Secured-Core är en samling funktioner som erbjuder inbyggda säkerhetsfunktioner för maskinvara, inbyggd programvara, drivrutin och operativsystem. Den här artikeln visar hur du konfigurerar säkerhetsservern med hjälp av Windows Admin Center, Windows Server Desktop Experience och Gruppolicy.
Säker kärnserver är utformad för att leverera en säker plattform för kritiska data och program. Mer information finns i Vad är Säker kärnserver?
Prerequisites
Innan du kan konfigurera Secured-core-servern måste du ha följande säkerhetskomponenter installerade och aktiverade i BIOS:
- Säker start.
- TPM (Trusted Platform Module) 2.0.
- Systemets inbyggda programvara måste uppfylla fördefinierade DMA-skyddskrav och ange lämpliga flaggor i ACPI-tabeller för att kunna välja och aktivera Kernel DMA Protection. Mer information om Kernel DMA Protection finns i Kernel DMA Protection (Memory Access Protection) för OEM.
- En processor med stöd aktiverat i BIOS för:
- Virtualiseringstillägg.
- IOMMU (Input/Output Memory Management Unit).
- Dynamisk rot av förtroende för mätning (DRTM).
- Transparent kryptering för säkert minne krävs också för AMD-baserade system.
Important
Att aktivera var och en av säkerhetsfunktionerna i BIOS kan variera beroende på maskinvaruleverantören. Kontrollera maskinvarutillverkarens guide för att aktivera en Secured-core server.
Du hittar maskinvara som är certifierad för secured-core-servern från Windows Server Catalogoch Azure Local-servrar i Azure Local Catalog.
Aktivera säkerhetsfunktioner
Om du vill konfigurera Säker kärnserver måste du aktivera specifika Säkerhetsfunktioner för Windows Server genom att välja relevant metod och följa stegen.
Så här aktiverar du Säker kärnserver med hjälp av användargränssnittet.
- Från Windows-skrivbordet öppnar du Start-menyn , väljer Windows Administrationsverktyg, öppnar Datorhantering.
- I Datorhantering väljer du Enhetshanteraren, löser eventuella enhetsfel om det behövs.
- För AMD-baserade system bekräftar du att DRTM Boot Driver-enheten finns innan du fortsätter
- Öppna Start-menyn från Windows-skrivbordet och välj Windows-säkerhet.
- Välj Information om enhetssäkerhet > Core-isoleringoch aktivera sedan minnesintegritet och Firmware Protection. Du kanske inte kan aktivera minnesintegritet förrän du har aktiverat Firmware Protection först och startat om servern.
- Starta om servern när du uppmanas att göra det.
När servern har startats om är servern aktiverad för Secured-core-servern.
Så här aktiverar du Säker kärnserver med hjälp av Windows Administrationscenter.
- Logga in på Windows Admin Center-portalen.
- Välj den server som du vill ansluta till.
- Välj Säkerhet med hjälp av den vänstra panelen och välj sedan fliken Skyddad kärna .
- Kontrollera säkerhetsfunktionerna med statusen Inte konfigurerad och välj sedan Aktivera.
- När du meddelas väljer du Schemalägg systemomstart för att spara ändringarna.
- Välj antingen Starta om omedelbart eller Schemalägg omstart vid en tidpunkt som är lämplig för din arbetsbelastning.
När servern har startats om är servern aktiverad för Secured-core-servern.
Så här aktiverar du Säker kärnserver för domänmedlemmar med hjälp av grupprincip.
Öppna konsolen Grupprinciphantering, skapa eller redigera en princip som tillämpas på din server.
I konsolträdet väljer du Datorkonfiguration > Administrativa mallar > System > Device Guard.
För inställningen högerklickar du på Aktivera virtualiseringsbaserad säkerhet och väljer Redigera.
Välj Aktiverad. Välj följande i de nedrullningsbara menyerna:
- Välj Säker start och DMA-skydd för plattformssäkerhetsnivån.
- Välj antingen Aktiverad utan lås eller Aktiverad med UEFI-lås för Virtualiseringsbaserat skydd av kodintegritet.
- Välj Aktiverad för konfiguration av säker start.
Caution
Om du använder Aktiverad med UEFI-lås för virtualiseringsbaserat skydd av kodintegritet, kan den inte inaktiveras på distans. Om du vill inaktivera funktionen måste du ställa in grupprincipen på Inaktiverad och ta bort säkerhetsfunktionerna från varje dator, med en fysiskt närvarande användare, för att rensa konfigurationen som finns kvar i UEFI.
Välj OK för att slutföra konfigurationen.
Starta om servern för att tillämpa grupprincipen.
När servern har startats om är servern aktiverad för Secured-core-servern.
Verifiera serverkonfiguration med säker kärna
Nu när du har konfigurerat Secured-core-servern väljer du den relevanta metoden för att verifiera konfigurationen.
Så här kontrollerar du att din Secured-core-server har konfigurerats med hjälp av användargränssnittet.
- Öppna Start-menyn från Skrivbordet i Windows och skriv
msinfo32.exe för att öppna Systeminformation. Bekräfta på sidan Systemsammanfattning:
Secure Boot State och Kernel DMA Protection är på.
Virtualiseringsbaserad säkerhet körs.
Virtualiseringsbaserade säkerhetstjänster Körning visar Hypervisor-framtvingad kodintegritet och Säker Start.
Så här kontrollerar du att din secured-core-server har konfigurerats med Hjälp av Windows Admin Center.
Logga in på Windows Admin Center-portalen.
Välj den server som du vill ansluta till.
Välj Säkerhet med hjälp av den vänstra panelen och välj sedan fliken Skyddad kärna .
Kontrollera att alla säkerhetsfunktioner har statusen Konfigurerad.
Kontrollera att grupprincipen har tillämpats på servern genom att köra följande kommando från en kommandotolk med administratörsbehörighet.
gpresult /SCOPE COMPUTER /R /V
I utdata bekräftar du att Device Guard-inställningarna tillämpas under avsnittet Administrativa mallar. I följande exempel visas utdata när inställningarna tillämpas.
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
Kontrollera att din secured-core-server har konfigurerats genom att följa stegen.
- Öppna Start-menyn från Skrivbordet i Windows och skriv
msinfo32.exe för att öppna Systeminformation. Bekräfta på sidan Systemsammanfattning:
Secure Boot State och Kernel DMA Protection är på.
Virtualiseringsbaserad säkerhet körs.
Virtualiseringsbaserade säkerhetstjänster Körning visar Hypervisor-framtvingad kodintegritet och Säker Start.
Nästa steg
Nu när du har konfigurerat Secured-core-servern finns här några resurser att lära dig mer om:
