Mengonfigurasi server Secured-core

Secured-core adalah kumpulan kemampuan yang menawarkan fitur keamanan perangkat keras, firmware, driver, dan sistem operasi bawaan. Artikel ini memperlihatkan kepada Anda cara mengonfigurasi server Secured-core dengan menggunakan Pusat Admin Windows, Pengalaman Desktop Windows Server, dan Kebijakan Grup.

Server inti aman dirancang untuk memberikan platform yang aman untuk data dan aplikasi penting. Untuk informasi selengkapnya, lihat Apa itu server Secured-core?

Prasyarat

Sebelum dapat mengonfigurasi server Secured-core, Anda harus menginstal dan mengaktifkan komponen keamanan berikut di BIOS:

• Boot Aman.
• Modul Platform Tepercaya (TPM) 2.0.
• Firmware sistem harus memenuhi persyaratan perlindungan DMA pra-boot dan menetapkan bendera yang sesuai dalam tabel ACPI untuk memilih dan mengaktifkan Perlindungan DMA Kernel. Untuk mempelajari selengkapnya tentang Perlindungan DMA Kernel, lihat Perlindungan DMA Kernel (Perlindungan Akses Memori) untuk OEM.
• Prosesor dengan dukungan yang diaktifkan di BIOS untuk:
  • Ekstensi virtualisasi.
  • Unit Manajemen Memori Input/Output (IOMMU).
  • Akar Kepercayaan Dinamis untuk Pengukuran (DRTM).
  • Enkripsi Memori Aman Transparan juga diperlukan untuk sistem berbasis AMD.

Penting

Mengaktifkan setiap fitur keamanan di BIOS dapat bervariasi berdasarkan vendor perangkat keras Anda. Pastikan untuk memeriksa panduan pengaktifan server Secured-core produsen perangkat keras Anda.

Anda dapat menemukan perangkat keras bersertifikat untuk server Secured-core dari Katalog Windows Server, dan server Azure Stack HCI di Katalog Azure Stack HCI.

Mengaktifkan fitur keamanan

Untuk mengonfigurasi server Secured-core, Anda perlu mengaktifkan fitur keamanan Windows Server tertentu, pilih metode yang relevan dan ikuti langkah-langkahnya.

GUI

Berikut cara mengaktifkan server Secured-core menggunakan antarmuka pengguna.

1. Dari desktop Windows, buka menu Mulai , pilih Alat Administratif Windows, buka Manajemen Komputer.
2. Di Manajemen komputer, pilih Manajer Perangkat, atasi kesalahan perangkat apa pun jika perlu.
   1. Untuk sistem berbasis AMD, konfirmasikan perangkat DRTM Boot Driver ada sebelum melanjutkan
3. Dari desktop Windows, buka menu Mulai, pilih Keamanan Windows.
4. Pilih Detail isolasi Inti keamanan perangkat>, lalu aktifkan Integritas Memori dan Perlindungan Firmware. Anda mungkin tidak dapat mengaktifkan Integritas Memori sampai Anda mengaktifkan Perlindungan Firmware terlebih dahulu dan memulai ulang server Anda.
5. Hidupkan ulang server Anda saat diminta.

Setelah server Anda dimulai ulang, server Anda diaktifkan untuk server Secured-core.

Pusat Admin Windows

Berikut cara mengaktifkan server Secured-core menggunakan Pusat Admin Windows.

1. Masuk ke portal Pusat Admin Windows Anda.
2. Pilih server yang ingin Anda sambungkan.
3. Pilih Keamanan menggunakan panel sebelah kiri, lalu pilih tab Secured-core .
4. Periksa Fitur Keamanan dengan status Tidak dikonfigurasi, lalu pilih Aktifkan.
5. Saat diberi tahu, pilih Jadwalkan reboot sistem untuk mempertahankan perubahan.
6. Pilih Mulai ulang segera atau Jadwalkan hidupkan ulang pada waktu yang sesuai untuk beban kerja Anda.

Setelah server Anda dimulai ulang, server Anda diaktifkan untuk server Secured-core.

Kebijakan Grup

Berikut cara mengaktifkan server Secured-core untuk anggota domain menggunakan Kebijakan Grup.

1. Buka Konsol Manajemen Kebijakan Grup, buat atau edit kebijakan yang diterapkan ke server Anda.

2. Di pohon konsol, pilih Templat Administratif Konfigurasi > Komputer System > Device Guard>.

3. Untuk pengaturan, klik kanan Aktifkan Keamanan Berbasis Virtualisasi dan pilih Edit.

4. Pilih Diaktifkan, dari menu drop-down pilih yang berikut ini:

   1. Pilih Boot Aman dan Perlindungan DMA untuk Tingkat Keamanan Platform.
   2. Pilih Diaktifkan tanpa kunci atau Diaktifkan dengan kunci UEFI untuk Perlindungan Integritas Kode Berbasis Virtualisasi.
   3. Pilih Diaktifkan untuk Konfigurasi Peluncuran Aman.

   Perhatian

   Jika Anda menggunakan Diaktifkan dengan kunci UEFI untuk Perlindungan Integritas Kode Berbasis Virtualisasi, kunci tersebut tidak dapat dinonaktifkan dari jarak jauh. Untuk menonaktifkan fitur ini, Anda harus mengatur Kebijakan Grup ke Dinonaktifkan serta menghapus fungsionalitas keamanan dari setiap komputer, dengan pengguna yang hadir secara fisik, untuk menghapus konfigurasi yang bertahan di UEFI.

5. Klik OK untuk menyelesaikan konfigurasi.

6. Mulai ulang server Anda untuk menerapkan Kebijakan Grup.

Setelah server Anda dimulai ulang, server Anda diaktifkan untuk server Secured-core.

Memverifikasi konfigurasi server Secured-core

Sekarang setelah Anda mengonfigurasi server Secured-core, pilih metode yang relevan untuk memverifikasi konfigurasi Anda.

GUI

Berikut cara memverifikasi server Secured-core Anda dikonfigurasi menggunakan antarmuka pengguna.

1. Dari desktop Windows, buka menu Mulai, ketik msinfo32.exe untuk membuka Informasi Sistem. Dari halaman Ringkasan Sistem, konfirmasikan:

   1. Status Boot Aman dan Perlindungan DMA Kernel Aktif.

   2. Keamanan berbasis virtualisasi Sedang Berjalan.

   3. Layanan keamanan berbasis virtualisasi yang Berjalan menunjukkan Hypervisor memberlakukan Integritas Kode dan Peluncuran Aman.

      

Pusat Admin Windows

Berikut cara memverifikasi server Secured-core Anda dikonfigurasi menggunakan Pusat Admin Windows.

1. Masuk ke portal Pusat Admin Windows Anda.

2. Pilih server yang ingin Anda sambungkan.

3. Pilih Keamanan menggunakan panel sebelah kiri, lalu pilih tab Secured-core .

4. Periksa semua Fitur Keamanan memiliki status Dikonfigurasi.

   

Kebijakan Grup

Untuk memverifikasi Kebijakan Grup telah diterapkan ke server Anda, jalankan perintah berikut dari prompt perintah yang ditingkatkan.

gpresult /SCOPE COMPUTER /R /V

Dalam output, konfirmasikan pengaturan Device Guard diterapkan di bawah bagian Templat Administratif. Contoh berikut menunjukkan output saat pengaturan diterapkan.

        Administrative Templates
        ------------------------
            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
                Value:       1, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
                Value:       2, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
                Value:       1, 0, 0, 0
                State:       Enabled

Verifikasi server Secured-core Anda dikonfigurasi dengan mengikuti langkah-langkahnya.

1. Dari desktop Windows, buka menu Mulai, ketik msinfo32.exe untuk membuka Informasi Sistem. Dari halaman Ringkasan Sistem, konfirmasikan:

   1. Status Boot Aman dan Perlindungan DMA Kernel Aktif.

   2. Keamanan berbasis virtualisasi Sedang Berjalan.

   3. Layanan keamanan berbasis virtualisasi yang Berjalan menunjukkan Hypervisor memberlakukan Integritas Kode dan Peluncuran Aman.

      

Langkah berikutnya

Sekarang setelah Anda mengonfigurasi server Secured-core, berikut adalah beberapa sumber daya untuk mempelajari selengkapnya tentang:

• Keamanan berbasis virtualisasi (VBS)
• Integritas memori dan pengaktifan VBS
• Peluncuran Aman System Guard