安全核心是一系列功能,提供内置硬件、固件、驱动程序和操作系统安全功能。 本文介绍如何使用 Windows Admin Center、Windows Server 桌面体验和组策略配置安全核心服务器。
安全核心服务器旨在为关键数据和应用程序提供安全的平台。 有关详细信息,请参阅 什么是安全核心服务器?
先决条件
在配置安全核心服务器之前,必须在 BIOS 中安装和启用以下安全组件:
- 安全启动。
- 受信任的平台模块 (TPM) 2.0。
- 系统固件必须满足预启动 DMA 保护要求,并在 ACPI 表中设置适当的标志,以选择加入和启用内核 DMA 保护。 若要详细了解内核 DMA 保护,请参阅 针对 OEM 的内核 DMA 保护(内存访问保护)。
- 在 BIOS 中启用了以下支持的处理器:
- 虚拟化扩展。
- 输入/输出内存管理单元(IOMMU)。
- 用于测量的动态信任根 (DRTM)。
- 基于 AMD 的系统也需要透明安全内存加密。
重要
在 BIOS 中启用每个安全功能可能会因硬件供应商而异。 请务必检查硬件制造商的安全核心服务器启用指南。
可以从 Windows Server 目录和 Azure 本地目录中找到经过安全核心服务器认证的硬件。
启用安全功能
若要配置安全核心服务器,需要启用特定的 Windows Server 安全功能,请选择相关方法并按照步骤操作。
下面介绍如何使用用户界面启用安全核心服务器。
- 在 Windows 桌面中,打开 “开始”菜单,选择 Windows 管理工具,打开 计算机管理。
- 在计算机管理中,选择 设备管理器,解决可能的设备错误。
- 对于基于 AMD 的系统,在继续操作之前,请确认 DRTM 启动驱动程序设备是否存在
- 从 Windows 桌面,打开 “开始” 菜单,选择 Windows 安全。
- 选择 设备安全性 > 核心隔离详细信息,然后启用 内存完整性 和 固件保护。 在首次启用固件保护并重启服务器之前,可能无法启用内存完整性。
- 出现提示时重启服务器。
服务器重启后,服务器即启用了安全核心服务器。
下面介绍如何使用 Windows Admin Center 启用安全核心服务器。
- 登录到 Windows Admin Center 门户。
- 选择要连接到的服务器。
- 使用左侧面板选择 安全,然后选择 “安全核心” 选项卡。
- 选中状态为“未配置”的安全功能,然后选择“启用”。
- 收到通知时,选择“计划系统重启”以保留更改。
- 在适合工作负载的时间,选择“立即重启”或“计划重启”。
服务器重启后,服务器即启用了安全核心服务器。
下面介绍如何使用组策略为域成员启用安全核心服务器。
打开 组策略管理控制台,创建或编辑应用于服务器的策略。
在控制台树中,选择 计算机配置 > 管理模板 > 系统 > Device Guard。
对于设置,右键单击“打开基于虚拟化的安全性”并选择“编辑”。
选择 启用,从下拉菜单中选择以下内容:
- 为平台安全级别选择 安全启动和 DMA 保护。
- 对于“基于虚拟化的代码完整性保护”,选择“已启用,无锁定”或“已启用,带 UEFI 锁定”。
- 对于“安全启动配置”,选择“已启用”。
谨慎
如果对“基于虚拟化的代码完整性保护”使用“已启用,带 UEFI 锁定”,则无法远程禁用它。 若要禁用该功能,必须将组策略设置为 禁用,以及删除每台具有物理存在的用户的安全功能,以便清除 UEFI 中保留的配置。
选择“确定”以完成配置。
重启服务器以应用组策略。
服务器重启后,服务器即启用了安全核心服务器。
验证安全核心服务器配置
配置安全核心服务器后,请选择相关方法以验证配置。
下面介绍如何使用用户界面验证安全核心服务器是否已配置。
- 在 Windows 桌面中,打开 “开始” 菜单,键入
msinfo32.exe 打开系统信息。 从“系统摘要”页中,确认:
安全启动状态,内核 DMA 保护 处于打开状态。
“基于虚拟化的安全性”处于“正在运行”状态。
正在运行的“基于虚拟化的安全服务”显示“虚拟机监控程序强制实施的代码完整性”和“安全启动”。
下面介绍如何使用 Windows Admin Center 验证安全核心服务器是否已配置。
登录到 Windows Admin Center 门户。
选择要连接到的服务器。
在左侧面板中选择安全,然后选择 安全核心 选项卡。
检查所有安全功能的状态是否为“已配置”。
若要验证组策略是否已应用到服务器,请从管理员权限的命令提示符运行以下命令。
gpresult /SCOPE COMPUTER /R /V
在输出中,确认“管理模板”部分下应用 Device Guard 设置。 以下示例显示应用设置时的输出。
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
按照以下步骤验证安全核心服务器是否已配置。
- 在 Windows 桌面中,打开 “开始” 菜单,键入
msinfo32.exe 打开系统信息。 从“系统摘要”页中,确认:
安全启动状态,内核 DMA 保护 处于打开状态。
“基于虚拟化的安全性”处于“正在运行”状态。
正在运行的“基于虚拟化的安全服务”显示“虚拟机监控程序强制实施的代码完整性”和“安全启动”。
后续步骤
配置安全核心服务器后,下面提供了一些资源来了解有关以下内容的详细信息:
