安全核心是提供内置硬件、固件、驱动程序和操作系统安全功能的功能集合。 本文介绍如何使用 Windows Admin Center、Windows Server 桌面体验和组策略配置安全核心服务器。
安全核心服务器旨在为关键数据和应用程序提供安全平台。 有关详细信息,请参阅什么是安全核心服务器?
先决条件
在配置安全核心服务器之前,必须在 BIOS 中安装和启用以下安全组件:
- 安全启动。
- 受信任的平台模块 (TPM) 2.0。
- 系统固件必须满足预启动 DMA 保护要求,并在 ACPI 表中设置适当的标志,以选择加入并启用内核 DMA 保护。 若要详细了解内核 DMA 保护,请参阅适用于 OEM 的内核 DMA 保护(内存访问保护)。
- 在 BIOS 中启用了以下支持的处理器:
- 虚拟化扩展。
- 输入/输出内存管理单元 (IOMMU)。
- 用于测量的动态信任根 (DRTM)。
- 基于 AMD 的系统也需要透明安全内存加密。
重要
在 BIOS 中启用每个安全功能可能会因硬件供应商而异。 务必检查硬件制造商的安全核心服务器启用指南。
可以在 Windows Server Catalog 中找到已针对安全核心服务器认证的硬件,并在 Azure Stack HCI 目录中找到已针对 Azure Stack HCI 服务器认证的硬件。
启用安全功能
若要配置安全核心服务器,需要启用特定的 Windows Server 安全功能,选择相关方法并按照步骤操作。
下面介绍如何使用用户界面启用安全核心服务器。
- 从 Windows 桌面中,打开“开始”菜单,选择“Windows 管理工具”,打开“计算机管理”。
- 在“计算机管理”中,选择“设备管理器”,根据需要解决任何设备错误。
- 对于基于 AMD 的系统,在继续操作之前,请确认 DRTM 启动驱动程序设备存在
- 从 Windows 桌面中,打开“开始”菜单,选择“Windows 安全”。
- 选择“设备安全”>“核心隔离详细信息”,然后启用“内存完整性”和“固件保护”。 你需要首先启用固件保护并重启服务器,否则可能无法启用内存完整性功能。
- 出现提示时,重启服务器。
服务器重启后,服务器即启用了安全核心服务器。
下面介绍如何使用 Windows Admin Center 启用安全核心服务器。
- 登录到 Windows Admin Center 门户。
- 选择要连接到的服务器。
- 使用左侧面板选择“安全性”,然后选择“安全核心”选项卡。
- 选中状态为“未配置”的安全功能,然后选择“启用”。
- 收到通知时,选择“计划系统重启”以保留更改。
- 在适合工作负载的时间,选择“立即重启”或“计划重启”。
服务器重启后,服务器即启用了安全核心服务器。
下面介绍如何使用组策略为域成员启用安全核心服务器。
打开“组策略管理控制台”,创建或编辑应用于服务器的策略。
在控制台树中,选择“计算机配置”>“管理模板”>“系统”>“Device Guard”。
对于设置,右键单击“打开基于虚拟化的安全性”并选择“编辑”。
选择“已启用”,从下拉菜单中选择以下选项:
- 对于“平台安全级别”,选择“安全启动和 DMA 保护”。
- 对于“基于虚拟化的代码完整性保护”,选择“已启用,无锁定”或“已启用,带 UEFI 锁定”。
- 对于“安全启动配置”,选择“已启用”。
注意
如果对“基于虚拟化的代码完整性保护”使用“已启用,带 UEFI 锁定”,则无法远程禁用它。 若要禁用该功能,必须将组策略设置为“已禁用”,并从每台有实际存在的用户的计算机中删除安全功能,才能清除 UEFI 中保留的配置。
选择“确定”以完成配置。
重启服务器以应用组策略。
服务器重启后,服务器即启用了安全核心服务器。
验证安全核心服务器配置
配置安全核心服务器后,选择相关方法以验证配置。
下面介绍如何使用用户界面验证安全核心服务器已配置。
- 从 Windows 桌面中,打开“开始”菜单,键入
msinfo32.exe
以打开系统信息。 从“系统摘要”页中,确认:
“安全启动状态”和“内核 DMA 保护”处于“打开”状态。
“基于虚拟化的安全性”处于“正在运行”状态。
正在运行的“基于虚拟化的安全服务”显示“虚拟机监控程序强制实施的代码完整性”和“安全启动”。
下面介绍如何使用 Windows Admin Center 验证安全核心服务器已配置。
登录到 Windows Admin Center 门户。
选择要连接到的服务器。
使用左侧面板选择“安全性”,然后选择“安全核心”选项卡。
检查所有安全功能的状态是否为“已配置”。
若要验证组策略已应用于服务器,请从提升的命令提示符运行以下命令。
gpresult /SCOPE COMPUTER /R /V
在输出中,确认“管理模板”部分下应用 Device Guard 设置。 以下示例显示应用这些设置时的输出。
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
按照以下步骤验证安全核心服务器已配置。
- 从 Windows 桌面中,打开“开始”菜单,键入
msinfo32.exe
以打开系统信息。 从“系统摘要”页中,确认:
“安全启动状态”和“内核 DMA 保护”处于“打开”状态。
“基于虚拟化的安全性”处于“正在运行”状态。
正在运行的“基于虚拟化的安全服务”显示“虚拟机监控程序强制实施的代码完整性”和“安全启动”。
后续步骤
配置安全核心服务器后,下面提供了一些资源以了解有关以下内容的详细信息: