安全核心是一組提供內建硬體、韌體、驅動程式和操作系統安全性功能的功能集合。 本文說明如何使用 Windows Admin Center、Windows Server 桌面體驗和組策略來設定安全核心伺服器。
安全核心伺服器的設計目的是為重要數據和應用程式提供安全的平臺。 如需詳細資訊,請參閱 什麼是安全核心伺服器?
先決條件
您必須先在 BIOS 中安裝並啟用下列安全性元件,才能設定安全核心伺服器:
- 安全開機。
- 信任的平台模組 (TPM) 2.0。
- 系統韌體必須符合預開機 DMA 保護需求,並在 ACPI 表中設定適當的旗標,以啟用核心 DMA 保護。 若要深入瞭解核心 DMA 保護,請參閱 OEM 的核心 DMA 保護 (記憶體取保護)。
- BIOS 中已啟用支援的處理器::
- 虛擬化擴展。
- 輸入/輸出記憶體管理單位(IOMMU)。
- 測量用的動態信任根(DRTM)。
- AMD 型系統也需要透明安全記憶體加密。
重要
啟用 BIOS 中的每個安全性功能可能會根據您的硬體廠商而有所不同。 請務必檢查硬體製造商的安全核心伺服器啟用指南。
您可以在 Windows Server 目錄中找到獲得安全核心伺服器認證的硬體,並在 Azure 本機目錄中找到 Azure 本機伺服器。
啟用安全性功能
若要設定安全核心伺服器,您需要啟用特定的 Windows Server 安全性功能,請選取相關方法並遵循步驟。
以下說明如何使用使用者介面啟用安全核心伺服器。
- 從 Windows 桌面開啟 [開始] 功能表,選取 [Windows 系統管理工具],開啟 [計算機管理]。
- 在 [計算機管理] 中,選取 [設備管理員],視需要解決任何裝置錯誤。
- 針對 AMD 型系統,請先確認 DRTM 開機驅動程式裝置存在,再繼續
- 從 Windows 桌面,開啟 [開始] 功能表,選取 [Windows 安全性]。
- 選取 [裝置安全性 > 核心隔離詳細資料],然後啟用 記憶體完整性,並 韌體保護。 在先啟用韌體保護並重新啟動伺服器之前,您可能無法啟用記憶體完整性。
- 出現提示時重新啟動您的伺服器。
一旦伺服器重新啟動,您的伺服器就已啟用安全核心伺服器功能。
以下說明如何使用 Windows Admin Center 啟用安全核心伺服器。
- 登入您的 Windows Admin Center 入口網站。
- 選取您要連線的伺服器。
- 使用左側面板選取 [安全性],然後選取 [安全核心] 索引標籤。
- 檢查 [安全性功能] 狀態為 [[未設定],然後選取 [啟用]。
- 收到通知時,請選取 [排程系統重新啟動 以保存變更。
- 選擇 立即重新開機 或 排程重新開機 在適合您工作負載的時間。
一旦伺服器重新啟動,您的伺服器就已啟用安全核心伺服器功能。
以下說明如何使用組策略為網域成員啟用安全核心伺服器。
開啟 組策略管理主控台,建立或編輯套用至伺服器的原則。
在主控台樹中,選取 [計算機設定] > [系統管理範本] > [系統 > Device Guard]。
針對設定,右鍵單擊 開啟虛擬化型安全性,然後選取 編輯。
從下拉功能表中選取 [[已啟用],選取下列專案:
- 選取 [平台安全性層級] [安全開機] 和 [DMA 保護]。
- 選取 [已啟用但不鎖定] 或 [使用 UEFI 鎖定的已啟用],以使用虛擬式的程式碼完整性保護。
- 請選取[已啟用] 以設定安全啟動。
謹慎
如果您使用 Enabled 搭配 UEFI 鎖 進行基於虛擬化的程式碼完整性保護,則無法遠端停用。 若要停用此功能,您必須將組策略設定為 Disabled,並在實際使用者的協助下,從每台電腦中移除安全性功能,以清除在 UEFI 中保存的組態。
請選擇 [確定] 以完成設定。
重新啟動您的伺服器以套用組策略。
一旦伺服器重新啟動,您的伺服器就會啟用安全核心功能。
確認安全核心伺服器組態
既然您已設定安全核心伺服器,請選取相關方法來驗證您的設定。
以下說明如何使用使用者介面來確認您的安全核心伺服器已設定。
- 從 Windows 桌面開啟 [開始] 功能表 ,輸入 以開啟 [系統資訊]。 從 [系統摘要] 頁面確認:
安全開機狀態,核心 DMA 保護 已開啟。
虛擬化式安全性 正在執行。
虛擬化為基礎的安全性服務 之運行顯示 Hypervisor 強制實施的程式碼完整性 以及 安全啟動。
以下說明如何使用 Windows Admin Center 來確認您的安全核心伺服器已設定。
登入您的 Windows Admin Center 入口網站。
選取您要連線的伺服器。
使用左側面板選取 [安全性],然後選取 [安全核心] 索引標籤。
檢查安全功能是否全部處於 已設定狀態。
若要確認群組策略已套用至您的伺服器,請從以系統管理員身分執行的命令提示字元執行下列命令。
gpresult /SCOPE COMPUTER /R /V
在輸出中,確認 [系統管理範本] 區段下已套用 Device Guard 設定。 下列範例顯示套用設定時的輸出。
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
請遵循下列步驟,確認您的安全核心伺服器已設定。
- 從 Windows 桌面開啟 [開始] 功能表 ,輸入 以開啟 [系統資訊]。 請在 [系統摘要] 頁面上確認:
安全開機狀態,核心 DMA 保護 為開啟。
虛擬化式安全性 正在執行。
虛擬化型安全性服務 執行會顯示 Hypervisor 強制執行的程式碼完整性,以及 安全啟動。
後續步驟
現在您已設定安全核心伺服器,以下是一些資源以深入瞭解:
