Güvenli çekirdek sunucusunu yapılandırma

Güvenli çekirdek, yerleşik donanım, üretici yazılımı, sürücü ve işletim sistemi güvenlik özellikleri sunan bir özellik koleksiyonudur. Bu makalede, Windows Admin Center, Windows Server Masaüstü Deneyimi ve Grup İlkesi kullanarak Güvenli çekirdek sunucunun nasıl yapılandırabileceğiniz gösterilmektedir.

Güvenli çekirdek sunucu, kritik veriler ve uygulamalar için güvenli bir platform sunmak üzere tasarlanmıştır. Daha fazla bilgi için bkz. Secured-core sunucusu nedir?

Prerequisites

Güvenli çekirdek sunucusunu yapılandırabilmeniz için önce BIOS'ta aşağıdaki güvenlik bileşenlerinin yüklü ve etkin olması gerekir:

• Güvenli Önyükleme.
• Güvenilen Platform Modülü (TPM) 2.0.
• Sistem üretici yazılımı, ön yükleme sırasında DMA koruma gereksinimlerini karşılamalı ve Çekirdek DMA Koruması'na katılmak ve etkinleştirmek için ACPI tablolarında uygun bayrakları ayarlamalıdır. Çekirdek DMA Koruması hakkında daha fazla bilgi edinmek için bkz. OEM'ler için Çekirdek DMA Koruması (Bellek Erişim Koruması).
• BIOS'ta aşağıdakiler için desteği etkinleştirilmiş bir işlemci:
  • Sanallaştırma uzantıları.
  • Giriş/Çıkış Bellek Yönetim Birimi (IOMMU).
  • Ölçüm için Dinamik Güven Kökü (DRTM).
  • Amd tabanlı sistemler için Saydam Güvenli Bellek Şifrelemesi de gereklidir.

Important

BIOS'taki güvenlik özelliklerinin her birinin etkinleştirilmesi, donanım satıcınıza göre farklılık gösterebilir. Donanım üreticinizin Güvenli çekirdek sunucu etkinleştirme kılavuzunu denetlediğinizden emin olun.

Secured-core sunucu sertifikalı donanımları Windows Server Kataloğu'nda ve Azure Yerel sunucularını Azure Yerel Kataloğu'te bulabilirsiniz.

Güvenlik özelliklerini etkinleştirme

Güvenli çekirdek sunucusunu yapılandırmak için belirli Windows Server güvenlik özelliklerini etkinleştirmeniz gerekir, ilgili yöntemi seçin ve adımları izleyin.

GUI

İşte, kullanıcı arabirimini kullanarak güvenli çekirdek sunucusunu etkinleştirmenin yolu.

1. Windows masaüstünden Başlat menüsünü açın, Windows Yönetim Araçları'nı seçin, Bilgisayar Yönetimi'ni açın.
2. Bilgisayar yönetimi'nde Cihaz Yöneticisi'ni seçin, gerekirse tüm cihaz hatalarını çözün.
   1. AMD tabanlı sistemler için devam etmeden önce DRTM Önyükleme Sürücüsü cihazının mevcut olduğunu onaylayın
3. Windows masaüstünde Başlat menüsünü açın ve Windows Güvenliği'ni seçin.
4. Cihaz güvenliği Temel yalıtım ayrıntıları'nı seçin, ardından Bellek Bütünlüğü'ni etkinleştirin ve Üretici Yazılımı Koruması. Önce Üretici Yazılımı Koruması'nı etkinleştirip sunucunuzu yeniden başlatana kadar Bellek Bütünlüğünü etkinleştiremeyebilirsiniz.
5. İstendiğinde sunucunuzu yeniden başlatın.

Sunucunuz yeniden başlatıldıktan sonra, sunucunuz Güvenli çekirdek sunucusu için etkinleştirilir.

Windows Yönetim Merkezi

Windows Yönetim Merkezi'ni kullanarak Güvenli çekirdek sunucusunu etkinleştirme burada anlatlenmiştir.

1. Windows Yönetim Merkezi portalınızda oturum açın.
2. Bağlanmak istediğiniz sunucuyu seçin.
3. Sol taraftaki paneli kullanarak Güvenlik'i ve ardından Güvenli çekirdek sekmesini seçin.
4. Yapılandırılmadı durumuyla Güvenlik Özellikleri'ni denetleyin, ardından Etkinleştir'i seçin.
5. Bildirim aldığınızda, değişiklikleri kalıcı hale getirmek için Sistem yeniden başlatmayı zamanla seçeneğini seçin.
6. İş yükünüz için uygun bir zamanda Hemen yeniden başlat veya Yeniden başlatma zamanla'yı seçin.

Sunucunuz yeniden başlatıldıktan sonra, sunucunuz Güvenli çekirdek sunucusu için etkinleştirilir.

Grup İlkesi

Grup İlkesi'ni kullanarak etki alanı üyeleri için Güvenli Çekirdek Sunucusu'nu etkinleştirme burada anlatılmıştır.

1. Grup İlkesi Yönetim Konsolu'nu açın, sunucunuza uygulanan bir ilkeyi oluşturun veya düzenleyin.

2. Konsol ağacında Bilgisayar Yapılandırması > Yönetim Şablonları > Sistem > Device Guardöğesini seçin.

3. Ayar için Sanallaştırma Tabanlı Güvenliği Aç'ı sağ tıklayın ve Düzenleöğesini seçin.

4. Etkin'i seçin, açılan menülerden aşağıdakileri seçin:

   1. Platform Güvenlik Düzeyi için Güvenli Önyükleme ve DMA Koruması'nı seçin.
   2. Kod Bütünlüğünün Sanallaştırmaya Dayalı Koruması için ya "Kilit olmadan Etkin" ya da "UEFI Kilidiyle Etkin" seçin.
   3. Güvenli Başlatma Yapılandırması için Etkin'i seçin.

   Caution

   Kod Bütünlüğünün Sanallaştırma Tabanlı Korunması için UEFI kilit ile etkin kullanırsanız uzaktan devre dışı bırakılamaz. Özelliği devre dışı bırakmak için, UEFI'de kalıcı yapılandırmayı temizlemek için Grup İlkesi'ni Devre Dışı olarak ayarlamanız ve fiziksel olarak mevcut bir kullanıcıyla birlikte her bilgisayardan güvenlik işlevselliğini kaldırmanız gerekir.

5. Yapılandırmayı tamamlamak için Tamam'ı seçin.

6. Grup İlkesi'ni uygulamak için sunucunuzu yeniden başlatın.

Sunucunuz yeniden başlatıldıktan sonra, sunucunuz Güvenli çekirdek sunucusu için etkinleştirilir.

Güvenli çekirdek sunucu yapılandırmasını doğrulama

Güvenli çekirdek sunucusunu yapılandırdığınıza göre yapılandırmanızı doğrulamak için ilgili yöntemi seçin.

GUI

Güvenli çekirdek sunucunuzun kullanıcı arabirimi kullanılarak yapılandırıldığını şu şekilde doğrulayabilirsiniz.

1. Windows masaüstünden Başlat menüsünü açın, Sistem Bilgileri'ni açmak için yazın msinfo32.exe . Sistem Özeti sayfasından şunları onaylayın:

   1. Güvenli Önyükleme Durumu ve Çekirdek DMA Koruması Açık.

   2. Sanallaştırma tabanlı güvenlik Çalışıyor'tır.

   3. Sanallaştırma tabanlı güvenlik Hizmetleri Çalışma, Hipervizör tarafından zorlanan Kod Bütünlüğü ve Güvenli Başlatmagösterir.

      

Windows Yönetim Merkezi

Güvenli çekirdek sunucunuzun Windows Yönetim Merkezi kullanılarak yapılandırıldığını şu şekilde doğrulayabilirsiniz.

1. Windows Yönetim Merkezi portalınızda oturum açın.

2. Bağlanmak istediğiniz sunucuyu seçin.

3. Sol taraftaki paneli kullanarak Güvenlik'i ve ardından Güvenli çekirdek sekmesini seçin.

4. Tüm Güvenlik Özelliklerinin Yapılandırıldı durumunu denetleyin.

   

Grup İlkesi

Grup İlkesi'nin sunucunuza uygulandığını doğrulamak için yükseltilmiş bir komut isteminden aşağıdaki komutu çalıştırın.

gpresult /SCOPE COMPUTER /R /V

Çıktıda, Device Guard ayarlarının Yönetim Şablonları bölümünde uygulandığını onaylayın. Aşağıdaki örnekte ayarlar uygulandığında çıkış gösterilmektedir.

        Administrative Templates
        ------------------------
            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
                Value:       1, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
                Value:       2, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
                Value:       1, 0, 0, 0
                State:       Enabled

Aşağıdaki adımları izleyerek Güvenli çekirdek sunucunuzun yapılandırıldığını doğrulayın.

1. Windows masaüstünden Başlat menüsünü açın, Sistem Bilgileri'ni açmak için yazın msinfo32.exe . Sistem Özeti sayfasından şunları onaylayın:

   1. Güvenli Önyükleme Durumu ve Çekirdek DMA Koruması Açık.

   2. Sanallaştırma tabanlı güvenlik Çalışıyor'tır.

   3. Sanallaştırma tabanlı güvenlik Hizmetleri Çalışma, Hipervizör tarafından zorlanan Kod Bütünlüğü ve Güvenli Başlatmagösterir.

      

Sonraki Adımlar

Güvenli çekirdek sunucusunu yapılandırdığınıza göre, hakkında daha fazla bilgi edinmek için bazı kaynaklar aşağıdadır:

• sanallaştırma tabanlı güvenlik (VBS)
• Bellek bütünlüğü ve VBS etkinleştirme
• System Guard Güvenli Başlatma