Secured-Core är en samling funktioner som erbjuder inbyggda säkerhetsfunktioner för maskinvara, inbyggd programvara, drivrutin och operativsystem. Den här artikeln visar hur du konfigurerar säkerhetsservern med hjälp av Windows Admin Center, Windows Server Desktop Experience och Gruppolicy.
Säker kärnserver är utformad för att leverera en säker plattform för kritiska data och program. Mer information finns i Vad är Säker kärnserver?
Förutsättningar
Innan du kan konfigurera Secured-core-servern måste du ha följande säkerhetskomponenter installerade och aktiverade i BIOS:
Secure Boot.
Trusted Platform Module (TPM) 2.0.
Systemets inbyggda programvara måste uppfylla fördefinierade DMA-skyddskrav och ange lämpliga flaggor i ACPI-tabeller för att kunna välja och aktivera Kernel DMA Protection. Mer information om Kernel DMA Protection finns i Kernel DMA Protection (Memory Access Protection) för OEM.
En processor med stöd aktiverat i BIOS för:
Virtualiseringstillägg.
IOMMU (Input/Output Memory Management Unit).
Dynamisk rot av förtroende för mätning (DRTM).
Transparent kryptering för säkert minne krävs också för AMD-baserade system.
Viktig
Att aktivera var och en av säkerhetsfunktionerna i BIOS kan variera beroende på maskinvaruleverantören. Kontrollera maskinvarutillverkarens guide för att aktivera en Secured-core server.
Om du vill konfigurera Säker kärnserver måste du aktivera specifika Säkerhetsfunktioner för Windows Server genom att välja relevant metod och följa stegen.
Så här aktiverar du Säker kärnserver med hjälp av användargränssnittet.
Öppna menyn Starta på Windows-skrivbordet, välj Administrationsverktyg för Windows, öppna Datorhantering.
I Datorhantering väljer du Enhetshanterarenoch löser eventuella enhetsfel om det behövs.
För AMD-baserade system bekräftar du att DRTM Boot Driver-enheten finns innan du fortsätter
Öppna menyn Starta från Windows-skrivbordet och välj Windows Security.
Välj Information om enhetssäkerhet > Core-isoleringoch aktivera sedan minnesintegritet och Firmware Protection. Du kanske inte kan aktivera minnesintegritet förrän du har aktiverat Firmware Protection först och startat om servern.
Starta om servern när du uppmanas att göra det.
När servern har startats om är servern aktiverad för Secured-core-servern.
Så här aktiverar du Säker kärnserver med hjälp av Windows Administrationscenter.
Logga in på Windows Admin Center-portalen.
Välj den server som du vill ansluta till.
Välj Security med hjälp av den vänstra panelen och välj sedan fliken Secured-core.
Kontrollera säkerhetsfunktionerna med statusen Inte konfigureradoch välj sedan Aktivera.
När du meddelas väljer du Schemalägg systemomstart för att spara ändringarna.
Välj antingen Starta om omedelbart eller Schemalägg omstart vid en tid som passar din arbetsbelastning.
När servern har startats om är servern aktiverad för Secured-core-servern.
Så här aktiverar du Säker kärnserver för domänmedlemmar med hjälp av grupprincip.
Öppna konsolen Grupprinciphantering, skapa eller redigera en princip som tillämpas på din server.
I konsolträdet väljer du Datorkonfiguration > Administrativa mallar > System > Device Guard.
För inställningen högerklickar du på Aktivera virtualiseringsbaserad säkerhet och väljer Redigera.
Välj Aktiverad, och i listrutorna, välj följande:
Välj Säker start och DMA-skydd för plattformssäkerhetsnivån.
Välj antingen Aktiverad utan lås eller Aktiverad med UEFI-lås för Virtualiseringsbaserat skydd av kodintegritet.
Välj Aktiverad för säker startkonfiguration.
Försiktighet
Om du använder Aktiverad med UEFI-lås för virtualiseringsbaserat skydd av kodintegritet, kan den inte inaktiveras på distans. Om du vill inaktivera funktionen måste du ställa in grupprincipen på Inaktiverad samt ta bort säkerhetsfunktionerna från varje dator, med en fysiskt närvarande användare, för att rensa konfigurationen som bevarats i UEFI.
Välj OK för att slutföra konfigurationen.
Starta om servern för att tillämpa grupprincipen.
När servern har startats om är servern aktiverad för Secured-core-servern.
Verifiera serverkonfiguration med säker kärna
Nu när du har konfigurerat Secured-core-servern väljer du den relevanta metoden för att verifiera konfigurationen.
Så här kontrollerar du att din Secured-core-server har konfigurerats med hjälp av användargränssnittet.
Öppna menyn Starta från Windows-skrivbordet och skriv msinfo32.exe för att öppna Systeminformation. Bekräfta på sidan Systemsammanfattning:
Secure Boot State och Kernel DMA Protection är på.
Virtualiseringsbaserad säkerhet är igång.
Virtualiseringsbaserade säkerhetstjänster Körning visar Hypervisor-framtvingad kodintegritet och Säker Start.
Så här kontrollerar du att din secured-core-server har konfigurerats med Hjälp av Windows Admin Center.
Logga in på Windows Admin Center-portalen.
Välj den server som du vill ansluta till.
Välj Security med hjälp av den vänstra panelen och välj sedan fliken Secured-core.
Kontrollera att alla säkerhetsfunktioner har statusen Konfigurerad.
Kontrollera att grupprincipen har tillämpats på servern genom att köra följande kommando från en kommandotolk med administratörsbehörighet.
gpresult /SCOPE COMPUTER /R /V
I utdata bekräftar du att Device Guard-inställningarna tillämpas under avsnittet Administrativa mallar. I följande exempel visas utdata när inställningarna tillämpas.
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
Kontrollera att din secured-core-server har konfigurerats genom att följa stegen.
Öppna menyn Starta från Windows-skrivbordet och skriv msinfo32.exe för att öppna Systeminformation. Kontrollera på sidan Systemsammanfattning:
Secure Boot State och Kernel DMA Protection är på.
Virtualiseringsbaserad säkerhet körs.
Virtualiseringsbaserade säkerhetstjänster Körs visar Hypervisor-framdriven kodintegritet och säker start.
Nästa steg
Nu när du har konfigurerat Secured-core-servern finns här några resurser att lära dig mer om:
