O núcleo seguro é uma coleção de recursos que oferece funcionalidades internas de segurança de hardware, firmware, driver e sistema operacional. Este artigo mostra como configurar o servidor de núcleo protegido usando o Windows Admin Center, a Experiência da Área de Trabalho do Windows Server e a Política de Grupo.
O servidor de núcleo protegido foi projetado para fornecer uma plataforma segura para aplicativos e dados críticos. Para obter mais informações, consulte O que é o servidor de núcleo protegido?
Pré-requisitos
Antes de configurar o servidor de núcleo protegido, você deve ter os seguintes componentes de segurança instalados e habilitados no BIOS:
Inicialização segura.
TPM (Trusted Platform Module) 2.0.
O firmware do sistema deve atender aos requisitos de proteção contra DMA de pré-inicialização e definir sinalizadores apropriados em tabelas ACPI para aceitar e habilitar a Proteção contra DMA do Kernel. Para saber mais sobre a Proteção contra DMA do Kernel, consulte Proteção contra DMA do Kernel (Proteção de Acesso à Memória) para OEMs.
Um processador com suporte habilitado no BIOS para:
Extensões de virtualização.
Unidade de Gerenciamento de Memória de Entrada/Saída (IOMMU).
Raiz dinâmica de confiança para medição (DRTM).
A Transparent Secure Memory Encryption também é necessária para sistemas baseados em AMD.
Importante
A habilitação de cada um dos recursos de segurança no BIOS pode variar com base no fornecedor de hardware. Verifique o guia de habilitação do servidor de núcleo protegido do fabricante de hardware.
Você pode encontrar hardware certificado para servidor de núcleo seguro no Catálogo do Windows Server , e servidores do Azure Local no Catálogo Local do Azure .
Habilitar recursos de segurança
Para configurar o servidor de núcleo protegido, você precisa habilitar recursos de segurança específicos do Windows Server, selecione o método relevante e siga as etapas.
Veja como habilitar o servidor de núcleo protegido usando a interface do usuário.
Na Área de Trabalho do Windows, abra o Menu Iniciar , selecione Ferramentas Administrativas do Windows, abra Gerenciamento de Computador.
No gerenciamento de computador, selecione Gerenciador de Dispositivos, resolva qualquer erro de dispositivo se necessário.
Para sistemas baseados em AMD, confirme se o dispositivo driver de inicialização DRTM está presente antes de continuar
Na área de trabalho do Windows, abra o menu Iniciar, selecione Segurança do Windows.
Selecione Segurança do dispositivo > Detalhes de isolamento do núcleo e ative Integridade da memória e Proteção de firmware. Talvez você não consiga habilitar a Integridade da Memória até ter habilitado a Proteção do Firmware primeiro e reiniciado o servidor.
Reinicie o servidor quando solicitado.
Depois que o servidor for reiniciado, o servidor estará habilitado para o servidor de núcleo protegido.
Veja como habilitar o servidor de núcleo protegido usando o Windows Admin Center.
Entre no portal do Windows Admin Center.
Selecione o servidor ao qual você deseja se conectar.
Selecione Segurança usando o painel esquerdo e, em seguida, selecione a guia núcleo protegido.
Verifique os recursos de segurança com um status de Não configuradoe selecione Habilitar.
Quando notificado, selecione Agendar reinicialização do sistema para persistir as alterações.
Selecione Reiniciar imediatamente ou Agendar a reinicialização em um momento conveniente para suas atividades.
Depois que o servidor for reiniciado, o servidor estará habilitado para o servidor de núcleo protegido.
Veja como habilitar o servidor de núcleo protegido para membros do domínio usando a Política de Grupo.
Abra o console de gerenciamento de política de grupo , crie ou edite uma política aplicada ao servidor.
Na árvore de console, selecione Configuração do Computador > Modelos Administrativos > Sistema > Device Guard.
Para a configuração, clique com o botão direito do mouse em Ativar Segurança Baseada em Virtualização e selecione Editar.
Selecione Habilitado, nos menus suspensos, selecione o seguinte:
Selecione Secure Boot e Proteção DMA para o nível de segurança da plataforma.
Selecione Habilitado sem bloqueio ou Habilitado com bloqueio UEFI para Proteção Baseada em Virtualização de Integridade de Código.
Selecione Habilitado para a Configuração de Inicialização Segura.
Cuidado
Se você usar Habilitado com bloqueio UEFI para Proteção Baseada em Virtualização de Integridade de Código, ele não poderá ser desabilitado remotamente. Para desabilitar o recurso, você deve definir a Política de Grupo para desabilitado bem como remover a funcionalidade de segurança de cada computador, com um usuário fisicamente presente, a fim de limpar a configuração persistida na UEFI.
Selecione OK para concluir a configuração.
Reinicie o servidor para aplicar a Política de Grupo.
Depois que o servidor for reiniciado, o servidor estará habilitado para o servidor de núcleo protegido.
Verificar a configuração do servidor de núcleo protegido
Agora que você configurou o servidor de núcleo protegido, selecione o método relevante para verificar sua configuração.
Veja como verificar se o servidor de núcleo protegido está configurado usando a interface do usuário.
Na área de trabalho do Windows, abra o menu iniciar , digite para abrir informações do sistema. Na página Resumo do Sistema, confirme:
O Estado de Inicialização Segura e a Proteção contra DMA do Kernel estão ativados.
Segurança baseada em virtualização está em execução.
Os Serviços de segurança baseados em virtualização em execução mostram aIntegridade do código imposta pelo Hipervisor e a Inicialização segura.
Veja como verificar se o servidor de núcleo protegido está configurado usando o Windows Admin Center.
Entre no portal do Windows Admin Center.
Selecione o servidor ao qual você deseja se conectar.
Selecione Segurança usando o painel esquerdo e, em seguida, selecione a guia Segurança do núcleo.
Verifique se todos os recursos de segurança estão com o status Configurado .
Para verificar se a Política de Grupo foi aplicada ao servidor, execute o comando a seguir em um prompt de comando com privilégios elevados.
gpresult /SCOPE COMPUTER /R /V
Na saída, confirme se as configurações do Device Guard são aplicadas na seção Modelos Administrativos. O exemplo a seguir mostra a saída quando as configurações são aplicadas.
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
Verifique se o servidor de núcleo protegido está configurado seguindo as etapas.
Na área de trabalho do Windows, abra o menu iniciar , digite para abrir informações do sistema. Na página Resumo do Sistema, confirme:
O Estado de Inicialização Segura e a Proteção contra DMA do Kernel estão ativados.
A Segurança baseada em virtualização está em execução.
Os Serviços de segurança baseados em virtualização em execução mostram aIntegridade do código imposta pelo Hipervisor e a Inicialização segura.
Próximas etapas
Agora que você configurou o servidor de núcleo protegido, aqui estão alguns recursos para saber mais sobre:
