セキュリティで保護されたコアは、組み込みのハードウェア、ファームウェア、ドライバー、オペレーティング システムのセキュリティ機能を提供する機能のコレクションです。 この記事では、Windows Admin Center、Windows Server デスクトップ エクスペリエンス、およびグループ ポリシーを使用して、セキュリティで保護されたコア サーバーを構成する方法について説明します。
セキュリティで保護されたコア サーバーは、重要なデータとアプリケーション用のセキュリティで保護されたプラットフォームを提供するように設計されています。 詳細については、「セキュリティで保護されたコア サーバー 」を参照してください。
Prerequisites
セキュリティで保護されたコア サーバーを構成する前に、次のセキュリティ コンポーネントが BIOS にインストールされ、有効になっている必要があります。
- Secure Boot.
- トラステッド プラットフォーム モジュール (TPM) 2.0。
- システム ファームウェアは、プリブート DMA 保護要件を満たし、カーネル DMA 保護をオプトインして有効にするには、ACPI テーブルに適切なフラグを設定する必要があります。 カーネル DMA 保護の詳細については、oemのカーネル DMA 保護 (メモリ アクセス保護) を参照してください。
- BIOS で次のサポートが有効になっているプロセッサ。
- Virtualization extensions.
- 入出力メモリ管理ユニット (IOMMU)。
- Dynamic Root of Trust for Measurement (DRTM)。
- 透過的なセキュリティで保護されたメモリ暗号化は、AMD ベースのシステムにも必要です。
Important
BIOS で各セキュリティ機能を有効にすることは、ハードウェア ベンダーによって異なる場合があります。 ハードウェアの製造元のセキュリティで保護されたコア サーバーの有効化ガイドを確認してください。
セキュリティで保護されたコア サーバーの認定を受けたハードウェアは、Windows Server カタログから、Azure ローカル サーバーは Azure ローカル カタログにあります。
セキュリティ機能を有効にする
セキュリティで保護されたコア サーバーを構成するには、特定の Windows Server セキュリティ機能を有効にする必要があります。関連する方法を選択し、手順に従います。
ユーザー インターフェイスを使用して、セキュリティで保護されたコア サーバーを有効にする方法を次に示します。
- From the Windows desktop, open the Start menu, select Windows Administrative Tools, open Computer Management.
- In Computer management, select Device Manager, resolve any device error if necessary.
- AMD ベースのシステムの場合は、続行する前に DRTM ブート ドライバー デバイスが存在することを確認します
- From Windows desktop, open the Start menu, select Windows Security.
- デバイス セキュリティ コア分離の詳細を選択し、メモリ整合性 とファームウェア保護有効にします。 ファームウェア保護を最初に有効にしてサーバーを再起動するまで、メモリの整合性を有効にできない場合があります。
- メッセージが表示されたら、サーバーを再起動します。
サーバーが再起動されると、サーバーはセキュリティで保護されたコア サーバーに対して有効になります。
Windows Admin Center を使用して、セキュリティで保護されたコア サーバーを有効にする方法を次に示します。
- Windows Admin Center ポータルにサインインします。
- 接続先のサーバーを選択します。
- Select Security using the left-hand panel, then select the Secured-core tab.
- Check the Security Features with a status of Not configured, then select Enable.
- 通知が表示されたら、[システムの再起動 をスケジュールする] を選択して変更を保持します。
- Select either the Restart immediately or Schedule restart at a time suitable for your workload.
サーバーが再起動されると、サーバーはセキュリティで保護されたコア サーバーに対して有効になります。
グループ ポリシーを使用して、ドメイン メンバーに対してセキュリティで保護されたコア サーバーを有効にする方法を次に示します。
グループ ポリシー管理コンソールを開き、サーバーに適用されるポリシーを作成または編集します。
コンソール ツリーで、コンピューター構成 > 管理用テンプレート > システム > デバイス ガードを選択します。
この設定では、[仮想化ベースのセキュリティを有効にする] を右クリックして、[編集] を選択します。
Select Enabled, from the drop down menus select the following:
- プラットフォーム セキュリティ レベル セキュア ブートと DMA 保護 を選択します。
- 仮想化ベースのコード整合性保護には、[ロックなしで有効] または [UEFIロックありで有効] を選択します。
- Select Enabled for the Secure Launch Configuration.
Caution
仮想化ベースのコード整合性の保護に対して UEFI ロック で有効 を使用する場合は、リモートで無効にすることはできません。 To disable the feature, you must set the Group Policy to Disabled as well as remove the security functionality from each computer, with a physically present user, in order to clear configuration persisted in UEFI.
Select OK to complete the configuration.
サーバーを再起動してグループ ポリシーを適用します。
サーバーが再起動されると、サーバーはセキュリティで保護されたコア サーバーに対して有効になります。
セキュリティで保護されたコア サーバーの構成を確認する
セキュリティで保護されたコア サーバーを構成したので、関連する方法を選択して構成を確認します。
セキュリティで保護されたコア サーバーがユーザー インターフェイスを使用して構成されていることを確認する方法を次に示します。
- From the Windows desktop, open the Start menu, type
msinfo32.exe to open System Information. [システムの概要] ページで、次の内容を確認します。
[セキュア ブートの状態] と [カーネル DMA 保護] がオンになっていること。
Virtualization-based security is Running.
仮想化ベースのセキュリティサービスは、 実行中に、ハイパーバイザーによって強制されるコード整合性 と セキュアローンチを示します。
![セキュリティで保護されたコアが有効になっている [システム情報アプリケーション] ウィンドウを示すスクリーンショット。](media/secured-core/secured-core-msinfo32.png)
セキュリティで保護されたコア サーバーが Windows Admin Center を使用して構成されていることを確認する方法を次に示します。
Windows Admin Center ポータルにサインインします。
接続先のサーバーを選択します。
Select Security using the left-hand panel, then select the Secured-core tab.
Check the all Security Features have a status of Configured.
グループ ポリシーがサーバーに適用されていることを確認するには、管理者特権のコマンド プロンプトから次のコマンドを実行します。
gpresult /SCOPE COMPUTER /R /V
出力で、[管理用テンプレート] セクションで Device Guard の設定が適用されていることを確認します。 次の例は、設定が適用されたときの出力を示しています。
Administrative Templates
------------------------
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
Value: 3, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
Value: 1, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
Value: 2, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
Value: 0, 0, 0, 0
State: Enabled
GPO: Local Group Policy
Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
Value: 1, 0, 0, 0
State: Enabled
手順に従って、セキュリティで保護されたコア サーバーが構成されていることを確認します。
- From the Windows desktop, open the Start menu, type
msinfo32.exe to open System Information. [システムの概要] ページで、次の内容を確認します。
[セキュア ブートの状態] と [カーネル DMA 保護] がオンになっていること。
Virtualization-based security is Running.
仮想化ベースのセキュリティサービスは、 実行中に、ハイパーバイザーによって強制されるコード整合性 と セキュアローンチを示します。
Next steps
セキュリティで保護されたコア サーバーを構成したので、詳細については、次のリソースを参照してください。
![セキュリティで保護されたコアが有効になっている [システム情報アプリケーション] ウィンドウを示すスクリーンショット。](media/secured-core/secured-core-msinfo32.png#lightbox)
