Secured-core — это набор возможностей, обеспечивающих встроенные функции безопасности аппаратного обеспечения, прошивки, драйверов и операционной системы. В этой статье показано, как настроить сервер Secured-core с помощью Windows Admin Center, интерфейса рабочего стола Windows Server и групповой политики.
Защищенный сервер предназначен для обеспечения безопасной платформы для критически важных данных и приложений. Дополнительные сведения см. в разделе Что такое сервер Secured-core?
Необходимые условия
Прежде чем настроить сервер Secured-core, необходимо установить и включить следующие компоненты безопасности в BIOS:
Безопасная загрузка.
Модуль доверенной платформы (TPM) 2.0.
Системная прошивка должна соответствовать требованиям защиты от прямого доступа к памяти на этапе предзагрузки и установить соответствующие флаги в таблицах ACPI, чтобы зарегистрироваться на использование и включить защиту ядра от DMA-атак. Дополнительную информацию о защите DMA ядра можно найти в разделе Защита DMA ядра (защита доступа к памяти) дляизготовителей оборудования.
Процессор с поддержкой, включенной в BIOS для:
Расширения виртуализации.
Единица управления входной и выходной памятью (IOMMU).
Динамический корень доверия для измерения (DRTM).
Для систем, основанных на AMD, также требуется прозрачное шифрование безопасной памяти.
Важный
Включение каждой функции безопасности в BIOS может отличаться в зависимости от поставщика оборудования. Обязательно проверьте руководство по включению сервера Secured-core вашего производителя оборудования.
Вы можете найти оборудование, сертифицированное для серверов Secured-core, в каталоге Windows Server , а также локальные серверы Azure в локальном каталоге Azure .
Включение функций безопасности
Чтобы настроить защищенный сервер, необходимо включить определенные функции безопасности Windows Server, выберите соответствующий метод и выполните действия.
Вот как включить сервер с защищенным ядром с помощью пользовательского интерфейса.
На рабочем столе Windows откройте меню "Пуск", выберите средства администрирования Windows, откройте управление компьютерами.
В Управлении компьютером выберите диспетчер устройств, при необходимости устраните любую ошибку устройства.
Для систем на основе AMD убедитесь, что устройство с загрузочным драйвером DRTM присутствует перед продолжением
На рабочем столе Windows откройте меню "Пуск ", выберите "Безопасность Windows".
Выберите Безопасность устройства > сведения об изоляции ядра, затем включите целостность памяти и защиту встроенного ПО. Возможно, вы не сможете включить целостность памяти, пока вы не включили защиту встроенного ПО в первую очередь и перезагрузили сервер.
Перезапустите сервер при появлении запроса.
После перезапуска сервера на нем включена функция Secured-core server.
Вот как включить сервер с защищенным ядром с помощью Windows Admin Center.
Войдите на портал Windows Admin Center.
Выберите сервер, к которому нужно подключиться.
Выберите Безопасность в левой панели, а затем выберите вкладку Secured-core.
Проверьте функции безопасности со статусом «Не сконфигурировано», затем выберите «Включить».
При уведомлении выберите Запланировать перезагрузку системы, чтобы сохранить изменения.
Выберите немедленный перезапуск или запланировать перезагрузку на время, подходящее для вашей рабочей нагрузки.
После перезапуска ваш сервер будет настроен для работы в режиме Secured-core Server.
Вот как включить защищенный сервер для членов домена с помощью групповой политики.
Откройте консоль управления групповыми политиками, создайте или измените политику, примененную к вашему серверу.
В дереве консоли выберите Конфигурация компьютера > Административные шаблоны > System > Device Guard.
Для настройки щелкните правой кнопкой мыши Включение безопасности на основе виртуализации и выберите Изменить.
Выберите Enabled, из раскрывающихся меню выберите следующее:
Выберите Безопасную загрузку и защиту DMA для уровня безопасности платформы.
Выберите включено без блокировки или включено с блокировкой UEFI для защиты целостности кода на основе виртуализации.
Выберите включено для конфигурации безопасного запуска.
Осторожность
Если вы используете включено с блокировкой UEFI для защиты целостности кода на основе виртуализации, его нельзя отключить удаленно. Чтобы отключить эту функцию, необходимо установить групповую политику на Disabled, а также удалить функциональные возможности безопасности с каждого компьютера в присутствии физически присутствующего пользователя, чтобы очистить конфигурацию, сохраненную в UEFI.
Нажмите кнопку ОК, чтобы завершить настройку.
Перезапустите сервер, чтобы применить групповую политику.
После перезапуска сервера сервер включен для сервера Secured-core.
Проверка конфигурации сервера Secured-core
Теперь, когда вы настроили сервер Secured-core, выберите соответствующий метод для проверки конфигурации.
Вот как проверить настройку сервера Secured-core с помощью пользовательского интерфейса.
На рабочем столе Windows откройте меню "Пуск", введите msinfo32.exe, чтобы открыть системную информацию. На странице "Сводка системы" подтвердите:
Режим безопасной загрузки и защита DMA ядра включены.
Безопасность на основе виртуализации выполняется.
службах безопасности на основе виртуализации при выполнении показана гипервизора, примененная целостности кода и безопасного запуска.
Ниже показано, как проверить настройку сервера Secured-core с помощью Windows Admin Center.
Войдите на портал Windows Admin Center.
Выберите сервер, к которому нужно подключиться.
Выберите Security в левой панели, затем перейдите на вкладку Secured-core.
Убедитесь, что все функции безопасности имеют статус настроено.
Чтобы проверить, применена ли групповая политика к серверу, выполните следующую команду из командной строки с повышенными привилегиями.
gpresult /SCOPE COMPUTER /R /V
В выходных данных убедитесь, что параметры Device Guard применяются в разделе "Административные шаблоны". В следующем примере показаны выходные данные при применении параметров.
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
Убедитесь, что ваш сервер Secured-core настроен, следуя приведённым шагам.
На рабочем столе Windows откройте меню "Пуск", введите msinfo32.exe, чтобы открыть системную информацию. На странице "Сводка системы" подтвердите:
Состояние безопасной загрузки и Защита DMA ядра включены.
Безопасность на основе виртуализации включена.
службах безопасности на основе виртуализации при выполнении показана гипервизора, примененная целостности кода и безопасного запуска.
Дальнейшие действия
Теперь, когда вы настроили сервер Secured-core, ниже приведены некоторые ресурсы для получения дополнительных сведений:
