Bei „Secured-Core“ handelt es sich um eine Sammlung von Funktionen, die integrierte Sicherheitsfeatures für Hardware, Firmware, Treiber und Betriebssystem bietet. In diesem Artikel erfahren Sie, wie Sie einen Secured-Core-Server mithilfe des Windows Admin Centers, der Windows Server-Desktopdarstellung und der Gruppenrichtlinie konfigurieren.
Secured-Core-Server wurden entwickelt, um eine sichere Plattform für kritische Daten und Anwendungen bereitzustellen. Weitere Informationen finden Sie unter Was ist ein Secured-Core-Server?
Voraussetzungen
Bevor Sie den Secured-Core-Server konfigurieren können, müssen die folgenden Sicherheitskomponenten im BIOS installiert und aktiviert sein:
Sicherer Start.
Trusted Platform Module (TPM) 2.0.
Die System-Firmware muss die DMA-Schutzanforderungen vor dem Start erfüllen und geeignete Flags in ACPI-Tabellen setzen, um den Kernel-DMA-Schutz zu verwenden und zu aktivieren. Weitere Informationen zum Kernel-DMA-Schutz finden Sie unter Kernel-DMA-Schutz (Speicherzugriffsschutz) für Erstausrüster.
Ein Prozessor mit aktivierter Unterstützung im BIOS für:
Virtualisierungserweiterungen.
Input/Output Memory Management Unit (IOMMU).
Dynamic Root of Trust for Measurement (DRTM).
Transparent Secure Memory Encryption ist auch für auf AMD basierte Systeme erforderlich.
Wichtig
Das Aktivieren der einzelnen Sicherheitsfeatures im BIOS kann je nach Hardwareanbieter variieren. Stellen Sie sicher, dass Sie sich das Handbuch zur Aktivierung des Secured-Core-Servers Ihres Hardwareherstellers angesehen haben.
Um den Secured-Core-Server zu konfigurieren, müssen Sie bestimmte Windows Server-Sicherheitsfeatures aktivieren; wählen Sie die entsprechende Methode aus, und führen Sie die Schritte aus.
Hier erfahren Sie, wie Sie den Secured-Core-Server über die Benutzeroberfläche aktivieren.
Öffnen Sie zunächst auf dem Windows-Desktop das Startmenü, wählen Sie Windows-Verwaltungstools aus, und öffnen Sie dann Computerverwaltung.
Wählen Sie in der Computerverwaltung Geräte-Manageraus, und beheben Sie bei Bedarf alle Gerätefehler.
Bestätigen Sie bei auf AMD basierten Systemen, dass das Gerät des DRTM-Starttreibers vorhanden ist, bevor Sie fortfahren
Öffnen Sie auf dem Windows-Desktop das Startmenü, und wählen Sie Windows-Sicherheit aus.
Wählen Sie Gerätesicherheit > Details zur Kernisolation aus, und aktivieren Sie dann Speicherintegrität und Firmwareschutz. Sie können die Speicherintegrität eventuell erst aktivieren, nachdem Sie zuerst den Firmware-Schutz aktiviert und den Server neu gestartet haben.
Starten Sie den Server neu, wenn Sie dazu aufgefordert werden.
Nachdem der Server neu gestartet wurde, ist der Server für den Secured-Core-Server aktiviert.
Hier erfahren Sie, wie Sie den Secured-Core-Server über das Windows Admin Center aktivieren.
Melden Sie sich bei Ihrem Windows Admin Center-Portal an.
Wählen Sie den Server aus, mit dem Sie eine Verbindung herstellen möchten.
Wählen Sie zunächst Sicherheit im linken Bereich und dann die Registerkarte Secured-Core aus.
Überprüfen Sie die Sicherheitsfeatures mit dem Status Nicht konfiguriert, und wählen Sie dann Aktivieren aus.
Wenn Sie benachrichtigt werden, wählen Sie Systemneustart planen aus, um die Änderungen beizubehalten.
Wählen Sie entweder die Option Sofort neu starten oder Neustart planen zu einem Zeitpunkt aus, der für Ihre Workload geeignet ist.
Nachdem der Server neu gestartet wurde, ist der Server für den Secured-Core-Server aktiviert.
Hier erfahren Sie, wie Sie den Secured-Core-Server für Domänenmitglieder mithilfe von Gruppenrichtlinien aktivieren.
Öffnen Sie die Gruppenrichtlinien-Verwaltungskonsole, und erstellen oder bearbeiten Sie eine Richtlinie, die auf Ihren Server angewandt wird.
Wählen Sie in der Konsolenstruktur Computerkonfiguration > Administrative Vorlagen > System >Device Guard aus.
Klicken Sie für die Einstellung mit der rechten Maustaste auf Virtualisierungsbasierte Sicherheit aktivieren, und wählen Sie Bearbeiten aus.
Wählen Sie Aktiviert aus; wählen Sie aus den Dropdownmenüs Folgendes aus:
Wählen Sie Sicherer Start und DMA-Schutz für die Plattformsicherheitsstufe aus.
Wählen Sie entweder Aktiviert ohne Sperre oder Aktiviert mit UEFI-Sperre zum virtualisierungsbasierten Schutz der Codeintegrität aus.
Wählen Sie Aktiviert für die Konfiguration des sicheren Starts aus.
Achtung
Wenn Sie Aktiviert mit UEFI-Sperre für den virtualisierungsbasierten Schutz der Codeintegrität verwenden, kann das Feature nicht remote deaktiviert werden. Um das Feature zu deaktivieren, müssen Sie die Gruppenrichtlinie auf Deaktiviert festlegen und die Sicherheitsfunktionen von jedem Computer entfernen, mit einem physisch anwesenden Benutzer, um die in der UEFI gespeicherte Konfiguration zu löschen.
Wählen Sie OK aus, um die Konfiguration abzuschließen.
Starten Sie den Server neu, um die Gruppenrichtlinie anzuwenden.
Nachdem der Server neu gestartet wurde, ist der Server für den Secured-Core-Server aktiviert.
Überprüfen der Konfiguration eines Secured-Core-Servers
Nachdem Sie den Secured-Core-Server konfiguriert haben, wählen Sie die entsprechende Methode aus, um Ihre Konfiguration zu überprüfen.
Hier erfahren Sie, wie Sie überprüfen, ob der Secured-Core-Server mithilfe der Benutzeroberfläche konfiguriert ist.
Öffnen Sie auf dem Windows-Desktop das Startmenü, und geben Sie msinfo32.exe ein, um die Systeminformationen zu öffnen. Bestätigen Sie auf der Seite „Systemzusammenfassung“:
Der Sichere Startstatus und Kernel-DMA-Schutz sind aktiviert.
Die Virtualisierungsbasierte Sicherheit (VBS) wird ausgeführt.
Die ausgeführten Virtualisierungsbasierten Sicherheitsdienste zeigen die durch Hypervisor erzwungene Codeintegrität und den Sicheren Start an.
Hier erfahren Sie, wie Sie überprüfen, ob der Secured-Core-Server mithilfe des Windows Admin Centers konfiguriert ist.
Melden Sie sich bei Ihrem Windows Admin Center-Portal an.
Wählen Sie den Server aus, mit dem Sie eine Verbindung herstellen möchten.
Wählen Sie zunächst Sicherheit im linken Bereich und dann die Registerkarte Secured-Core aus.
Überprüfen Sie, ob alle Sicherheitsfeatures den Status Konfiguriert aufweisen.
Um zu überprüfen, ob die Gruppenrichtlinie auf Ihren Server angewendet wurde, führen Sie den folgenden Befehl über eine Eingabeaufforderung mit erhöhten Rechten aus.
gpresult /SCOPE COMPUTER /R /V
Vergewissern Sie sich in der Ausgabe, dass die Device Guard-Einstellungen im Abschnitt „Administrative Vorlagen“ angewendet werden. Das folgende Beispiel zeigt die Ausgabe, wenn die Einstellungen angewendet werden.
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
Überprüfen Sie, ob der Secured-Core-Server konfiguriert ist, indem Sie die Schritte ausführen.
Öffnen Sie auf dem Windows-Desktop das Startmenü, und geben Sie msinfo32.exe ein, um die Systeminformationen zu öffnen. Bestätigen Sie auf der Seite „Systemzusammenfassung“:
Der Sichere Startstatus und Kernel-DMA-Schutz sind aktiviert.
Die Virtualisierungsbasierte Sicherheit (VBS) wird ausgeführt.
Die ausgeführten Virtualisierungsbasierten Sicherheitsdienste zeigen die durch Hypervisor erzwungene Codeintegrität und den Sicheren Start an.
Nächste Schritte
Nachdem Sie den Secured-Core-Server konfiguriert haben, finden Sie hier einige Ressourcen, über die Sie mehr erfahren können: