Partilhar via


Configurar o Servidor de núcleo protegido

O núcleo seguro é uma coleção de recursos que oferece funcionalidades internas de segurança de hardware, firmware, driver e sistema operacional. Esse artigo mostra como configurar o servidor de núcleo protegido usando o Windows Admin Center, a Experiência da Área de Trabalho do Windows Server e a Política de Grupo.

O servidor de núcleo seguro é projetado para fornecer uma plataforma segura para aplicativos e dados críticos. Para obter mais informações, consulte o que é o servidor de núcleo protegido?

Pré-requisitos

Antes de configurar o servidor de núcleo protegido, você deve ter os seguintes componentes de segurança instalados e habilitados no BIOS:

  • Inicialização Segura.
  • Trusted Platform Module (TPM) 2.0
  • O firmware do sistema deve atender aos requisitos de proteção contra DMA de pré-inicialização e definir sinalizadores apropriados em tabelas ACPI para aceitar e habilitar a Proteção contra DMA do Kernel. Para saber mais sobre a Proteção contra DMA do Kernel, consulte Proteção contra DMA do Kernel (Proteção de Acesso à Memória) para OEMs.
  • Um processador com suporte habilitado no BIOS para:
    • Extensões de Virtualização.
    • Unidade de Gerenciamento de Memória de Entrada/Saída (IOMMU).
    • Raiz dinâmica de confiança para medição (DRTM).
    • A Transparent Secure Memory Encryption também é necessária para sistemas baseados em AMD.

Importante

A habilitação de cada um dos recursos de segurança no BIOS pode variar com base no fornecedor de hardware. Verifique o guia de habilitação do servidor de núcleo protegido do fabricante de hardware.

Você pode encontrar hardware certificado para servidor de núcleo seguro no Windows Server Catalog e servidores do Azure Stack HCI no Catálogo do Azure Stack HCI.

Habilitar recursos de segurança

Para configurar o servidor de núcleo protegido, você precisa habilitar recursos de segurança específicos do Windows Server, selecione o método relevante e siga as etapas.

Veja como habilitar o servidor de núcleo protegido usando a interface do usuário.

  1. Na área de trabalho do Windows, abra o menu Iniciar, selecione Ferramentas Administrativas do Windows e abra Gerenciamento de Computador.
  2. No Gerenciamento de Computador, selecione Gerenciador de Dispositivos, resolva qualquer erro de dispositivo, se necessário.
    1. Para sistemas baseados em AMD, confirme se o dispositivo driver de inicialização DRTM está presente antes de continuar
  3. Na área de trabalho do Windows, abra o menu Iniciar, selecione Segurança do Windows.
  4. Selecione Segurança do dispositivo > Detalhes de isolamento do núcleo e ative Integridade da memória e Proteção de firmware. Talvez você não consiga habilitar a Integridade de Memória até que tenha ativado a Proteção do Firmware primeiro e reiniciado o servidor.
  5. Reinicie o servidor quando solicitado.

Depois que o servidor for reiniciado, o servidor estará habilitado para o servidor de núcleo protegido.

Verificar a configuração do servidor de núcleo protegido

Agora que você configurou o servidor de núcleo protegido, selecione o método relevante para verificar sua configuração.

Veja como verificar se o servidor de núcleo protegido está configurado usando a interface do usuário.

  1. Na área de trabalho do Windows, abra o menu Iniciar, digite msinfo32.exe para abrir Informações do Sistema. Na página Resumo do Sistema, confirme:
    1. O Estado de Inicialização Segura e a Proteção contra DMA do Kernel estão ativados.

    2. A Segurança baseada em virtualização está em execução.

    3. Os Serviços de segurança baseados em virtualização em execução mostram aIntegridade do código imposta pelo Hipervisor e a Inicialização segura.

      Screenshot showing the System Information application window with Secured-core enabled.

Próximas etapas

Agora que você configurou o servidor de núcleo protegido, aqui estão alguns recursos para saber mais sobre: