Konfigurace zabezpečeného základního serveru

Zabezpečené jádro je kolekce funkcí, které nabízí integrované funkce hardwaru, firmwaru, ovladače a zabezpečení operačního systému. V tomto článku se dozvíte, jak nakonfigurovat zabezpečený základní server pomocí Centra pro správu Windows, desktopového prostředí Windows Serveru a zásad skupiny.

Zabezpečený základní server je navržený tak, aby poskytoval zabezpečenou platformu pro důležitá data a aplikace. Další informace najdete v tématu Co je zabezpečený základní server?

Prerequisites

Před konfigurací serveru zabezpečeného jádra musíte mít v systému BIOS nainstalované a povolené následující součásti zabezpečení:

• Zabezpečené spouštění.
• Čip TPM (Trusted Platform Module) 2.0.
• Firmware systému musí splňovat požadavky na ochranu DMA před spuštěním a nastavit příslušné příznaky v tabulkách ACPI, aby se aktivovala a umožnila ochrana DMA jádra. Další informace o ochraně DMA jádra najdete v tématu Ochrana DMA jádra (ochrana přístupu do paměti) pro OEM.
• Procesor s podporou povolenou v systému BIOS pro:
  • Rozšíření virtualizace.
  • Jednotka pro správu vstupní/výstupní paměti (IOMMU).
  • Dynamický kořen důvěryhodnosti pro měření (DRTM).
  • Transparentní zabezpečené šifrování paměti je také vyžadováno pro systémy založené na amd.

Important

Povolení jednotlivých funkcí zabezpečení v systému BIOS se může lišit v závislosti na dodavateli hardwaru. Ujistěte se, že jste si zkontrolovali průvodce povolením serveru s zabezpečeným jádrem od výrobce hardwaru.

Hardware certifikovaný pro server s bezpečným jádrem najdete v katalogu Windows Serverua místní servery Azure v katalogu Azure Local.

Povolení funkcí zabezpečení

Pokud chcete nakonfigurovat zabezpečený server, musíte povolit konkrétní funkce zabezpečení Windows Serveru, vyberte příslušnou metodu a postupujte podle pokynů.

GUI

Tady je postup povolení zabezpečeného základního serveru pomocí uživatelského rozhraní.

1. Na ploše Windows otevřete nabídku Start , vyberte Nástroje pro správu systému Windows a otevřete Správu počítače.
2. Ve správě počítače vyberte Správce zařízení a v případě potřeby vyřešte všechny chyby zařízení.
   1. V případě systémů založených na amd ověřte, že je k dispozici zařízení ovladače spouštění DRTM, a teprve potom pokračujte.
3. V desktopové verzi Windows otevřete nabídku Start a vyberte Zabezpečení systému Windows.
4. Vyberte zabezpečení zařízení, poté podrobnosti o izolaci jádra >, a pak povolte integritu paměti a ochranu firmwaru. Možná nebudete moct povolit integritu paměti, dokud nepovolíte ochranu firmwaru a nerestartujete server.
5. Po zobrazení výzvy restartujte server.

Po restartování serveru je server konfigurován pro server se zabezpečeným jádrem.

Windows Centrum pro správu

Tady je postup povolení zabezpečeného základního serveru pomocí Centra pro správu Windows.

1. Přihlaste se k portálu Windows Admin Center.
2. Vyberte server, ke kterému se chcete připojit.
3. Vyberte Zabezpečení pomocí levého panelu a pak vyberte kartu Zabezpečené jádro .
4. Zkontrolujte funkce zabezpečení se stavem Nenakonfigurováno a pak vyberte Povolit.
5. Po upozornění vyberte Naplánovat restartování systému, aby se změny zachovaly.
6. Vyberte buď okamžité restartování , nebo naplánovat restartování najednou vhodné pro vaši úlohu.

Po restartování serveru je server konfigurován pro server se zabezpečeným jádrem.

Zásady skupiny

Postup, jak povolit server s chráněným jádrem pro členy domény pomocí zásad skupin.

1. Otevřete konzolu pro správu zásad skupiny , vytvořte nebo upravte zásadu použitou na vašem serveru.

2. Ve stromu konzoly vyberte Konfigurace počítače > Šablony pro správu > Systém > Device Guard.

3. V nastavení klikněte pravým tlačítkem na Zapnout zabezpečení založené na virtualizaci a vyberte Upravit.

4. V rozevíracích nabídkách vyberte Povoleno následující:

   1. Pro úroveň zabezpečení platformy vyberte Bezpečné spouštění a ochranu DMA.
   2. Vyberte buď Povoleno bez uzamčení, nebo Povoleno s uzamčením UEFI pro ochranu integrity kódu založenou na virtualizaci.
   3. Vyberte Povoleno pro konfiguraci zabezpečeného spuštění.

   Caution

   Pokud používáte Povoleno se zámkem UEFI pro ochranu integrity kódu na základě virtualizace, nedá se vzdáleně zakázat. Chcete-li tuto funkci zakázat, musíte nastavit zásadu skupiny na Zakázáno a odebrat funkce zabezpečení z každého počítače s fyzickou přítomností uživatele, aby bylo možné vymazat konfiguraci trvale v rozhraní UEFI.

5. Výběrem možnosti OK dokončete konfiguraci.

6. Restartujte server, aby se použily zásady skupiny.

Po restartování serveru je server konfigurován pro server se zabezpečeným jádrem.

Ověření konfigurace zabezpečeného základního serveru

Teď, když jste nakonfigurovali server zabezpečeného jádra, vyberte příslušnou metodu pro ověření konfigurace.

GUI

Tady je postup, jak ověřit, jestli je server zabezpečeného jádra nakonfigurovaný pomocí uživatelského rozhraní.

1. Na ploše Windows otevřete nabídku Start zadáním msinfo32.exe systémové informace. Na stránce Souhrn systému potvrďte:

   1. stavu zabezpečeného spouštění a je zapnutá ochrana DMA jádra .

   2. Je spuštěno zabezpečení na základě virtualizace.

   3. Služby zabezpečení založené na virtualizaci Běh ukazuje integritu kódu vynucovanou hypervisorem a zabezpečené spuštění.

      

Windows Centrum pro správu

Tady je postup ověření konfigurace zabezpečeného základního serveru pomocí Centra pro správu Windows.

1. Přihlaste se k portálu Windows Admin Center.

2. Vyberte server, ke kterému se chcete připojit.

3. Vyberte Zabezpečení pomocí levého panelu a pak vyberte kartu Zabezpečené jádro .

4. Zkontrolujte, jestli jsou všechny funkce zabezpečení ve stavu Nakonfigurované.

   

Zásady skupiny

Pokud chcete ověřit, že se zásady skupiny použily na váš server, spusťte z příkazového řádku se zvýšenými oprávněními následující příkaz.

gpresult /SCOPE COMPUTER /R /V

Ve výstupu ověřte, že se nastavení Device Guard použije v části Šablony pro správu. Následující příklad ukazuje výstup při použití nastavení.

        Administrative Templates
        ------------------------
            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
                Value:       1, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
                Value:       2, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
                Value:       1, 0, 0, 0
                State:       Enabled

Podle kroků ověřte, že je server zabezpečeného jádra nakonfigurovaný.

1. Na ploše Windows otevřete nabídku Start zadáním msinfo32.exe systémové informace. Na stránce Souhrn systému potvrďte:

   1. stavu zabezpečeného spouštění a je zapnutá ochrana DMA jádra .

   2. Je spuštěno zabezpečení na základě virtualizace.

   3. Služby zabezpečení založené na virtualizaci Běh ukazuje integritu kódu vynucovanou hypervisorem a zabezpečené spuštění.

      

Další kroky

Teď, když jste nakonfigurovali zabezpečený základní server, najdete tady některé zdroje informací, které vám podají další informace:

• zabezpečení na základě virtualizace (VBS)
• Integrita paměti a povolení VBS
• Zabezpečené spuštění System Guard