Настройка сервера Secured-core

Применяется к: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Secured-core — это набор возможностей, обеспечивающих встроенные функции безопасности аппаратного обеспечения, прошивки, драйверов и операционной системы. В этой статье показано, как настроить сервер Secured-core с помощью Windows Admin Center, интерфейса рабочего стола Windows Server и групповой политики.

Защищенный сервер предназначен для обеспечения безопасной платформы для критически важных данных и приложений. Дополнительные сведения см. в разделе Что такое сервер Secured-core?

Prerequisites

Прежде чем настроить сервер Secured-core, необходимо установить и включить следующие компоненты безопасности в BIOS:

Безопасная загрузка.
Модуль доверенной платформы (TPM) 2.0.
Системная прошивка должна соответствовать требованиям защиты от прямого доступа к памяти на этапе предзагрузки и установить соответствующие флаги в таблицах ACPI, чтобы зарегистрироваться на использование и включить защиту ядра от DMA-атак. Дополнительную информацию о защите DMA ядра можно найти в разделе Защита DMA ядра (защита доступа к памяти) дляизготовителей оборудования.
Процессор с поддержкой, включенной в BIOS для:
- Расширения виртуализации.
- Единица управления входной и выходной памятью (IOMMU).
- Динамический корень доверия для измерения (DRTM).
- Для систем, основанных на AMD, также требуется прозрачное шифрование безопасной памяти.

Important

Включение каждой функции безопасности в BIOS может отличаться в зависимости от поставщика оборудования. Обязательно проверьте руководство по включению сервера Secured-core вашего производителя оборудования.

Вы можете найти оборудование, сертифицированное для серверов Secured-core, в каталоге Windows Server , а также локальные серверы Azure в локальном каталоге Azure .

Включение функций безопасности

Чтобы настроить защищенный сервер, необходимо включить определенные функции безопасности Windows Server, выберите соответствующий метод и выполните действия.

Вот как включить сервер с защищенным ядром с помощью пользовательского интерфейса.

На рабочем столе Windows откройте меню "Пуск " и выберите "Администрирование Windows", откройте окно "Управление компьютерами".
В управлении компьютерами выберите диспетчер устройств, при необходимости устраните любую ошибку устройства.
1. Для систем на основе AMD убедитесь, что устройство с загрузочным драйвером DRTM присутствует перед продолжением
В классическом меню Windows откройте меню "Пуск " и выберите "Безопасность Windows".
Выберите Безопасность устройства > сведения об изоляции ядра, затем включите целостность памяти и защиту встроенного ПО. Возможно, вы не сможете включить целостность памяти, пока вы не включили защиту встроенного ПО в первую очередь и перезагрузили сервер.
Перезапустите сервер при появлении запроса.

После перезапуска сервера на нем включена функция Secured-core server.

Проверка конфигурации сервера Secured-core

Теперь, когда вы настроили сервер Secured-core, выберите соответствующий метод для проверки конфигурации.

Вот как проверить настройку сервера Secured-core с помощью пользовательского интерфейса.

На рабочем столе Windows откройте меню "Пуск ", введите msinfo32.exe команду "Сведения о системе". На странице "Сводка системы" подтвердите:
1. Режим безопасной загрузки и защита DMA ядра включены.
2. Безопасность на основе виртуализации включена.
3. службах безопасности на основе виртуализации при выполнении показана гипервизора, примененная целостности кода и безопасного запуска.

Чтобы проверить, применена ли групповая политика к серверу, выполните следующую команду из командной строки с повышенными привилегиями.

gpresult /SCOPE COMPUTER /R /V

В выходных данных убедитесь, что параметры Device Guard применяются в разделе "Административные шаблоны". В следующем примере показаны выходные данные при применении параметров.

        Administrative Templates
        ------------------------
            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
                Value:       1, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
                Value:       2, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
                Value:       1, 0, 0, 0
                State:       Enabled

Убедитесь, что ваш сервер Secured-core настроен, следуя приведённым шагам.

На рабочем столе Windows откройте меню "Пуск ", введите msinfo32.exe команду "Сведения о системе". На странице "Сводка системы" подтвердите:
1. Режим безопасной загрузки и защита DMA ядра включены.
2. Безопасность на основе виртуализации активирована.
3. службах безопасности на основе виртуализации при выполнении показана гипервизора, примененная целостности кода и безопасного запуска.

Дальнейшие шаги

Теперь, когда вы настроили сервер Secured-core, ниже приведены некоторые ресурсы для получения дополнительных сведений:

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2025-08-14