Come configurare il server Secured-core per Windows Server

Un server Secured-Core protegge hardware, firmware, driver e sistema operativo dalla gestione di dati critici. Ecco come configurerai un server Secured-Core utilizzando Windows Admin Center, Desktop Experience e Criteri di gruppo.

Per aggiungere un ulteriore livello di sicurezza al tuo dispositivo Windows, abilita le funzionalità Secured-core tramite Windows Admin Center. È una potente utility che ti offre un'interfaccia utente unificata per gestire tutte le impostazioni di sicurezza del tuo dispositivo. Apri la scheda Secured-core nell'interfaccia di amministrazione di Windows e assicurati che tutto sia abilitato. Ciò porterà semplicemente la protezione del tuo dispositivo da qualsiasi tipo di malware, ransomware o accesso non autorizzato a un livello superiore.

Fai riferimento alla guida qui sotto per ulteriori dettagli su Secured-core e i suoi vantaggi, o nel caso tu stia cercando altri modi di configurazione. Qui troverai ulteriori istruzioni dettagliate e informazioni preziose, a seconda delle tue esigenze specifiche e della configurazione del dispositivo. Abilita Secured-core per migliorare in modo significativo la posizione di sicurezza del tuo dispositivo e proteggere i tuoi dati preziosi con le seguenti indicazioni dalla guida sopra.

Come configurare il server Secured-core per Windows Server

Secured-core è un robusto framework di sicurezza che protegge il dispositivo a ogni livello, dall'hardware, al firmware, ai driver fino al sistema operativo. Questa protezione approfondita inizia subito prima del caricamento del sistema operativo per garantire un ambiente informatico sicuro. I server Secured-core forniscono un ambiente affidabile proteggendo al tempo stesso dati e applicazioni critici.

Prerequisiti della configurazione Secured-core

Assicurati che questi requisiti siano stati soddisfatti prima:

• Secure Boot: dovrebbe essere attivato nel BIOS del dispositivo.

• TPM 2.0: la funzionalità Secured-core necessita di un chip TPM 2.0.

• Firmware di sistema: il firmware di sistema sarà basato sulla protezione DMA pre-avvio e imposterà i flag pertinenti nelle tabelle ACPI per consentire l'abilitazione della protezione DMA del kernel.

Per ulteriori dettagli, fare riferimento al documento Kernel DMA Protection Protezione dell'accesso alla memoria per gli OEM.

• Funzionalità hardware: il BIOS dovrà possedere il seguente set di funzionalità, ad esempio estensioni di virtualizzazione abilitate, IOMMU abilitate e Dynamic Root of Trust for Measurement abilitata.

• Specifico per AMD: sui sistemi basati su AMD, la crittografia trasparente sicura della memoria deve essere abilitata.

Metodi di configurazione:

Now that the requirements are out of the way, let's look at some methods of configuring your Secured-core server:

• Windows Admin Center: A unified management experience for Windows environments.

• Computer Management: A native console in Windows to manage local and remote computers.

• Group Policy: Well, well, this sounds like a pretty powerful method to configure settings on multiple devices.

Let us dive into each method in depth.

1] Via Windows Admin Center

To apply Secured-core on your server through Windows Admin Center, follow these steps: a. Sign in to Windows Admin Center: Open the portal and then sign in. b. Select the Server: You'll be selecting the server you want to configure with Securedcore. c. In Secured-core Settings: Go to Security > Secured-core. d. Turn on the Security Features: Under any security features showing as Not configured, set them to Enable.

5. "Schedule Reboot: It will pop up a screen that says Schedule a reboot of the system. Choose a time that best suits you and reboot the server.

6. "Verify Configuration: Once you have done the reboot, go to Security > Secured-core. You will now find that the following security features are set.

2] Using GUI

Enabling the Memory Integrity and Firmware Protection

You can turn on these security features from the Windows GUI itself without having to go through Windows Admin Center if you don't want to. The steps which you can follow here are:

1.

Open Computer Management: In the Administrative Tools in Windows, start Computer Management.

Check Device Drivers: Within Device Manager, ensure all drivers are updated and working correctly. If you are on an AMD chip, you should also make sure the DRTM Boot Driver is installed.

Enable Core Isolation Features: In order to do that, open Windows Security > Device security > Core isolation details and then turn on Memory Integrity and Firmware Protection.

4. Reboot your PC for changes to take effect.

How to Verify:

To verify that it is enabled, open the Run dialog using the Windows Key + R, type "msinfo32.exe," and press Enter. And you should see the following listed as:

• Secure Boot State: On

• Kernel DMA Protection: On

• Virtualization-based security: Running

• Virtualization-based security Services Running: Hypervisor enforced Code Integrity and Secure Launch

With the above steps, you would have enabled Memory Integrity and Firmware Protection to enhance your system security.

3] By Group Policy

Setting Up Secure Boot for a Domain Network

Se desideri utilizzare l'avvio protetto per più utenti sulla rete del tuo dominio, puoi utilizzare gli oggetti Criteri di gruppo. Gli oggetti Criteri di gruppo sono una raccolta di impostazioni del sistema operativo che consentono la gestione centralizzata e consentono di configurare sistemi operativi, applicazioni e impostazioni utente dei dispositivi sulla rete.

Per configurare l'avvio protetto, attenersi alla seguente procedura:

1. Accedi alla Console di gestione dei criteri di gruppo: accedi alla Console di gestione dei criteri di gruppo.

2. Crea o modifica gruppo: crea un nuovo gruppo o modificane uno esistente e aggiungivi gli utenti.

3. Passare a Impostazioni di avvio protetto: Configurazione computer · Modelli amministrativi · Sistema · Protezione dispositivo

4. Attiva la sicurezza basata sulla virtualizzazione: fai doppio clic su "Attiva la sicurezza basata sulla virtualizzazione" · Fai clic su "Abilita"

5. Configura le impostazioni di sicurezza: Livello di sicurezza della piattaforma: fai clic su "Avvio sicuro e protezione DMA"

o Abilita la protezione dell'integrità del codice basata sulla virtualizzazione: nelle opzioni, seleziona Abilitato senza blocco o Abilitato con blocco UEFI.

o Impostare Configurazione avvio sicuro su Abilitato.

6. Applicare le modifiche: fare clic su OK e riavviare il computer.

Nota sul blocco UEFI: non è possibile reimpostare in remoto l'abilitazione del blocco UEFI per la protezione dell'integrità del codice basata sulla virtualizzazione. Per disabilitarlo, dovrai modificare i Criteri di gruppo su Disabilitato e pulire manualmente la configurazione UEFI da ciascun computer interessato.

Verifica: esegui gpresult /SCOPE COMPUTER /R /V in PowerShell come amministratore o controlla le impostazioni utilizzando msinfo32.exe per verificare la configurazione di avvio protetto. TUTTE le seguenti impostazioni di virtualizzazione devono essere abilitate.

Questo è tutto su come configurare il server Secured-core per Windows Server, quindi speriamo che tu possa configurarlo il prima possibile.