セキュア コア サーバーの構成

セキュア コアとは、組み込みのハードウェア、ファームウェア、ドライバー、オペレーティング システムのセキュリティ機能を提供する機能のコレクションです。 この記事では、Windows Admin Center、Windows Server デスクトップ エクスペリエンス、およびグループ ポリシーを使用してセキュア コア サーバーを構成する方法を紹介します。

セキュア コア サーバーは、重要なデータとアプリケーション向けにセキュリティで保護されたプラットフォームを提供するように設計されています。 詳細については、「セキュア コア サーバーとは」を参照してください。

前提条件

セキュア コア サーバーを構成する前に、以下のセキュリティ コンポーネントがインストールされ、BIOS で有効になっている必要があります。

• セキュア ブート。
• トラステッド プラットフォーム モジュール (TPM) 2.0。
• システム ファーム ウェアは、DMA 保護要件を満たし、ACPI テーブルに適切なフラグを設定して、カーネル DMA 保護をオプトインして有効にする必要があります。 カーネル DMA 保護の詳細については、OEM 向けカーネル DMA 保護 (メモリ アクセス保護) を参照してください。
• BIOS でサポートが有効になっているプロセッサは以下のとおりです。
  • 仮想化拡張機能。
  • 入出力メモリ管理ユニット (IOMMU)。
  • 測定のための動的 Root of Trust (DRTM)。
  • AMD ベースのシステムには、透過的セキュア メモリ暗号化も必要です。

重要

BIOS の各セキュリティ機能を有効にするかどうかは、ハードウェア ベンダーによって異なります。 ハードウェア メーカーのセキュア コア サーバー有効化ガイドを確認してください。

セキュア コア サーバーの認定を受けたハードウェアは、Windows Server カタログに、Azure Stack HCI サーバーは Azure Stack HCI カタログにあります。

セキュリティ機能の有効化

セキュア コア サーバーを構成するには、特定の Windows Server のセキュリティ機能を有効にする必要があります。

GUI

ここでは、ユーザー インターフェイスを使用してセキュア コア サーバーを有効にする方法について説明します。

1. Windows デスクトップからスタート メニューを開き、[Windows 管理ツール] を選択して [コンピューターの管理] を開きます。
2. コンピュータの管理でデバイス マネージャーを選択し、必要に応じてデバイス エラーを解決します。
   1. AMD ベースのシステムの場合、続行する前に DRTM Boot Driver デバイスが存在することを確認してください。
3. Windows デスクトップからスタート メニューを開き、[Windows セキュリティ] を選択します。
4. [デバイス セキュリティ] > [コア分離の詳細] を選択し、[メモリ整合性] と [ファームウェア保護] を有効にします。 ファームウェア保護を有効にしてからサーバーを再起動するまで、メモリ整合性を有効にできない場合があります。
5. メッセージが表示されたらサーバーを再起動します。

サーバーが再起動すると、セキュア コア サーバーが有効になります。

Windows Admin Center

ここでは、Windows Admin Center を使用してセキュア コア サーバーを有効にする方法について説明します。

1. Windows Admin Center ポータルにサインインします。
2. 接続するサーバーを選択します。
3. 左側のパネルで [セキュリティ] を選択し、[セキュア コア] タブを選択します。
4. [未構成] の状態のセキュリティの機能を確認し、[有効] を選択します。
5. 通知を受け取ったら、[システムの再起動をスケジュールする] を選択して変更を永続化します。
6. [今すぐ再起動] またはワークロードに適した時間に [再起動をスケジュール] のいずれかを選択します。

サーバーが再起動すると、セキュア コア サーバーが有効になります。

グループ ポリシー

ここでは、グループ ポリシーを使用して、ドメイン メンバーに対してセキュア コア サーバーを有効にする方法を説明します。

1. グループ ポリシー管理コンソールを開き、サーバーに適用されるポリシーを作成または編集します。

2. コンソール ツリーで、[コンピューターの構成] > [管理用テンプレート] > [システム] > [Device Guard] の順に選択します。

3. 設定については、[仮想化ベースのセキュリティをオンにする] を右クリックし、[編集] を選択します。

4. [有効] を選択し、ドロップ ダウン メニューから以下を選択します。

   1. プラットフォーム セキュリティ レベル向けの [セキュア ブートと DMA 保護] を選択します。
   2. 仮想化ベースのコード整合性の保護の場合は、[ロックなしで有効化] または [UEFI ロックで有効化] のいずれかを選択します。
   3. Secure Launch Configuration に [有効] を選択します。

   注意事項

   [UEFI ロックで有効化] を仮想化ベースのコード整合性の保護に使用する場合は、リモートで無効にすることはできません。 この機能を無効にするには、グループ ポリシーを [無効] に設定し、物理的にユーザーが存在する各コンピューターからセキュリティ機能を削除して、UEFI に保持された構成をクリアする必要があります。

5. [OK] を選択して構成を完了します。

6. サーバーを再起動して、グループ ポリシーを適用します。

サーバーが再起動すると、セキュア コア サーバーが有効になります。

セキュア コア サーバー構成の検証

セキュア コア サーバーの構成が完了したので、構成を確認するために関連するメソッドを選択します。

GUI

ここでは、ユーザー インターフェイスを使用してセキュア コア サーバーが構成されていることを検証する方法について説明します。

1. Windows　デスクトップからスタート メニューを開き、msinfo32.exe と入力してシステム情報を開きます。 システム概要ページで、以下の内容を確認します。

   1. セキュア ブート状態とカーネル DMA 保護がオンである。

   2. 仮想化ベースのセキュリティを実行中である。

   3. 実行中の仮想化ベースのセキュリティ サービスにハイパーバイザーで強化されたコード整合性と Secure Launch が表示されている。

      

Windows Admin Center

ここでは、Windows Admin Center を使用してセキュア コア サーバーが構成されていることを検証する方法について説明します。

1. Windows Admin Center ポータルにサインインします。

2. 接続するサーバーを選択します。

3. 左側のパネルで [セキュリティ] を選択し、[セキュア コア] タブを選択します。

4. すべてのセキュリティ機能の状態が [構成済み] であることを確認します。

   

グループ ポリシー

グループ ポリシーがサーバーに適用されていることを検証するには、管理者特権でのコマンド プロンプトから以下のコマンドを実行します。

gpresult /SCOPE COMPUTER /R /V

出力で、管理テンプレート セクションの下に Device Guard 設定が適用されていることを確認します。 次の例は、設定を適用した場合の出力を示しています。

        Administrative Templates
        ------------------------
            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
                Value:       1, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
                Value:       2, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
                Value:       1, 0, 0, 0
                State:       Enabled

以下の手順に従って、セキュア コア サーバーが構成されていることを検証します。

1. Windows　デスクトップからスタート メニューを開き、msinfo32.exe と入力してシステム情報を開きます。 システム概要ページで、以下の内容を確認します。

   1. セキュア ブート状態とカーネル DMA 保護がオンである。

   2. 仮想化ベースのセキュリティを実行中である。

   3. 実行中の仮想化ベースのセキュリティ サービスにハイパーバイザーで強化されたコード整合性と Secure Launch が表示されている。

      

次のステップ

セキュア コア サーバーの構成が完了したので、次にいくつかのリソースを紹介します。

• 仮想化ベースのセキュリティ (VBS)
• メモリの整合性と VBS の有効化
• System Guard Secure Launch