Secured-core é um conjunto de capacidades que oferece funcionalidades de segurança integradas no hardware, firmware, drivers e sistema operativo. Este artigo mostra como configurar o servidor Secured-core usando o Windows Admin Center, a Experiência de Área de Trabalho do Windows Server e a Diretiva de Grupo.
O servidor Secured-core foi projetado para fornecer uma plataforma segura para dados e aplicativos críticos. Para obter mais informações, consulte O que é o servidor Secured-core?
Pré-requisitos
Antes de configurar o servidor Secured-core, você deve ter os seguintes componentes de segurança instalados e habilitados no BIOS:
Arranque Seguro.
Módulo de plataforma confiável (TPM) 2.0.
O firmware do sistema deve atender aos requisitos de proteção de DMA pré-inicialização e definir sinalizadores apropriados nas tabelas ACPI para optar por e ativar a Proteção DMA do Kernel. Para saber mais sobre o Kernel DMA Protection, consulte Kernel DMA Protection (Memory Access Protection) para OEMs.
Um processador com suporte ativado no BIOS para:
Extensões de virtualização.
Unidade de Gestão de Memória de Entrada/Saída (IOMMU).
Raiz Dinâmica de Confiança para Medição (DRTM)
A criptografia de memória segura transparente também é necessária para sistemas baseados em AMD.
Importante
A ativação de cada um dos recursos de segurança no BIOS pode variar de acordo com o fornecedor do hardware. Certifique-se de verificar o guia de ativação de servidor Secured-core do fabricante do hardware.
Você pode encontrar hardware certificado para servidores com núcleo protegido no Catálogo do Windows Server , e servidores locais do Azure no Catálogo Local do Azure .
Ativar recursos de segurança
Para configurar o servidor Secured-core, você precisa habilitar recursos de segurança específicos do Windows Server, selecione o método relevante e siga as etapas.
Veja como habilitar o servidor Secured-core usando a interface do usuário.
Na área de trabalho do Windows, abra o menu Iniciar, selecione Ferramentas Administrativas do Windows , abra Gerenciamento do Computador .
Em Gerenciamento do computador, selecione Gerenciador de dispositivos, resolva qualquer erro de dispositivo, se necessário.
Para sistemas baseados em AMD, confirme se o dispositivo DRTM Boot Driver está presente antes de continuar
Na área de trabalho do Windows, abra o menu Iniciar , selecione Segurança do Windows .
Selecione Segurança do dispositivo > Detalhes de isolamento do núcleo, em seguida, ative Integridade da memória e Proteção de firmware. Poderá não conseguir ativar a Integridade da Memória até ter ativado primeiro a Proteção de Firmware e reiniciado o servidor.
Reinicie o servidor quando solicitado.
Depois que o servidor for reiniciado, o servidor será habilitado para o servidor Secured-core.
Veja como habilitar o servidor Secured-core usando o Windows Admin Center.
Inicie sessão no portal do Windows Admin Center.
Selecione o servidor ao qual você deseja se conectar.
Selecione Segurança utilizando o painel esquerdo, em seguida, selecione o separador Secured-core.
Verifique as Funcionalidades de Segurança com o estado de Não configurado, e, em seguida, selecione Ativar.
Quando notificado, selecione Agendar reinicialização do sistema para aplicar as alterações.
Selecione Reiniciar imediatamente ou Agendar reinicialização num momento adequado para a sua carga de trabalho.
Depois que o servidor for reiniciado, o servidor será habilitado para o servidor Secured-core.
Veja como habilitar o servidor Secured-core para membros do domínio usando a Diretiva de Grupo.
Abra o Console de Gerenciamento de Diretiva de Grupo , crie ou edite uma política aplicada ao seu servidor.
Na árvore de console, selecione Configuração do Computador > Modelos Administrativos > Sistema > Device Guard.
Para configurar, clique com o botão direito em Ativar Segurança Baseada em Virtualização e selecione Editar.
Selecione Ativadoe, nos menus suspensos, selecione o seguinte:
Selecione Inicialização Segura e Proteção DMA para o Nível de Segurança da Plataforma.
Selecione Ativado sem bloqueio ou Ativado com bloqueio UEFI para Proteção Baseada em Virtualização da Integridade do Código.
Selecione Ativado para a Configuração de Início Seguro.
Atenção
Se você usar o Habilitado com bloqueio UEFI para Proteção de Integridade de Código Baseada em Virtualização, ele não poderá ser desativado remotamente. Para desativar o recurso, você deve definir a Diretiva de Grupo como Desabilitado, bem como remover a funcionalidade de segurança de cada computador, com um usuário fisicamente presente, a fim de limpar a configuração persistida na UEFI.
Selecione OK para concluir a configuração.
Reinicie o servidor para aplicar a Diretiva de Grupo.
Depois que o servidor for reiniciado, o servidor será habilitado para o servidor Secured-core.
Verificar a configuração do servidor Secured-core
Agora que você configurou o servidor Secured-core, selecione o método relevante para verificar sua configuração.
Veja como verificar se o servidor Secured-core está configurado usando a interface do usuário.
Na área de trabalho do Windows, abra o menu Iniciar, digite msinfo32.exe para abrir Informações do Sistema. Na página Resumo do Sistema, confirme:
Estado de Inicialização Segura e Proteção DMA do Kernel estão Ativados.
Segurança baseada em virtualização está em execução.
Serviços de segurança baseados em virtualização em execução apresentam integridade de código imposta pelo hipervisor e inicialização segura.
Veja como verificar se o servidor Secured-core está configurado usando o Windows Admin Center.
Inicie sessão no portal do Windows Admin Center.
Selecione o servidor ao qual você deseja se conectar.
Selecione de segurança usando o painel esquerdo e, em seguida, selecione a guia Secured-core.
Verifique que todos os recursos de segurança tenham o status de Configurado.
Para verificar se a Diretiva de Grupo foi aplicada ao servidor, execute o seguinte comando em um prompt de comando elevado.
gpresult /SCOPE COMPUTER /R /V
Na saída, confirme se as configurações do Device Guard são aplicadas na seção Modelos Administrativos. O exemplo a seguir mostra a saída quando as configurações são aplicadas.
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
Verifique se o servidor Secured-core está configurado seguindo as etapas.
Na área de trabalho do Windows, abra o menu Iniciar, digite msinfo32.exe para abrir Informações do Sistema. Na página Resumo do Sistema, confirme:
O Estado de Inicialização Segura e a Proteção DMA do Kernel estão Ativados.
Segurança baseada em virtualização está em execução.
Serviços de segurança baseados em virtualização em execução mostra de integridade de código imposta pelo hipervisor e de inicialização segura.
Próximos passos
Agora que você configurou o servidor Secured-core, aqui estão alguns recursos para saber mais sobre:
