Secured-core — это коллекция возможностей, которые предлагают встроенные аппаратные, встроенное ПО, функции безопасности драйвера и операционной системы. В этой статье показано, как настроить сервер Secured-core с помощью Центра Администратор Windows, рабочего стола Windows Server и групповой политики.
Защищенный сервер предназначен для обеспечения безопасной платформы для критически важных данных и приложений. Дополнительные сведения см. в разделе "Что такое сервер Secured-core"?
Необходимые компоненты
Прежде чем настроить сервер Secured-core, необходимо установить и включить следующие компоненты безопасности в BIOS:
Единица управления входной и выходной памятью (IOMMU).
Динамический корень доверия для измерения (DRTM).
Прозрачное шифрование безопасной памяти также требуется для систем на основе AMD.
Внимание
Включение каждой функции безопасности в BIOS может отличаться в зависимости от поставщика оборудования. Обязательно проверка руководство по включению сервера Secured-core изготовителя оборудования.
Вы можете найти оборудование, сертифицированное для сервера Secured-core, из каталога Windows Server и серверов Azure Stack HCI в каталоге Azure Stack HCI.
Включение функций безопасности
Чтобы настроить защищенный сервер, необходимо включить определенные функции безопасности Windows Server, выберите соответствующий метод и выполните действия.
Вот как включить защищенный сервер с помощью пользовательского интерфейса.
В классическом меню Windows откройте меню "Пуск", выберите Windows Администратор istrative Tools, откройте окно "Управление компьютерами".
В управлении компьютером выберите диспетчер устройств, при необходимости устраните любую ошибку устройства.
Для систем на основе AMD убедитесь, что устройство с загрузочным драйвером DRTM присутствует перед продолжением
В классическом меню Windows откройте меню "Пуск" и выберите Безопасность Windows.
Выберите сведения об изоляции ядра безопасности > устройств, а затем включите защиту целостности памяти и встроенного ПО. Возможно, вы не сможете включить целостность памяти, пока вы не включили защиту встроенного ПО в первую очередь и перезагрузили сервер.
Перезапустите сервер при появлении запроса.
После перезапуска сервера сервер включен для сервера Secured-core.
Вот как включить защищенный сервер с помощью Центра Администратор Windows.
Войдите на портал Центра Администратор Windows.
Выберите сервер, к которому нужно подключиться.
Выберите "Безопасность " с помощью левой панели, а затем перейдите на вкладку "Защищенный ядро ".
Проверьте функции безопасности с состоянием "Не настроено", а затем нажмите кнопку "Включить".
При уведомлении выберите "Запланировать перезагрузку системы", чтобы сохранить изменения.
Выберите немедленное перезапуск или запланировать перезагрузку в любое время, подходящее для рабочей нагрузки.
После перезапуска сервера сервер включен для сервера Secured-core.
Вот как включить защищенный сервер для членов домена с помощью групповой политики.
Откройте консоль управления групповыми политиками, создайте или измените политику, примененную к серверу.
В дереве консоли выберите configuration computer configuration > Администратор istrative templates > System > Device Guard.
Для параметра щелкните правой кнопкой мыши параметр "Включить безопасность на основе виртуализации" и выберите "Изменить".
Выберите "Включено", в раскрывающихся меню выберите следующее:
Выберите безопасную загрузку и защиту DMA для уровня безопасности платформы.
Выберите включенный без блокировки или включения с блокировкой UEFI для защиты целостности кода на основе виртуализации.
Выберите "Включена " для конфигурации безопасного запуска.
Внимание
Если вы используете включенную блокировку UEFI для защиты целостности кода на основе виртуализации, она не может быть удалена удаленно. Чтобы отключить эту функцию, необходимо задать для групповой политики значение "Отключено ", а также удалить функции безопасности с каждого компьютера с физическим пользователем, чтобы очистить конфигурацию, сохраненную в UEFI.
Нажмите кнопку ОК, чтобы завершить настройку.
Перезапустите сервер, чтобы применить групповую политику.
После перезапуска сервера сервер включен для сервера Secured-core.
Проверка конфигурации сервера Secured-core
Теперь, когда вы настроили сервер Secured-core, выберите соответствующий метод для проверки конфигурации.
Вот как проверить настройку сервера Secured-core с помощью пользовательского интерфейса.
На рабочем столе Windows откройте меню "Пуск", введитеmsinfo32.exe, чтобы открыть Сведения о системе. На странице "Сводка системы" подтвердите:
Состояние безопасной загрузки и защита DMA ядра включена.
Безопасность на основе виртуализации выполняется.
Службы безопасности на основе виртуализации отображают гипервизор с принудительной целостностью кода и безопасным запуском.
Ниже показано, как проверить настройку сервера Secured-core с помощью Центра Администратор Windows.
Войдите на портал Центра Администратор Windows.
Выберите сервер, к которому нужно подключиться.
Выберите "Безопасность " с помощью левой панели, а затем перейдите на вкладку "Защищенный ядро ".
Убедитесь, что все функции безопасности имеют состояние "Настроено".
Чтобы проверить, применена ли групповая политика к серверу, выполните следующую команду из командной строки с повышенными привилегиями.
gpresult /SCOPE COMPUTER /R /V
В выходных данных убедитесь, что параметры Device Guard применяются в разделе Администратор istrative Templates. В следующем примере показаны выходные данные при применении параметров.
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
Убедитесь, что сервер Secured-core настроен, выполнив действия.
На рабочем столе Windows откройте меню "Пуск", введитеmsinfo32.exe, чтобы открыть Сведения о системе. На странице "Сводка системы" подтвердите:
Состояние безопасной загрузки и защита DMA ядра включена.
Безопасность на основе виртуализации выполняется.
Службы безопасности на основе виртуализации отображают гипервизор с принудительной целостностью кода и безопасным запуском.
Следующие шаги
Теперь, когда вы настроили сервер Secured-core, ниже приведены некоторые ресурсы для получения дополнительных сведений:
