安全核心是一個提供內建硬體、韌體、驅動程式和作業系統安全性功能的功能集合。 本文說明如何使用 Windows Admin Center、Windows Server 桌面體驗和群組原則來設定安全核心伺服器。
安全核心伺服器主要是為重要資料和應用程式提供安全的平台。 如需詳細資訊,請參閱什麼是安全核心伺服器?
必要條件
您必須先在 BIOS 中安裝並啟用下列安全性元件,才能設定安全核心伺服器:
- 安全開機。
- 信賴平台模組 (TPM) 2.0。
- 系統韌體必須符合預先啟動 DMA 保護需求,並在 ACPI 資料表中設定適當的旗標,以選擇加入並啟用核心 DMA 保護。 若要深入了解核心 DMA 保護,請參閱 OEM 的核心 DMA 保護 (記憶體存取保護)。
- BIOS 中已啟用支援的處理器:
- 虛擬化延伸模組。
- 輸入/輸出記憶體管理單元 (IOMMU)。
- 適用於測量的動態信任根 (DRTM)。
- AMD 型系統也需要透明安全記憶體加密。
重要
啟用 BIOS 中的每個安全性功能可能會根據您的硬體廠商而有所不同。 務必檢查硬體製造商的安全核心伺服器啟用指南。
您可以從 Windows Server Catalog 找到經過安全核心伺服器認證的硬體,在 Azure Stack HCI 目錄中則可以找到 Azure Stack HCI 伺服器。
啟用安全性功能
若要設定安全核心伺服器,您需要啟用特定的 Windows Server 安全性功能,請選取相關方法並遵循步驟。
以下說明如何使用使用者介面啟用安全核心伺服器。
- 從 Windows 桌面中,開啟 [開始] 功能表,選取 [Windows 系統管理工具],開啟 [電腦管理]。
- 在 [電腦管理] 中,選取 [裝置管理員],視需要解決任何裝置錯誤。
- 針對 AMD 型系統,請先確認 DRTM 開機驅動程式裝置存在,再繼續執行
- 從 Windows 桌面,開啟 [開始] 功能表,選取 [Windows 安全性]。
- 選取 [裝置安全性] > [核心隔離詳細資料],然後啟用 [記憶體完整性]和 [韌體保護]。 在先啟用韌體保護並重新啟動伺服器之前,您可能無法啟用記憶體完整性。
- 出現提示時重新啟動您的伺服器。
一旦重新啟動伺服器,您的伺服器就會針對安全核心伺服器啟用。
以下說明如何使用 Windows Admin Center 啟用安全核心伺服器。
- 登入 Windows Admin Center 入口網站。
- 選取您要連線至的伺服器。
- 使用左側面板選取 [安全性],然後選取 [安全核心] 索引標籤。
- 檢查 [安全性功能] 狀態為 [未設定],然後選取 [啟用]。
- 收到通知時,請選取 [排程系統重新啟動] 以保存變更。
- 選取 [立即重新啟動] 或在適合您工作負載的時間 [排程重新啟動]。
一旦重新啟動伺服器,您的伺服器就會針對安全核心伺服器啟用。
以下說明如何使用群組原則為網域成員啟用安全核心伺服器。
開啟 [群組原則管理主控台],建立或編輯套用至您伺服器的原則。
在主控台樹狀目錄中,選取 [電腦設定] > [系統管理範本] > [系統] > [Device Guard]。
針對設定,以滑鼠右鍵按一下 [開啟虛擬化型安全性] ,然後選取 [編輯]。
選取 [已啟用],然後從下拉式功能表中選取下列項目:
- 針對 [平臺安全性層級] 選取 [安全開機和 DMA 保護]。
- 選取 [不鎖定即啟用] 或 [使用 UEFI 鎖定啟用],以進行程式碼完整性的虛擬化型保護。
- 針對 [安全啟動組態] 選取 [已啟用]。
警告
如果您使用 [使用 UEFI 鎖定啟用] 進行程式碼完整性的虛擬化型保護,則無法從遠端停用。 若要停用此功能,您必須將群組原則設定為 [已停用] ,以及從有使用者實際存在的每部電腦移除安全性功能,以便清除 UEFI 中保存的組態。
選取 [確定] 以完成設定。
重新啟動您的伺服器以套用群組原則。
一旦重新啟動伺服器,您的伺服器就會針對安全核心伺服器啟用。
確認安全核心伺服器組態
既然您已設定安全核心伺服器,請選取相關方法來驗證您的組態。
以下說明如何確認您的安全核心伺服器是使用使用者介面設定的。
- 從 Windows 桌面開啟 [開始] 功能表 ,輸入
msinfo32.exe 以開啟 [系統資訊]。 從 [系統摘要] 頁面確認:
[安全開機狀態] 和 [核心 DMA 保護] 為開啟狀態。
虛擬化型安全性正在執行中。
虛擬化型安全性服務 執行中顯示 Hypervisor 強制執行的程式碼完整性和安全啟動。
以下說明如何確認您的安全核心伺服器是使用 Windows Admin Center 設定的。
登入 Windows Admin Center 入口網站。
選取您要連線至的伺服器。
使用左側面板選取 [安全性],然後選取 [安全核心] 索引標籤。
檢查所有安全性功能的狀態均為 [已設定]。
若要確認群組原則已套用至您的伺服器,請從提升權限的命令提示字元執行下列命令。
gpresult /SCOPE COMPUTER /R /V
在輸出中,確認 [系統管理範本] 區段下已套用 [Device Guard] 設定。 下列範例顯示套用設定時的輸出。
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
請遵循下列步驟,確認您的安全核心伺服器已設定。
- 從 Windows 桌面開啟 [開始] 功能表 ,輸入
msinfo32.exe 以開啟 [系統資訊]。 從 [系統摘要] 頁面確認:
[安全開機狀態] 和 [核心 DMA 保護] 為開啟狀態。
虛擬化型安全性正在執行中。
虛擬化型安全性服務 執行中顯示 Hypervisor 強制執行的程式碼完整性和安全啟動。
下一步
現在您已設定安全核心伺服器,以下的一些資源可供深入了解:
