El núcleo protegido es una colección de funcionalidades que ofrece características integradas de seguridad de hardware, firmware, controlador y sistema operativo. En este artículo se muestra cómo configurar el servidor de núcleo protegido mediante Windows Admin Center, la Experiencia de escritorio de Windows Server y la directiva de grupo.
El servidor con núcleo protegido está diseñado para ofrecer una plataforma segura para aplicaciones y datos críticos. Para obtener más información, consulte ¿Qué es el servidor de núcleo protegido?
Requisitos previos
Para poder configurar el servidor de núcleo protegido, debe tener instalados y habilitados los siguientes componentes de seguridad en el BIOS:
Arranque seguro.
Módulo de plataforma segura (TPM) 2.0.
El firmware del sistema debe cumplir los requisitos de protección de DMA de arranque previo y establecer las marcas adecuadas en las tablas ACPI para participar y habilitar la protección contra DMA de Kernel. Para obtener más información sobre la protección contra DMA de Kernel, consulte Protección contra DMA de Kernel (Protección de acceso a memoria) para OEM.
Un procesador con compatibilidad habilitada en el BIOS para:
Extensiones de virtualización.
Unidad de administración de memoria de entrada/salida (IOMMU).
Raíz dinámica segura para medición (DRTM).
El cifrado de memoria segura transparente también es necesario para los sistemas basados en AMD.
Importante
La habilitación de cada una de las características de seguridad en el BIOS puede variar en función del proveedor de hardware. Asegúrese de comprobar la guía de habilitación del servidor de núcleo protegido del fabricante de hardware.
Para configurar el servidor de núcleo protegido, debe habilitar características de seguridad específicas de Windows Server, seleccione el método pertinente y siga los pasos.
Aquí se muestra cómo habilitar el servidor de núcleo protegido mediante la interfaz de usuario.
En el escritorio de Windows, abra el menú Inicio, seleccione Herramientas administrativas de Windows, y abra Administración de equipos.
En Administración de equipos, seleccione Administrador de dispositivos y resuelva cualquier error de dispositivo si es necesario.
En el caso de los sistemas basados en AMD, confirme que el dispositivo DRTM Boot Driver está presente antes de continuar
En el escritorio de Windows, abra el menú Inicio, y seleccione Seguridad de Windows.
Seleccione Seguridad de dispositivos > Detalles de aislamiento de núcleoy, después, habilite Integridad de memoria y Protección de firmware. Es posible que no pueda habilitar la integridad de memoria hasta que haya habilitado primero la protección de firmware y reinicie el servidor.
Reinicie el servidor cuando se le solicite.
Una vez reiniciado el servidor, el servidor está habilitado para el servidor de núcleo protegido.
Aquí se muestra cómo habilitar el servidor de núcleo protegido mediante Windows Admin Center.
Inicie sesión en el portal de Windows Admin Center.
Seleccione el servidor al que desea conectarse.
Seleccione Seguridad con el panel izquierdo y, a continuación, seleccione la pestaña Núcleo protegido.
Compruebe las características de seguridad con el estado No configuradoy, a continuación, seleccione Habilitar.
Cuando se le notifique, seleccione Programar reinicio del sistema para conservar los cambios.
Seleccione Reiniciar inmediatamente o Programar reinicio a una hora adecuada para la carga de trabajo.
Una vez reiniciado el servidor, el servidor está habilitado para el servidor de núcleo protegido.
Aquí se muestra cómo habilitar el servidor de núcleo protegido para los miembros del dominio mediante la directiva de grupo.
Abra la Consola de administración de directivas de grupo, cree o edite una directiva aplicada al servidor.
En el árbol de consola, seleccione Configuración del equipo > Plantillas administrativas > Sistema > Protección de dispositivos.
Para la configuración, haga clic con el botón derecho en Activar la seguridad basada en virtualización y seleccione Editar.
Seleccione Habilitado, y en los menús desplegables, seleccione lo siguiente:
Seleccione Arranque seguro y Protección contra DMA para el nivel de seguridad de la plataforma.
Seleccione Habilitado sin bloqueo o Habilitado con bloqueo UEFI para la protección basada en virtualización de la integridad del código.
Seleccione Habilitado para la configuración de inicio seguro.
Precaución
Si usa Habilitado con bloqueo UEFI para la protección basada en virtualización de la integridad del código, no se puede deshabilitar de forma remota. Para deshabilitar la característica, debe establecer la directiva de grupo en Deshabilitada así como quitar la funcionalidad de seguridad de cada equipo, con un usuario físicamente presente, con el fin de borrar la configuración persistente en UEFI.
Seleccione Aceptar para completar la configuración.
Reinicie el servidor para aplicar la directiva de grupo.
Una vez reiniciado el servidor, el servidor está habilitado para el servidor de núcleo protegido.
Comprobación de la configuración del servidor de núcleo protegido
Ahora que ha configurado el servidor de núcleo protegido, seleccione el método correspondiente para comprobar la configuración.
Aquí se muestra cómo comprobar que el servidor de núcleo protegido está configurado mediante la interfaz de usuario.
En el escritorio de Windows, abra el menú Inicio, escriba msinfo32.exe para abrir Información del sistema. En la página Resumen del sistema, confirme:
El Estado de arranque seguro y Protección contra DMA del Kernel están Activados.
La Seguridad basada en la virtualización está En ejecución.
Los Servicios de seguridad basados en virtualización En ejecución muestran Hipervisor aplicado de integridad de código e Inicio seguro.
Aquí se muestra cómo comprobar que el servidor de núcleo protegido está configurado mediante Windows Admin Center.
Inicie sesión en el portal de Windows Admin Center.
Seleccione el servidor al que desea conectarse.
Seleccione Seguridad con el panel izquierdo y, a continuación, seleccione la pestaña Núcleo protegido.
Compruebe que todas las características de seguridad tienen el estado Configurado.
Para comprobar que la directiva de grupo se ha aplicado al servidor, ejecute el siguiente comando desde un símbolo del sistema con privilegios elevados.
gpresult /SCOPE COMPUTER /R /V
En la salida, confirme que la configuración de Protección de dispositivos se aplica en la sección Plantillas administrativas. En el ejemplo siguiente se muestra la salida cuando se aplica la configuración.
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
Compruebe que el servidor de núcleo protegido está configurado siguiendo los pasos.
En el escritorio de Windows, abra el menú Inicio, escriba msinfo32.exe para abrir Información del sistema. En la página Resumen del sistema, confirme:
El Estado de arranque seguro y Protección contra DMA del Kernel están Activados.
La Seguridad basada en la virtualización está En ejecución.
Los Servicios de seguridad basados en virtualización En ejecución muestran Hipervisor aplicado de integridad de código e Inicio seguro.
Pasos siguientes
Ahora que ha configurado el servidor de núcleo protegido, estos son algunos recursos para obtener más información al respecto:
