为 Windows Server 配置安全核心服务器 |
您所在的位置:网站首页 › uefi锁定 › 为 Windows Server 配置安全核心服务器 |
|
配置安全核心服务器
项目
01/09/2024
安全核心是提供内置硬件、固件、驱动程序和操作系统安全功能的功能集合。 本文介绍如何使用 Windows Admin Center、Windows Server 桌面体验和组策略配置安全核心服务器。 安全核心服务器旨在为关键数据和应用程序提供安全平台。 有关详细信息,请参阅什么是安全核心服务器? 先决条件在配置安全核心服务器之前,必须在 BIOS 中安装和启用以下安全组件: 安全启动。 受信任的平台模块 (TPM) 2.0。 系统固件必须满足预启动 DMA 保护要求,并在 ACPI 表中设置适当的标志,以选择加入并启用内核 DMA 保护。 若要详细了解内核 DMA 保护,请参阅适用于 OEM 的内核 DMA 保护(内存访问保护)。 在 BIOS 中启用了以下支持的处理器: 虚拟化扩展。 输入/输出内存管理单元 (IOMMU)。 用于测量的动态信任根 (DRTM)。 基于 AMD 的系统也需要透明安全内存加密。重要 在 BIOS 中启用每个安全功能可能会因硬件供应商而异。 务必检查硬件制造商的安全核心服务器启用指南。 可以在 Windows Server Catalog 中找到已针对安全核心服务器认证的硬件,并在 Azure Stack HCI 目录中找到已针对 Azure Stack HCI 服务器认证的硬件。 启用安全功能若要配置安全核心服务器,需要启用特定的 Windows Server 安全功能,选择相关方法并按照步骤操作。 GUI Windows 管理中心 组策略下面介绍如何使用用户界面启用安全核心服务器。 从 Windows 桌面中,打开“开始”菜单,选择“Windows 管理工具”,打开“计算机管理”。 在“计算机管理”中,选择“设备管理器”,根据需要解决任何设备错误。 对于基于 AMD 的系统,在继续操作之前,请确认 DRTM 启动驱动程序设备存在 从 Windows 桌面中,打开“开始”菜单,选择“Windows 安全”。 选择“设备安全”>“核心隔离详细信息”,然后启用“内存完整性”和“固件保护”。 你需要首先启用固件保护并重启服务器,否则可能无法启用内存完整性功能。 出现提示时,重启服务器。服务器重启后,服务器即启用了安全核心服务器。 下面介绍如何使用 Windows Admin Center 启用安全核心服务器。 登录到 Windows Admin Center 门户。 选择要连接到的服务器。 使用左侧面板选择“安全性”,然后选择“安全核心”选项卡。 选中状态为“未配置”的安全功能,然后选择“启用”。 收到通知时,选择“计划系统重启”以保留更改。 在适合工作负载的时间,选择“立即重启”或“计划重启”。服务器重启后,服务器即启用了安全核心服务器。 下面介绍如何使用组策略为域成员启用安全核心服务器。 打开“组策略管理控制台”,创建或编辑应用于服务器的策略。 在控制台树中,选择“计算机配置”>“管理模板”>“系统”>“Device Guard”。 对于设置,右键单击“打开基于虚拟化的安全性”并选择“编辑”。 选择“已启用”,从下拉菜单中选择以下选项: 对于“平台安全级别”,选择“安全启动和 DMA 保护”。 对于“基于虚拟化的代码完整性保护”,选择“已启用,无锁定”或“已启用,带 UEFI 锁定”。 对于“安全启动配置”,选择“已启用”。注意 如果对“基于虚拟化的代码完整性保护”使用“已启用,带 UEFI 锁定”,则无法远程禁用它。 若要禁用该功能,必须将组策略设置为“已禁用”,并从每台有实际存在的用户的计算机中删除安全功能,才能清除 UEFI 中保留的配置。 选择“确定”以完成配置。 重启服务器以应用组策略。 服务器重启后,服务器即启用了安全核心服务器。 验证安全核心服务器配置配置安全核心服务器后,选择相关方法以验证配置。 GUI Windows 管理中心 组策略下面介绍如何使用用户界面验证安全核心服务器已配置。 从 Windows 桌面中,打开“开始”菜单,键入 msinfo32.exe 以打开系统信息。 从“系统摘要”页中,确认:“安全启动状态”和“内核 DMA 保护”处于“打开”状态。 “基于虚拟化的安全性”处于“正在运行”状态。 正在运行的“基于虚拟化的安全服务”显示“虚拟机监控程序强制实施的代码完整性”和“安全启动”。
下面介绍如何使用 Windows Admin Center 验证安全核心服务器已配置。 登录到 Windows Admin Center 门户。 选择要连接到的服务器。 使用左侧面板选择“安全性”,然后选择“安全核心”选项卡。 检查所有安全功能的状态是否为“已配置”。
若要验证组策略已应用于服务器,请从提升的命令提示符运行以下命令。 gpresult /SCOPE COMPUTER /R /V在输出中,确认“管理模板”部分下应用 Device Guard 设置。 以下示例显示应用这些设置时的输出。 Administrative Templates ------------------------ GPO: Local Group Policy Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags Value: 3, 0, 0, 0 State: Enabled GPO: Local Group Policy Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures Value: 3, 0, 0, 0 State: Enabled GPO: Local Group Policy Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity Value: 1, 0, 0, 0 State: Enabled GPO: Local Group Policy Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity Value: 2, 0, 0, 0 State: Enabled GPO: Local Group Policy Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired Value: 0, 0, 0, 0 State: Enabled GPO: Local Group Policy Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch Value: 1, 0, 0, 0 State: Enabled按照以下步骤验证安全核心服务器已配置。 从 Windows 桌面中,打开“开始”菜单,键入 msinfo32.exe 以打开系统信息。 从“系统摘要”页中,确认:“安全启动状态”和“内核 DMA 保护”处于“打开”状态。 “基于虚拟化的安全性”处于“正在运行”状态。 正在运行的“基于虚拟化的安全服务”显示“虚拟机监控程序强制实施的代码完整性”和“安全启动”。 后续步骤 配置安全核心服务器后,下面提供了一些资源以了解有关以下内容的详细信息: 基于虚拟化的安全 (VBS) 内存完整性和 VBS 启用 System Guard 安全启动 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |