La memoria centrale protetta è una raccolta di funzionalità che offre caratteristiche predefinite per hardware, firmware, driver e sicurezza del sistema operativo. Questo articolo illustra come configurare il server con memoria centrale protetta usando Windows Admin Center, Esperienza desktop di Windows Server e Criteri di gruppo.
Prima di poter configurare il server con memoria centrale protetta, è necessario che nel BIOS siano installati e abilitati i seguenti componenti di sicurezza:
Avvio protetto.
Trusted Platform Module (TPM) 2.0.
Il firmware di sistema deve soddisfare i requisiti di protezione DMA prima dell’avvio e impostare i flag appropriati nelle tabelle ACPI per acconsentire esplicitamente e abilitare la protezione DMA del kernel. Per altre informazioni sulla protezione DMA del kernel, vedere Protezione DMA Kernel (Protezione accesso alla memoria) per gli OEM.
Processore con supporto abilitato nel BIOS per:
Estensioni di virtualizzazione.
Unità di gestione della memoria di input/output (IOMMU).
Radice dinamica di attendibilità per la misurazione (DRTM).
Transparent Secure Memory Encryption è necessario anche per i sistemi basati su AMD.
Importante
L'abilitazione di ognuna delle funzionalità di sicurezza nel BIOS può variare in base al fornitore dell'hardware. Assicurarsi di controllare la guida all'abilitazione del server con memoria centrale protetta del produttore dell'hardware.
Per configurare il server con memoria centrale protetta è necessario abilitare funzionalità di sicurezza specifiche di Windows Server, selezionare il metodo pertinente e seguire la procedura.
Ecco come abilitare il server con memoria centrale protetta usando l'interfaccia utente.
Dal desktop di Windows aprire il menu Start, selezionare Strumenti amministrativi di Windows, aprire Gestione computer.
In Gestione computer selezionare Gestione dispositivi, risolvere eventuali errori del dispositivo, se necessario.
Per i sistemi basati su AMD, prima di continuare verificare che sia presente il dispositivo DRTM Boot Driver
Dal desktop di Windows aprire il menu Start, selezionare Sicurezza di Windows.
Selezionare Sicurezza dispositivo > Dettagli sull'isolamento della memoria centrale, quindi abilitare integrità della memoria e Protezione firmware. Potrebbe non essere possibile abilitare l'integrità della memoria fino a quando non sarà abilitata la protezione del firmware e il server non verrà riavviato.
Riavviare il server quando richiesto.
Dopo il riavvio del server, il server è abilitato per il server con memoria centrale protetta.
Ecco come abilitare il server con memoria centrale protetta con Windows Admin Center.
Accedere al portale di Windows Admin Center.
Selezionare il server a cui connettersi.
Selezionare Sicurezza usando il pannello a sinistra, quindi selezionare la scheda Memoria centrale protetta.
Controllare le funzionalità di sicurezza con lo stato Non configurato e quindi selezionare Abilita.
Quando viene visualizzata una notifica, selezionare Pianifica il riavvio del sistema per rendere persistenti le modifiche.
Selezionare Riavvia immediatamente o Pianifica riavvio in un momento adatto al carico di lavoro.
Dopo il riavvio del server, il server è abilitato per il server con memoria centrale protetta.
Ecco come abilitare il server con memoria centrale protetta per i membri del dominio usando Criteri di gruppo.
Aprire la Console Gestione Criteri di gruppo, creare o modificare un criterio applicato al server.
Nell'albero della console selezionare Configurazione > Modelli amministrativi > Sistema > Device Guard.
Per l'impostazione, fare clic con il pulsante destro del mouse su Attiva sicurezza basata su virtualizzazione e scegliere Modifica.
Selezionare Abilitato, nei menu a discesa selezionare quanto segue:
Selezionare Avvio protetto e Protezione DMA per il livello di sicurezza della piattaforma.
Selezionare Abilitato senza blocco o Abilitato con blocco UEFI per Protezione basata su virtualizzazione dell'integrità del codice.
Selezionare Abilitato per la configurazione di avvio protetto.
Attenzione
Se si usa Abilitato con blocco UEFI per protezione basata su virtualizzazione dell'integrità del codice, non può essere disabilitato in remoto. Per disabilitare la funzionalità, è necessario impostare Criteri di gruppo su Disabilitato e rimuovere le funzionalità di sicurezza da ogni computer, con un utente fisicamente presente, per cancellare la configurazione persistente in UEFI.
Selezionare OK per completare la configurazione.
Riavviare il server per applicare i Criteri di gruppo.
Dopo il riavvio del server, il server è abilitato per il server con memoria centrale protetta.
Verificare la configurazione del server con memoria centrale protetta
Dopo aver configurato il server con memoria centrale protetta, selezionare il metodo pertinente per verificare la configurazione.
Ecco come verificare che il server con memoria centrale protetta sia configurato usando l'interfaccia utente.
Dal desktop di Windows aprire il menu Start, digitare msinfo32.exe per aprire Informazioni di sistema. Nella pagina Riepilogo sistema confermare che:
Lo stato di avvio protetto e la protezione DMA del kernel siano Attivi.
La sicurezza basata su virtualizzazione sia in esecuzione.
Servizi di sicurezza basati su virtualizzazione in esecuzione mostra l'integrità del codice applicata da Hypervisor e l'avvio sicuro.
Ecco come verificare che il server con memoria centrale protetta sia configurato tramite Windows Admin Center.
Accedere al portale di Windows Admin Center.
Selezionare il server a cui connettersi.
Selezionare Sicurezza usando il pannello a sinistra, quindi selezionare la scheda Memoria centrale protetta.
Controllare che tutte le funzionalità di sicurezza abbiano lo stato Configurato.
Per verificare che i Criteri di gruppo siano stati applicati al server, eseguire il comando seguente da un prompt dei comandi con privilegi elevati.
gpresult /SCOPE COMPUTER /R /V
Nell'output verificare che nella sezione Modelli amministrativi siano applicate le impostazioni di Device Guard. Nell'esempio seguente viene illustrato l'output quando vengono applicate le impostazioni.
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
Verificare che il server con memoria centrale protetta sia configurato seguendo la procedura.
Dal desktop di Windows aprire il menu Start, digitare msinfo32.exe per aprire Informazioni di sistema. Nella pagina Riepilogo sistema confermare che:
Lo stato di avvio protetto e la protezione DMA del kernel siano Attivi.
La sicurezza basata su virtualizzazione sia in esecuzione.
Servizi di sicurezza basati su virtualizzazione in esecuzione mostra l'integrità del codice applicata da Hypervisor e l'avvio sicuro.
Passaggi successivi
Dopo aver configurato il server con memoria centrale protetta, ecco alcune risorse per altre informazioni:
