Как настроить Secured-core Server для Windows Server

Сервер Secured-Core предлагает функции безопасности для оборудования, прошивки, драйверов и ОС при работе с критически важными данными и программами. В этом руководстве мы покажем вам, как настроить сервер Secured-Core с помощью Windows Admin Center, Windows Server Desktop Experience и групповой политики.

Как включить Secured Core?

Чтобы включить Secured-core, вы можете использовать Центр администрирования Windows. Вам нужно пойти в Безопасность > Защищенное ядро и включите все функции. Чтобы узнать больше или найти альтернативные методы, ознакомьтесь с руководством, указанным ниже.

Как настроить Secured-core Server для Windows Server

Secured-core — это набор функций, включающий встроенную безопасность для оборудования, прошивки, драйверов и операционной системы. Эта защита запускается до загрузки операционной системы и продолжается во время ее работы. Серверы Secured-core созданы для того, чтобы быть безопасной платформой для важных данных и приложений.

Прежде чем приступить к настройке сервера Secured-core, нам нужно прояснить несколько моментов.

• Вам необходимо убедиться, что на вашем устройстве включена функция безопасной загрузки.
• Кроме того, для работы сервера Secure-core необходим TPM 2.0.
• Системная прошивка должна соответствовать требованиям защиты DMA перед загрузкой и устанавливать соответствующие флаги в таблицах ACPI для включения защиты DMA ядра. Для получения дополнительной информации см. Защита DMA ядра (защита доступа к памяти) для OEM-производителей.
• В BIOS необходимо включить расширение виртуализации, IOMMU и Dynamic Root of Trust for Measurement.
• Наконец, если у вас система на базе AMD, вам необходимо включить прозрачное безопасное шифрование памяти.

Если у вас все это есть, давайте настроим сервер Secured-core одним из следующих методов.

1. Использование Центра администрирования Windows
2. Использование управления компьютером
3. Использование групповой политики

Давайте поговорим о них подробнее.

1) Использование Центра администрирования Windows

Сначала нам нужно включить Secured-core server с помощью Windows Admin Center. Для этого выполните шаги, указанные ниже.

• Откройте Центр администрирования Windows и войдите на портал.
• Теперь вам нужно выбрать сервер, который вы хотите настроить.
• Затем перейдите к Безопасность > Защищенное ядро.
• Найдите функции безопасности, для которых установлено значение «Не настроено», а затем установите для них значение «Включить».
• Вам будет предложено выбрать Запланируйте перезагрузку системы, Итак, сделайте это, а затем перезапустите, как вам будет удобно.

Теперь, когда мы включили его, нам нужно проверить, настроено ли оно. Итак, в портале Windows Admin Center вам нужно перейти на сервер, а затем перейти к Безопасность > Защищенное ядро. Затем проверьте все функции безопасности — они должны быть настроены.

2) Использование графического интерфейса

Если вы не хотите использовать Windows Admin Center, мы включим эту функцию из GUI. Вы можете выполнить шаги, указанные ниже, чтобы сделать то же самое.

1. От Средства администрирования Windows, открыть Управление компьютером.
2. Затем вам нужно пойти в Диспетчер устройств и убедитесь, что нет проблем с драйверами. Пользователи AMD должны иметь DRTM Boot Driver.
3. Затем перейдите к Безопасность Windows > Безопасность устройства > Подробности изоляции ядра и включить Целостность памяти и Защита прошивки.
4. Перезагрузите компьютер.

После включения нам необходимо будет его проверить.

Для этого откройте «Выполнить», введите msinfo32.exe, и откройте его. Затем убедитесь, что следующие параметры установлены на указанные значения.

• Состояние безопасной загрузки – Вкл.
• Защита DMA ядра – Вкл.
• Безопасность на основе виртуализации – Работает
• Работа служб безопасности на основе виртуализации — целостность кода и безопасный запуск, обеспечиваемые гипервизором.

Он сделает всю работу за вас.

Читайте: Как запустить, остановить, перезапустить службу резервного копирования Windows Server

3) Использование групповой политики

Если вы хотите настроить Secured-boot для группы пользователей, подключенных к вашей доменной сети, вам придется использовать редактор групповой политики. Поскольку GPO имеет централизованное управление и настройку операционных систем, приложений и параметров пользователей, вы можете вносить здесь изменения, которые будут отражены на всех других устройствах, подключенных к вашей сети. Чтобы это сработало, выполните указанные ниже действия.

1. Откройте Консоль управления групповой политикой.
2. Вам необходимо создать группу или отредактировать ее и добавить всех необходимых участников, чтобы к ним были применены политики.
3. Перейти к Конфигурация компьютера > Административные шаблоны > Система > Device Guard.
4. Дважды щелкните «Включить безопасность на основе виртуализации».
5. Теперь включите его и выполните следующую настройку.
   • Выберите «Безопасная загрузка» и «Защита DMA» для уровня безопасности платформы.
   • Выберите «Включено без блокировки» или «Включено с блокировкой UEFI» для защиты целостности кода на основе виртуализации.
   • Выберите Включено для конфигурации безопасного запуска.
6. Затем нажмите «ОК».

Наконец, вы можете перезагрузить компьютер, чтобы изменения вступили в силу.

Если включена блокировка UEFI для Virtualization Based Protection of Code Integrity, ее нельзя отключить удаленно. Чтобы отключить ее, установите групповую политику на «Отключено» и удалите функциональность безопасности с каждого компьютера с физически присутствующим пользователем, чтобы очистить конфигурацию, сохраненную в UEFI.

Чтобы проверить, включен ли он, запустите gpresult /SCOPE COMPUTER /R /V в PowerShell (как администратор) или откройте msinfo32.exe из меню «Выполнить» и проверьте, присутствуют ли все настройки виртуализации, которые мы проверили в предыдущем методе.

Вот и все!

Читайте: Windows Server 2022, 2019 и 2016. Различия в функциях

Как сделать свой сервер более безопасным?

Вы можете сделать несколько вещей, чтобы сделать свой сервер более безопасным, например, регулярно устанавливать все исправления безопасности, следить за тем, чтобы ваш SSL-сертификат обновлялся, настраивать политики, чтобы предотвратить попадание на ваш компьютер любых нелицензированных приложений, включать брандмауэр и многое другое.

Читайте также: Резервное копирование и восстановление Active Directory в Windows Server.