Bilgisayarı Konak Koruyucu Hizmeti'ne kaydetme

Şunlar için geçerlidir: Windows'da SQL Server 2019 (15.x) ve sonraki sürümleri

Bu makalede, Konak Koruyucu Hizmeti'ne (HGS) test etmek için SQL Server bilgisayarlarının nasıl kaydedildiği açıklanır.

Not

BIR SQL Server'ı HGS'ye kaydetme işlemi, HGS yöneticisinin ve SQL Server bilgisayar yöneticisinin birlikte çalışmasını gerektirir. Bkz. HGS ile kanıtlamayı yapılandırırkenRolleri ve sorumlulukları.

Başlamadan önce en az bir HGS bilgisayarı dağıtıp HGS kanıtlama hizmetini ayarladığınızdan emin olun. Daha fazla bilgi için SQL Server için Konak Koruyucu Hizmetini Dağıtma başlığı ,’e bakın.

1. Adım: Kanıtlama istemci bileşenlerini yükleme

Not

Bu adım SQL Server bilgisayar yöneticisi tarafından gerçekleştirilmelidir.

SQL istemcisinin güvenilir bir SQL Server bilgisayarıyla konuştuğunu doğrulamasına izin vermek için SQL Server bilgisayarının Konak Koruyucu Hizmeti ile başarılı bir şekilde onay vermesi gerekir. Kanıtlama işlemi, HGS İstemcisi adlı isteğe bağlı bir Windows bileşeni tarafından yönetilir. Aşağıdaki adımlar bu bileşeni yüklemenize ve teste başlamanıza yardımcı olur.

  1. SQL Server bilgisayarının HGS planlama belgesinde özetlenenönkoşullarını karşıladığından emin olun.

  2. HGS İstemcisi ve kanıtlama bileşenlerini içeren Konak Koruyucusu Hyper-V Desteği özelliğini yüklemek için yükseltilmiş bir PowerShell konsolunda aşağıdaki komutu çalıştırın.

    Enable-WindowsOptionalFeature -Online -FeatureName HostGuardian -All

  3. Yüklemeyi tamamlamak için yeniden başlatın.

2. Adım: Sanallaştırma tabanlı güvenliğin çalıştığını doğrulama

Not

Bu adım SQL Server bilgisayar yöneticisi tarafından gerçekleştirilmelidir.

Konak Koruyucusu Hyper-V Desteği özelliğini yüklediğinizde sanallaştırma tabanlı güvenlik (VBS) otomatik olarak yapılandırılır ve etkinleştirilir. SQL Server Always Encrypted korumalı alanları, VBS ortamı tarafından korunur ve içinde çalıştırılır. Bilgisayarda yüklü ve etkin bir IOMMU cihazı yoksa VBS başlatılamayabilir. VBS'nin çalışıp çalışmadığını denetlemek için, msinfo32.exe çalıştırarak Sistem Bilgileri aracını açın ve Sistem Özeti'nin alt kısmındaki Virtualization-based security öğelerini bulun.

sanallaştırma tabanlı güvenlik durumunu ve yapılandırmaSystem Information screenshot showing virtualization-based security status and configurationSystem Information screenshot showing virtualization-based security status and configurationgösterenSistem Bilgileri ekran görüntüsü

Denetlenecek ilk öğe, aşağıdaki üç değere sahip olabilecek Virtualization-based securityöğesidir:

  • Running, VBS'nin doğru yapılandırıldığı ve başarıyla başlatıldığı anlamına gelir. Bilgisayar bu durumu gösteriyorsa 3. Adıma atlayabilirsiniz.
  • Enabled but not running VBS'nin çalışacak şekilde yapılandırıldığı, ancak donanımın VBS'yi çalıştırmak için en düşük güvenlik gereksinimlerine sahip olmadığı anlamına gelir. IOMMU gibi isteğe bağlı işlemci özelliklerini etkinleştirmek için BIOS veya UEFI'deki donanımın yapılandırmasını değiştirmeniz gerekebilir veya donanım gerçekten gerekli özellikleri desteklemiyorsa VBS güvenlik gereksinimlerini düşürmeniz gerekebilir. Daha fazla bilgi edinmek için bu bölümü okumaya devam edin.
  • Not enabled, VBS'nin çalışacak şekilde yapılandırılmamış olduğu anlamına gelir. Konak Koruyucusu Hyper-V Desteği özelliği VBS'yi otomatik olarak etkinleştirir, bu nedenle bu durumu görürseniz 1. adımı tekrarlamanız önerilir.

VBS bilgisayarda çalışmıyorsa Virtualization-based security özelliklerini denetleyin. Required Security Properties öğesindeki değerleri Available Security Properties öğesindeki değerlerle karşılaştırın. Gerekli özellikler, VBS'nin çalışması için kullanılabilir güvenlik özelliklerine eşit veya bir alt kümesi olmalıdır.

SQL Server kuşatmalarını kanıtlama bağlamında güvenlik özellikleri aşağıdaki öneme sahiptir:

  • hiper yöneticiyi çalıştırmak için gereken en düşük donanım özelliklerini temsil ettiği için Base virtualization support her zaman gereklidir.
  • SQL Server Always Encrypted için Secure Boot önerilir ancak gerekli değildir. Güvenli Önyükleme, UEFI başlatma tamamlandıktan hemen sonra Microsoft imzalı bir önyükleme yükleyicisi gerektirerek rootkit'lere karşı koruma sağlar. Güvenilir Platform Modülü (TPM) kanıtlaması kullanıyorsanız, VBS'nin Güvenli Önyükleme gerektirecek şekilde yapılandırılıp yapılandırılmadığına bakılmaksızın Güvenli Önyükleme etkinleştirmesi ölçülür ve uygulanır.
  • SQL Server Always Encrypted için DMA Protection önerilir ancak gerekli değildir. DMA koruması, VBS ve enclave belleğini doğrudan bellek erişim saldırılarından korumak için bir IOMMU kullanır. Üretim ortamında her zaman DMA korumasına sahip bilgisayarları kullanmanız gerekir. Geliştirme/test ortamında DMA koruması gereksinimini kaldırmak sorun değildir. SQL Server örneği sanallaştırılmışsa, büyük olasılıkla kullanılabilir DMA korumasına sahip olmazsınız ve VBS'nin çalışması gereksinimini kaldırmanız gerekir. VM'de çalışırken azaltılmış güvenlik güvenceleri hakkında bilgi için güven modeli gözden geçirin.

VBS gerekli güvenlik özelliklerini düşürmeden önce, UEFI veya BIOS'ta eksik platform gereksinimlerini etkinleştirmenin bir yolu olup olmadığını (örneğin, Güvenli Önyükleme, Intel VT-d veya AMD IOV'yi etkinleştirme) onaylamak için OEM'inize veya bulut hizmeti sağlayıcınıza danışın.

VBS için gerekli platform güvenlik özelliklerini değiştirmek için yükseltilmiş bir PowerShell konsolunda aşağıdaki komutu çalıştırın:

# Value 0 = No security features required
# Value 1 = Only Secure Boot is required
# Value 2 = Only DMA protection is required (default configuration)
# Value 3 = Both Secure Boot and DMA protection are required
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Name RequirePlatformSecurityFeatures -Value 0

Kayıt defterini değiştirdikten sonra SQL Server bilgisayarını yeniden başlatın ve VBS'nin yeniden çalışıp çalışmadığını denetleyin.

Bilgisayar şirketiniz tarafından yönetiliyorsa, Grup İlkesi veya Microsoft Endpoint Manager yeniden başlatıldıktan sonra bu kayıt defteri anahtarlarına yaptığınız değişiklikleri geçersiz kılabilir. VBS yapılandırmanızı yöneten ilkeleri dağıtıp dağıtmadıklarını görmek için BT yardım masanıza başvurun.

3. Adım: Kanıtlama URL'sini yapılandırma

Not

Bu adım SQL Server bilgisayar yöneticisi tarafından gerçekleştirilmelidir.

Ardından, SQL Server bilgisayarını HGS yöneticisinden aldığınız HGS kanıtlama hizmetinin URL'si ile yapılandıracaksınız.

Yükseltilmiş bir PowerShell konsolunda, kanıtlama URL'sini yapılandırmak için aşağıdaki komutu güncelleştirin ve çalıştırın.

  • hgs.bastion.local HGS küme adıyla değiştirin
  • Küme adını almak için herhangi bir HGS bilgisayarında Get-HgsServer çalıştırabilirsiniz
  • Kanıtlama URL'si her zaman /Attestation ile bitmelidir
  • SQL Server, HGS'nin anahtar koruma özelliklerinden yararlanmaz, bu yüzden http://localhost'dan -KeyProtectionServerUrl'e kadar gibi sahte URL'ler sağlayın.
Set-HgsClientConfiguration -AttestationServerUrl "https://hgs.bastion.local/Attestation" -KeyProtectionServerUrl "http://localhost"

Bu makineyi daha önce HGS'ye kaydettirmezseniz, komut bir kanıtlama hatası bildirir. Bu sonuç normaldir.

Cmdlet çıkışındaki AttestationMode alanı, HGS'nin hangi kanıtlama modunu kullandığını gösterir.

Bilgisayarı TPM moduna kaydetmek için Adım 4A veya bilgisayarı konak anahtar moduna kaydetmek için Adım 4B.

4A. Adım: Bilgisayarı TPM moduna kaydetme

Not

Bu adım, SQL Server bilgisayar yöneticisi ve HGS yöneticisi tarafından birlikte gerçekleştirilir. Ayrıntılar için aşağıdaki notlara bakın.

Hazırlamak

Not

Bu eylem SQL Server bilgisayar yöneticisi tarafından gerçekleştirilmelidir.

Bu adımda, bilgisayar TPM durumu hakkında bilgi toplar ve HGS'ye kaydedersiniz.

HGS kanıtlama hizmeti ana bilgisayar anahtarı modunu kullanacak şekilde yapılandırılmışsa aksi takdirde Adım 4B'e atlayın.

TPM ölçümlerini toplamaya başlamadan önce, SQL Server bilgisayarının bilinen iyi yapılandırması üzerinde çalıştığınızdan emin olun. Bilgisayarda gerekli tüm donanımların yüklü olması ve en son üretici yazılımı ve yazılım güncelleştirmelerinin uygulanmış olması gerekir. HGS, bilgisayarları doğrularken bu temele göre ölçer, bu nedenle TPM ölçümlerini toplarken mümkün olan en güvenli ve hedeflenen durumda olmak önemlidir.

TPM kanıtlaması için toplanan üç veri dosyası vardır ve bunların bazıları aynı şekilde yapılandırılmış bilgisayarlara sahipseniz yeniden kullanılabilir.

Kanıtlama yapıtı Ölçüleri Benzersizlik
Platform tanımlayıcısı Bilgisayarın TPM'sindeki genel onay anahtarı ve TPM üreticisinin onay anahtarı sertifikası. Her bilgisayar için 1
TPM temeli TPM'deki platform kontrol kayıtları (PCR'lar), önyükleme işlemi sırasında yüklenen üretici yazılımı ve işletim sistemi yapılandırmasını ölçer. Örnekler arasında Güvenli Önyükleme durumu ve kilitlenme dökümlerinin şifrelenip şifrelenmediği vardır. Benzersiz bilgisayar yapılandırması başına bir temel (aynı donanım ve yazılım aynı temeli kullanabilir)
Kod bütünlüğü ilkesi Bilgisayarları korumak için güvendiğiniz Windows Defender Uygulama Denetimi ilkesi Bilgisayarlara dağıtılan her benzersiz CI ilkesi başına bir.

Karma donanım ve yazılım filosunu desteklemek için HGS'de her kanıtlama yapıtından birden fazlasını yapılandırabilirsiniz. HGS, yalnızca bir bilgisayarın her ilke kategorisinden bir ilkeyle uyum sağladığını doğrulamasını gerektirir. Örneğin, HGS'de kayıtlı üç TPM temeli varsa, bilgisayar ölçümleri ilke gereksinimini karşılamak için bu temellerden herhangi biriyle eşleşebilir.

Kod bütünlüğü ilkesi yapılandırma

Not

Aşağıdaki adımlar SQL Server bilgisayar yöneticisi tarafından gerçekleştirilmelidir.

HGS, TPM modunda test eden her bilgisayarda bir Windows Defender Uygulama Denetimi (WDAC) ilkesi uygulanmasını gerektirir. WDAC kod bütünlüğü ilkeleri, güvenilen yayımcılar ve dosya karmaları listesinde kod yürütmeye çalışan her işlemi denetleyerek hangi yazılımların bilgisayarda çalışabileceğini kısıtlar. SQL Server kullanım örneği için kuşatmalar sanallaştırma tabanlı güvenlikle korunur ve konak işletim sisteminden değiştirilemez, bu nedenle WDAC ilkesinin katılığı şifrelenmiş sorguların güvenliğini etkilemez. Bu nedenle, sistemde ek kısıtlamalar getirmeden kanıtlama gereksinimini karşılamak için SQL Server bilgisayarlarına bir denetim modu ilkesi dağıtmanız önerilir.

Eğer bilgisayarlarda işletim sistemi yapılandırmasını sağlamlaştırmak için zaten özel bir WDAC kod bütünlüğü ilkesi kullanıyorsanız, TPM doğrulama bilgilerini toplamakısmına geçebilirsiniz.

  1. Her Windows Server 2019, Windows 10 sürüm 1809 ve sonraki işletim sistemlerinde önceden oluşturulmuş örnek ilkeler vardır. AllowAll ilkesi, herhangi bir yazılımın bilgisayarda kısıtlama olmadan çalışmasına izin verir. İlkeyi kullanabilmek için, işletim sistemi ve HGS tarafından anlaşılan ikili bir forma dönüştürün. Yükseltilmiş bir PowerShell konsolunda, AllowAll ilkesini derlemek için aşağıdaki komutları çalıştırın:

    # We are changing the policy to disable enforcement and user mode code protection before compiling
$temppolicy = "$HOME\Desktop\allowall_edited.xml"
Copy-Item -Path "$env:SystemRoot\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml" -Destination $temppolicy
Set-RuleOption -FilePath $temppolicy -Option 0 -Delete
Set-RuleOption -FilePath $temppolicy -Option 3

ConvertFrom-CIPolicy -XmlFilePath $temppolicy -BinaryFilePath "$HOME\Desktop\allowall_cipolicy.bin"

  2. dosyasını allowall_cipolicy.binkullanarak SQL Server bilgisayarlarına dağıtmak için Windows Defender Uygulama Denetimi dağıtım kılavuzu yönergeleri izleyin. Çalışma grubu bilgisayarları için, Yerel Grup İlkesi Düzenleyicisi'ni (gpedit.msc) kullanarak aynı işlemi izleyin.

  3. Yeni kod bütünlüğü ilkesini yapılandırmak için SQL Server bilgisayarlarında gpupdate /force çalıştırın, ardından ilkeyi uygulamak için bilgisayarları yeniden başlatın.

TPM kanıtlama bilgilerini toplama

Not

Aşağıdaki adımlar SQL Server bilgisayar yöneticisi tarafından gerçekleştirilmelidir.

HGS ile test edilecek her SQL Server bilgisayarı için aşağıdaki adımları yineleyin:

  1. Bilgisayar bilinen iyi durumda olduğunda, TPM kanıtlama bilgilerini toplamak için PowerShell'de aşağıdaki komutları çalıştırın:

    # Collects the TPM EKpub and EKcert
$name = $env:computername
$path = "$HOME\Desktop"
(Get-PlatformIdentifier -Name $name).Save("$path\$name-EK.xml")

# Collects the TPM baseline (current PCR values)
Get-HgsAttestationBaselinePolicy -Path "$path\$name.tcglog" -SkipValidation

# Collects the applied CI policy, if one exists
Copy-Item -Path "$env:SystemRoot\System32\CodeIntegrity\SIPolicy.p7b" -Destination "$path\$name-CIpolicy.bin"

  2. Üç kanıtlama dosyasını HGS yöneticisiyle paylaşın.

SQL Server bilgisayarını HGS'ye kaydetme

Not

Aşağıdaki adımlar HGS yöneticisi tarafından gerçekleştirilmelidir.

HGS ile test edilecek her SQL Server bilgisayarı için aşağıdaki adımları yineleyin:

  1. SQL Server bilgisayar yöneticisinden aldığınız kanıtlama dosyalarını HGS sunucusuna kopyalayın.

  2. SQL Server bilgisayarını kaydetmek için HGS sunucusunda, yükseltilmiş bir PowerShell konsolunda aşağıdaki komutları çalıştırın:

    # TIP: REMEMBER TO CHANGE THE FILENAMES
# Registers the unique TPM with HGS (required for every computer)
Add-HgsAttestationTpmHost -Path "C:\temp\SQL01-EK.xml"

# Registers the TPM baseline (required ONCE for each unique hardware and software configuration)
Add-HgsAttestationTpmPolicy -Name "MyHWSoftwareConfig" -Path "C:\temp\SQL01.tcglog"

# Registers the CI policy (required ONCE for each unique CI policy)
Add-HgsAttestationCiPolicy -Name "AllowAll" -Path "C:\temp\SQL01-CIpolicy.bin"

    Bahşiş

    Benzersiz TPM tanımlayıcısını kaydetmeye çalışırken bir hatayla karşılaşırsanız, kullandığınız HGS bilgisayarına TPM ara ve kök sertifikalarını içeri aktardığınızdan emin olun.

Platform tanımlayıcısı, TPM temeli ve kod bütünlüğü ilkesine ek olarak, HGS tarafından yapılandırılan ve zorunlu kılınan yerleşik ilkeler de vardır ve bunu değiştirmeniz gerekebilir. Bu yerleşik ilkeler, sunucudan topladığınız TPM temelinden ölçülür ve bilgisayarı korumak için etkinleştirilmesi gereken çeşitli güvenlik ayarlarını temsil eder. DMA saldırılarına (örneğin, bir VM) karşı korumak için IOMMU'ya sahip olmayan bilgisayarlar varsa, IOMMU ilkesini devre dışı bırakmanız gerekir.

IOMMU gereksinimini devre dışı bırakmak için HGS sunucusunda aşağıdaki komutu çalıştırın:

Disable-HgsAttestationPolicy Hgs_IommuEnabled

Not

IOMMU ilkesini devre dışı bırakırsanız, HGS ile test eden herhangi bir bilgisayar için IOMMU'lar gerekli olmaz. Yalnızca tek bir bilgisayar için IOMMU ilkesini devre dışı bırakmak mümkün değildir.

Kayıtlı TPM konaklarının ve ilkelerinin listesini aşağıdaki PowerShell komutlarıyla gözden geçirebilirsiniz:

Get-HgsAttestationTpmHost
Get-HgsAttestationTpmPolicy

4B. Adım: Bilgisayarı konak anahtar moduna kaydetme

Not

Bu adım, SQL Server bilgisayar yöneticisi ve HGS yöneticisi tarafından birlikte gerçekleştirilir. Ayrıntılar için aşağıdaki notlara bakın.

Bu adım, konak için benzersiz bir anahtar oluşturma ve HGS'ye kaydetme işleminde size yol gösterir. HGS kanıtlama hizmeti TPM modunu kullanacak şekilde yapılandırılmışsa, bunun yerine 4A adımındaki yönergeleri izleyin.

SQL Server bilgisayarı için anahtar oluşturma

Not

Bu bölüm, SQL Server bilgisayar yöneticisi tarafından birlikte gerçekleştirilmelidir.

Konak anahtarı doğrulama, SQL Server bilgisayarında asimetrik bir anahtar çifti oluşturarak ve HGS'ye bu anahtarın genel anahtarını sağlayarak çalışır.

HGS ile test edilecek her SQL Server bilgisayarı için aşağıdaki adımları yineleyin:

  1. Anahtar çiftini oluşturmak için yükseltilmiş bir PowerShell konsolunda aşağıdaki komutu çalıştırın:

    Set-HgsClientHostKey
Get-HgsClientHostKey -Path "$HOME\Desktop\$env:computername-key.cer"

    Zaten bir konak anahtarı oluşturduysanız ve yeni bir anahtar çifti oluşturmak istiyorsanız, bunun yerine aşağıdaki komutları kullanın:

    Remove-HgsClientHostKey
Set-HgsClientHostKey
Get-HgsClientHostKey -Path "$HOME\Desktop\$env:computername-key.cer"

  2. Sertifika dosyasını HGS yöneticisiyle paylaşın.

SQL Server bilgisayarını HGS'ye kaydetme

Not

Aşağıdaki adımlar HGS yöneticisi tarafından gerçekleştirilmelidir.

HGS ile test edilecek her SQL Server bilgisayarı için aşağıdaki adımları yineleyin:

  1. SQL Server bilgisayar yöneticisinden aldığınız sertifika dosyasını bir HGS sunucusuna kopyalayın.

  2. SQL Server bilgisayarını kaydetmek için yükseltilmiş bir PowerShell konsolunda aşağıdaki komutu çalıştırın:

    Add-HgsAttestationHostKey -Name "YourComputerName" -Path "C:\temp\yourcomputername.cer"

5. Adım: Hostun başarıyla kanıtlayabileceğini onaylayın

Not

Bu adım SQL Server bilgisayar yöneticisi tarafından gerçekleştirilmelidir.

SQL Server bilgisayarını HGS'ye kaydettikten sonra (TPM modu içinAdım 4A, ana bilgisayar anahtarı modu için Adım 4B), başarılı bir şekilde doğrulama yapabildiğini doğrulamanız gerekir.

HGS kanıtlama istemcisinin yapılandırmasını denetleyebilirsiniz ve Get-HgsClientConfigurationile istediğiniz zaman bir kanıtlama girişimi gerçekleştirebilirsiniz.

Komutun çıkışı aşağıdakine benzer olacaktır:

PS C:\> Get-HgsClientConfiguration


IsHostGuarded                  : True
Mode                           : HostGuardianService
KeyProtectionServerUrl         : http://localhost
AttestationServerUrl           : http://hgs.bastion.local/Attestation
AttestationOperationMode       : HostKey
AttestationStatus              : Passed
AttestationSubstatus           : NoInformation
FallbackKeyProtectionServerUrl :
FallbackAttestationServerUrl   :
IsFallbackInUse                : False

Çıktıdaki en önemli iki alan, bilgisayarın kanıtlamayı geçip geçmediğini bildiren AttestationStatusve AttestationSubStatus'dır. Bu, bilgisayarın kanıtlama başarısız olduğunda hangi ilkelerin başarısız olduğunu açıklar.

AttestationStatus'da ortaya çıkabilecek en yaygın değerler aşağıda açıklanmıştır:

AttestationStatus Açıklama
Süresi dolmuş Sunucu daha önce doğrulamayı geçti, ancak verilen sağlık sertifikasının süresi doldu. Ana bilgisayar ve HGS zamanının senkronize olduğundan emin olun.
InsecureHostConfiguration Bilgisayar, HGS sunucusunda yapılandırılan bir veya daha fazla kanıtlama ilkesine uymadı. Daha fazla bilgi için bkz. AttestationSubStatus.
Yapılandırılmadı Bilgisayar bir kanıtlama URL'si ile yapılandırılmamış. Kanıtlama URL'sini yapılandırma
Geçti Bilgisayar doğrulamayı geçti ve SQL Server güvenli bölgelerini çalıştırmak için güvenilir.
TransientError Kanıtlama girişimi geçici bir hata nedeniyle başarısız oldu. Bu hata genellikle ağ üzerinden HGS ile iletişim kurarken bir sorun olduğu anlamına gelir. Ağ bağlantısını kontrol edin ve bilgisayarın HGS hizmet adını çözümleyip yönlendirebildiğinden emin olun.
TpmError Bilgisayarın TPM cihazı kanıtlama girişimi sırasında bir hata bildirdi. Daha fazla bilgi için TPM günlüklerine bakın. TPM'yi temizlemek sorunu çözebilir, ancak TPM'yi temizlemeden önce BitLocker'ı ve TPM'yi kullanan diğer hizmetleri askıya almaya dikkat edin.
UnauthorizedHost Konak anahtarı HGS tarafından bilinmiyor. Bilgisayarı HGS'ye kaydetmek için Adım 4B yönergeleri izleyin.

AttestationStatus InsecureHostConfigurationgösterdiğinde, AttestationSubStatus alanı başarısız olan bir veya daha fazla ilke adıyla doldurulur. Aşağıdaki tabloda en yaygın değerler ve hataların nasıl düzeltilmeye başladığı açıklanmaktadır.

AttestationSubStatus Ne anlama gelir ve ne yapmalı?
Kod Bütünlüğü Politikası Bilgisayardaki kod bütünlüğü ilkesi HGS veya ile kayıtlı değil ve bilgisayar şu anda kod bütünlüğü ilkesini kullanmıyor. Yönergeler için bkz. Kod bütünlüğü ilkesi yapılandırma.
HatalarDökümüAktif Bilgisayar çökme dökümlerine izin verecek şekilde yapılandırılmış, ancak Hgs_DumpsEnabled ilkesi dökümleri yasaklıyor. Devam etmek için bu bilgisayardaki bellek dökümlerini devre dışı bırakın veya Hgs_DumpsEnabled politikasını devre dışı bırakın.
FullBoot Bilgisayar, uyku durumuna geçişten veya hazırda bekleme modundan çıkış sonrası devam etti ve TPM ölçümlerinde değişikliklerle sonuçlandı. Temiz TPM ölçümleri oluşturmak için bilgisayarı yeniden başlatın.
Hazırda Bekletme Etkin Bilgisayar, şifrelenmemiş hazırda bekletme dosyaları kullanarak hazırda bekleme moduna izin verecek şekilde yapılandırılmıştır. Bu sorunu çözmek için bilgisayarda hazırda beklemeyi devre dışı bırakın.
Hypervisor Tarafından Zorlanan Kod Bütünlüğü Politikası Bilgisayar bir kod bütünlüğü ilkesi kullanacak şekilde yapılandırılmamış. Sistem > Device Guard > Grup İlkesi veya Yerel Grup İlkesi > Bilgisayar Yapılandırması > Yönetim Şablonları'nı denetleyin > Sanallaştırma Tabanlı Güvenlik > Sanallaştırma Tabanlı Kod Bütünlüğü Koruması'nı açın. Bu ilke öğesi "UEFI kilidi olmadan etkinleştirildi" olmalıdır.
Iommu Bu bilgisayarda etkinleştirilmiş bir IOMMU cihazı yok. Fiziksel bir bilgisayarsa UEFI yapılandırma menüsünde IOMMU'nun etkinleştirilmesini sağlayın. Sanal makineyse ve IOMMU kullanılamıyorsa HGS sunucusunda Disable-HgsAttestationPolicy Hgs_IommuEnabled çalıştırın.
SecureBoot Bu bilgisayarda Güvenli Önyükleme etkin değil. Bu hatayı çözmek için UEFI yapılandırma menüsünde Güvenli Önyükleme'yi etkinleştirin.
VirtualSecureMode Sanallaştırma tabanlı güvenlik bu bilgisayarda çalışmıyor. Adım 2: VBS'ninbilgisayarda çalıştığını doğrulama sayfasındaki yönergeleri izleyin.

Sonraki adımlar

  • Last updated on