Le concept de noyau sécurisé regroupe un ensemble de fonctionnalités de sécurité intégrées pour le matériel, les microprogrammes, les pilotes et les systèmes d’exploitation. Cet article vous montre comment configurer le serveur Secured-core à l'aide de Windows Admin Center, de Windows Server Desktop Experience et de la stratégie de groupe.
Un serveur à noyau sécurisé est conçu pour fournir une plateforme sécurisée pour les données et les applications critiques. Pour plus d’informations, consultez Qu’est-ce qu’un serveur Secured-core ?
Prérequis
Avant de pouvoir configurer le serveur Secured-core, vous devez avoir installé et activé les composants de sécurité suivants dans le BIOS :
Démarrage sécurisé.
Module de plateforme sécurisée (TPM) 2.0.
Le micrologiciel du système doit répondre aux exigences de protection DMA avant le démarrage et définir les indicateurs appropriés dans les tables ACPI pour activer et activer la protection DMA du noyau. Pour en savoir plus sur la protection DMA du noyau, consultez Protection DMA du noyau (protection de l'accès à la mémoire) pour les OEM.
Un processeur avec prise en charge activée dans le BIOS pour :
Extensions de virtualisation.
Unité de gestion de mémoire d'entrée/sortie (IOMMU).
Racine de confiance dynamique pour la mesure (DRTM).
Le cryptage transparent et sécurisé de la mémoire est également requis pour les systèmes basés sur AMD.
Important
L'activation de chacune des fonctionnalités de sécurité dans le BIOS peut varier en fonction du fournisseur de votre matériel. Assurez-vous de consulter le guide d'activation du serveur Secured-core du fabricant de votre matériel.
Pour configurer le serveur Secured-core, vous devez activer les fonctionnalités de sécurité spécifiques de Windows Server, sélectionner la méthode appropriée et suivre les étapes.
Voici comment activer le serveur Secured-core à l'aide de l'interface utilisateur.
Depuis le bureau Windows, ouvrez le menu Démarrer, sélectionnez Outils d'administration Windows, ouvrez Gestion de l'ordinateur.
Dans Gestion de l'ordinateur, sélectionnez Gestionnaire de périphériques, résolvez toute erreur de périphérique si nécessaire.
Pour les systèmes basés sur AMD, confirmez que le périphérique DRTM Boot Driver est présent avant de continuer
Depuis le bureau Windows, ouvrez le menu Démarrer, sélectionnez Sécurité Windows.
Sélectionnez Sécurité de l'appareil > Détails d'isolation du noyau, puis activez Intégrité de la mémoire et protection du micrologiciel. Il se peut que vous ne puissiez pas activer l'intégrité de la mémoire avant d'avoir activé la protection du microprogramme et redémarré votre serveur.
Redémarrez votre serveur lorsque vous y êtes invité.
Une fois votre serveur redémarré, votre serveur est activé pour le serveur Secured-core.
Voici comment activer le serveur Secured-core à l’aide de Windows Admin Center.
Connectez-vous à votre portail Windows Admin Center.
Sélectionnez le serveur auquel vous souhaitez vous connecter.
Sélectionnez Sécurité à l’aide du panneau de gauche, puis sélectionnez l’onglet Secured-core.
Vérifiez les fonctionnalités de sécurité avec l'état Non configuré, puis sélectionnez Activer.
Une fois averti, sélectionnez Planifier le redémarrage du système pour conserver les modifications.
Sélectionnez Redémarrer immédiatement ou Planifier le redémarrage à une heure adaptée à votre charge de travail.
Une fois votre serveur redémarré, votre serveur est activé pour le serveur Secured-core.
Voici comment activer le serveur Secured-core pour les membres du domaine à l'aide de la stratégie de groupe.
Ouvrez la console de gestion des stratégies de groupe, créez ou modifiez une stratégie appliquée à votre serveur.
Dans l'arborescence de la console, sélectionnez Configuration de l'ordinateur > Modèles d'administration > System > Device Guard.
Pour le paramètre, cliquez avec le bouton droit sur Activer la sécurité basée sur la virtualisation et sélectionnez Modifier.
Sélectionnez Activé, dans les menus déroulants, sélectionnez ce qui suit :
Sélectionnez Démarrage sécurisé et protection DMA pour le niveau de sécurité de la plateforme.
Sélectionnez Activé sans verrouillage ou Activé avec verrouillage UEFI pour la protection de l'intégrité du code basée sur la virtualisation.
Sélectionnez Activé pour la configuration de lancement sécurisé.
Attention
Si vous utilisez Activé avec le verrouillage UEFI pour la protection de l'intégrité du code basée sur la virtualisation, il ne peut pas être désactivé à distance. Pour désactiver la fonctionnalité, vous devez définir la stratégie de groupe sur Désactivé et supprimer la fonctionnalité de sécurité de chaque ordinateur, avec un utilisateur physiquement présent, afin d'effacer la configuration persistante dans UEFI.
Sélectionnez OK pour terminer la configuration.
Redémarrez votre serveur pour appliquer la stratégie de groupe.
Une fois votre serveur redémarré, votre serveur est activé pour le serveur Secured-core.
Vérifier la configuration du serveur à noyau sécurisé
Maintenant que vous avez configuré le serveur Secured-core, sélectionnez la méthode appropriée pour vérifier votre configuration.
Voici comment vérifier que votre serveur Secured-core est configuré à l'aide de l'interface utilisateur.
Depuis le bureau Windows, ouvrez le menu Démarrer, tapez msinfo32.exe pour ouvrir les informations système. Sur la page Résumé du système, confirmez :
L’état de démarrage sécurisé et la protection DMA du noyau sont activés.
La sécurité basée sur la virtualisation est en cours d'exécution.
L'exécution des services de sécurité basés sur la virtualisation montre l'intégrité du code et le lancement sécurisé appliqués par l'hyperviseur.
Voici comment vérifier que votre serveur Secured-core est configuré à l’aide de Windows Admin Center.
Connectez-vous à votre portail Windows Admin Center.
Sélectionnez le serveur auquel vous souhaitez vous connecter.
Sélectionnez Sécurité à l’aide du panneau de gauche, puis sélectionnez l’onglet Secured-core.
Vérifiez que toutes les fonctionnalités de sécurité ont le statut Configuré.
Pour vérifier que la stratégie de groupe s'est appliquée à votre serveur, exécutez la commande suivante à partir d'une invite de commande élevée.
gpresult /SCOPE COMPUTER /R /V
Dans le résultat, confirmez que les paramètres Device Guard sont appliqués dans la section Modèles d’administration. L'exemple suivant montre la sortie lorsque les paramètres sont appliqués.
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
Vérifiez que votre serveur Secured-core est configuré en suivant les étapes.
Depuis le bureau Windows, ouvrez le menu Démarrer, tapez msinfo32.exe pour ouvrir les informations système. Sur la page Résumé du système, confirmez :
L’état de démarrage sécurisé et la protection DMA du noyau sont activés.
La sécurité basée sur la virtualisation est en cours d'exécution.
L'exécution des services de sécurité basés sur la virtualisation montre l'intégrité du code et le lancement sécurisé appliqués par l'hyperviseur.
Étapes suivantes
Maintenant que vous avez configuré le serveur Secured-core, voici quelques ressources pour en savoir plus :
