzętu, oprogramowania układowego, sterownika i systemu operacyjnego. W tym artykule przedstawiono sposób konfigurowania serwera z zabezpieczeniami rdzenia przy użyciu Centrum administracyjnego systemu Windows, środowiska pulpitu systemu Windows Server i zasad grupy.

Bezpieczny serwer podstawowy został zaprojektowany w celu zapewnienia bezpiecznej platformy dla krytycznych danych i aplikacji. Aby uzyskać więcej informacji, zobacz Co to jest serwer zabezpieczony-podstawowy?

Warunki wstępne

Przed skonfigurowaniem serwera typu secured-core należy mieć zainstalowane i włączone w BIOS następujące komponenty zabezpieczeń:

• Bezpieczny rozruch.
• Moduł TPM (Trusted Platform Module) 2.0.
• Oprogramowanie układowe systemu musi spełniać wymagania dotyczące ochrony DMA przed uruchomieniem i ustawiać odpowiednie flagi w tabelach ACPI, aby włączyć ochronę DMA jądra. Aby dowiedzieć się więcej na temat ochrony DMA jądra, zapoznaj się z ochrona DMA jądra (ochrona dostępu do pamięci) dla OEM-ów.
• Procesor z obsługą włączoną w ustawieniach BIOS:
  • Rozszerzenia wirtualizacji.
  • Jednostka zarządzania pamięcią wejściową/wyjściową (IOMMU).
  • Dynamiczny korzeń zaufania dla pomiarów (DRTM).
  • Funkcja Transparent Secure Memory Encryption jest również wymagana dla systemów opartych na technologii AMD.

Ważny

Włączenie każdej funkcji zabezpieczeń w systemie BIOS może się różnić w zależności od dostawcy sprzętu. Upewnij się, aby sprawdzić przewodnik producenta sprzętu dotyczący włączania serwera z zabezpieczonym rdzeniem.

Sprzęt certyfikowany dla serwera zabezpieczonego rdzenia można znaleźć w katalogu Windows Server, a serwery lokalne platformy Azure w katalogu lokalnym platformy Azure.

Włączanie funkcji zabezpieczeń

Aby skonfigurować serwer Zabezpieczony-core, należy włączyć określone funkcje zabezpieczeń systemu Windows Server, wybierz odpowiednią metodę i wykonaj kroki.

graficznego interfejsu użytkownika

Poniżej przedstawiono sposób włączania serwera z zabezpieczonym rdzeniem przy użyciu interfejsu użytkownika.

1. Na pulpicie systemu Windows otwórz menu Start , wybierz pozycję Narzędzia administracyjne systemu Windows, otwórz Zarządzanie komputerem.
2. W obszarze Zarządzanie komputerem wybierz pozycję Menedżer urządzeń, w razie potrzeby rozwiąż wszelkie błędy urządzenia.
   1. W przypadku systemów opartych na amd przed kontynuowaniem upewnij się, że urządzenie sterownika rozruchu DRTM jest obecne
3. Na pulpicie systemu Windows otwórz menu Start , wybierz pozycję Windows Security.
4. Wybierz pozycję Zabezpieczenia urządzeń > Podstawowe szczegóły izolacji, a następnie włącz integralność pamięci i Firmware Protection. Nie można włączyć integralności pamięci do momentu włączenia ochrony oprogramowania układowego i ponownego uruchomienia serwera.
5. Po wyświetleniu monitu uruchom ponownie serwer.

Po ponownym uruchomieniu Twój serwer został włączony jako serwer z zabezpieczonym rdzeniem.

Poniżej przedstawiono sposób włączania serwera zabezpieczonego rdzenia przy użyciu centrum administracyjnego systemu Windows.

1. Zaloguj się do portalu Centrum administracyjnego systemu Windows.
2. Wybierz serwer, z którym chcesz nawiązać połączenie.
3. Wybierz Security przy użyciu panelu po lewej stronie, a następnie wybierz zakładkę Secured-core.
4. Sprawdź funkcje zabezpieczeń o statusie Nieskonfigurowane, a następnie wybierz opcję Włącz.
5. Po powiadomieniu wybierz pozycję Zaplanuj ponowne uruchomienie systemu, aby utrwalić zmiany.
6. Wybierz Uruchom ponownie natychmiast lub Zaplanuj ponowne uruchomienie o czasie odpowiednim dla Twojego obciążenia pracą.

Po ponownym uruchomieniu serwera serwer jest włączony dla serwera zabezpieczonego rdzenia.

Zasady grupy

Poniżej przedstawiono sposób włączania zabezpieczonego serwera podstawowego dla członków domeny przy użyciu zasad grupy.

1. Otwórz konsolę zarządzania zasadami grupy , utwórz lub edytuj zasady zastosowane do serwera.

2. W drzewie konsoli wybierz pozycję Konfiguracja komputera > Szablony administracyjne > System > Device Guard.

3. Dla ustawienia kliknij prawym przyciskiem myszy Włącz zabezpieczenia oparte na wirtualizacji i wybierz pozycję Edytuj.

4. Wybierz pozycję Włączone, z menu rozwijanych wybierz następujące opcje:

   1. Wybierz Bezpieczny Rozruch i Ochrona DMA dla poziomu zabezpieczeń platformy.
   2. Wybierz opcję Włączone bez blokady lub Włączone z blokadą UEFI dla funkcji wirtualizacji opartej na ochronie integralności kodu.
   3. Wybierz włączone dla konfiguracji bezpiecznego uruchamiania.

   Ostrożność

   Jeśli używasz włączonej z blokadą UEFI dla ochrony integralności kodu opartej na wirtualizacji, takiej konfiguracji nie można wyłączyć zdalnie. Aby wyłączyć tę funkcję, należy ustawić zasady grupy na wyłączone oraz usunąć funkcje zabezpieczeń z każdego komputera z użytkownikiem obecnym fizycznie, aby wyczyścić konfigurację utrwaloną w interfejsie UEFI.

5. Wybierz pozycję OK, aby ukończyć konfigurację.

6. Uruchom ponownie serwer, aby zastosować zasady grupy.

Po ponownym uruchomieniu serwera, jest on skonfigurowany jako serwer z zabezpieczonym rdzeniem.

Weryfikacja konfiguracji serwera z zabezpieczonym rdzeniem

Po skonfigurowaniu serwera z zabezpieczonym rdzeniem, wybierz odpowiednią metodę, aby zweryfikować jego konfigurację.

graficzny interfejs użytkownika

Poniżej przedstawiono sposób sprawdzenia, czy serwer z zabezpieczonym rdzeniem został skonfigurowany przy użyciu interfejsu użytkownika.

1. Na pulpicie systemu Windows otwórz menu Start , wpisz , aby otworzyć informacje o systemie. Na stronie Podsumowanie systemu potwierdź:

   1. bezpieczny stan rozruchu i ochrona DMA jądra jest włączona.

   2. Zabezpieczenia oparte na wirtualizacji działają.

   3. Usługi zabezpieczeń opartych na wirtualizacji Uruchomione usługi pokazują Integralność kodu wymuszaną przez Hypervisora i Bezpieczne Uruchamianie.

      

Oto, jak sprawdzić, czy serwer z funkcją Secured-core jest skonfigurowany przy użyciu Windows Admin Center.

1. Zaloguj się do portalu Centrum administracyjnego systemu Windows.

2. Wybierz serwer, z którym chcesz nawiązać połączenie.

3. Wybierz pozycję Security przy użyciu panelu po lewej stronie, a następnie wybierz kartę Secured-core.

4. Sprawdź, czy wszystkie funkcje zabezpieczenia mają status Skonfigurowane.

   

zasady grupy

Aby sprawdzić, czy zasady grupy zostały zastosowane do serwera, uruchom następujące polecenie w wierszu polecenia z podwyższonym poziomem uprawnień.

gpresult /SCOPE COMPUTER /R /V

W danych wyjściowych potwierdź, że ustawienia funkcji Device Guard są stosowane w sekcji Szablony administracyjne. Poniższy przykład przedstawia dane wyjściowe po zastosowaniu ustawień.

        Administrative Templates
        ------------------------
            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
                Value:       1, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
                Value:       2, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
                Value:       1, 0, 0, 0
                State:       Enabled

Sprawdź, czy serwer zabezpieczonego rdzenia został skonfigurowany, wykonując kroki opisane w tych krokach.

1. Na pulpicie systemu Windows otwórz menu Start , wpisz , aby otworzyć informacje o systemie. Na stronie Podsumowanie systemu potwierdź:

   1. Stan Bezpiecznego Rozruchu i Ochrona DMA Jądra jest włączona.

   2. Zabezpieczenia oparte na wirtualizacji są aktywne.

   3. Usługi zabezpieczeń oparte na wirtualizacji pokazują działanie wymuszonej przez hypervisor integralności kodu i bezpiecznego uruchamiania.

      

Następne kroki

Teraz, po skonfigurowaniu serwera Zabezpieczone-core, oto kilka zasobów, aby dowiedzieć się więcej na temat:

• zabezpieczenia oparte na wirtualizacji (VBS)
• Integralność pamięci i włączenie zabezpieczeń wirtualizacji (VBS)
• System Guard Bezpieczne Uruchamianie