Configurer le serveur de base sécurisé

Voici comment activer le serveur sécurisé à l’aide de l’interface utilisateur.

1. Dans le bureau Windows, ouvrez le menu Démarrer , sélectionnez Outils d’administration Windows, ouvrez Gestion des ordinateurs.
2. Dans la gestion de l’ordinateur, sélectionnez Gestionnaire d’appareils, résolvez toute erreur d’appareil si nécessaire.
   1. Pour les systèmes AMD, vérifiez que le périphérique drTM Boot Driver est présent avant de continuer
3. Dans le bureau Windows, ouvrez le menu Démarrer , sélectionnez Sécurité Windows.
4. Sélectionnez Sécurité de l’appareil > Détails de l’isolation du cœur, puis activez Intégrité de la mémoire et Protection du microprogramme. Vous ne pourrez peut-être pas activer l’intégrité de la mémoire tant que vous n’avez pas activé la protection du microprogramme en premier et redémarré votre serveur.
5. Redémarrez votre serveur lorsque vous y êtes invité.

Une fois votre serveur redémarré, votre serveur est activé pour le serveur de base sécurisé.

Voici comment activer le serveur de base sécurisé à l’aide de Windows Admin Center.

1. Connectez-vous à votre portail Windows Admin Center.
2. Sélectionnez le serveur auquel vous souhaitez vous connecter.
3. Sélectionnez Sécurité à l’aide du volet gauche, puis sélectionnez l’onglet Cœur sécurisé .
4. Vérifiez les fonctionnalités de sécurité avec l’état Non configuré, puis sélectionnez Activer.
5. Lorsque vous êtes averti, sélectionnez Planifier le redémarrage du système pour conserver les modifications.
6. Sélectionnez le redémarrage immédiatement ou planifiez le redémarrage à la fois adapté à votre charge de travail.

Une fois votre serveur redémarré, votre serveur est activé pour le serveur de base sécurisé.

Voici comment activer le serveur de base sécurisé pour les membres du domaine à l’aide de la stratégie de groupe.

1. Ouvrez laconsole de gestion des stratégies de groupe, créez ou modifiez une stratégie appliquée à votre serveur.

2. Dans l’arborescence de la console, sélectionnez Configuration ordinateur > Modèles d’administration > Système > Device Guard.

3. Pour le paramètre, cliquez avec le bouton droit sur Activer la sécurité basée sur la virtualisation, puis sélectionnez Modifier.

4. Sélectionnez Activé, dans les menus déroulants, sélectionnez les éléments suivants :

   1. Sélectionnez démarrage sécurisé et protection DMA pour le niveau de sécurité de la plateforme.
   2. Sélectionnez Activé sans verrou ou Activé avec verrou UEFI pour la protection de l'intégrité du code basée sur la virtualisation.
   3. Sélectionnez Activé pour la configuration de lancement sécurisé.

   Caution

   Si vous utilisez activé avec le verrou UEFI pour la protection basée sur la virtualisation de l’intégrité du code, il ne peut pas être désactivé à distance. Pour désactiver la fonctionnalité, vous devez définir la stratégie de groupe sur Désactivé , ainsi que supprimer la fonctionnalité de sécurité de chaque ordinateur, avec un utilisateur physiquement présent, afin d’effacer la configuration persistante dans UEFI.

5. Sélectionnez OK pour terminer la configuration.

6. Redémarrez votre serveur pour appliquer la stratégie de groupe.

Une fois votre serveur redémarré, votre serveur est activé pour le serveur de base sécurisé.

Voici comment vérifier que votre serveur de base sécurisé est configuré à l’aide de l’interface utilisateur.

1. Dans le bureau Windows, ouvrez le menu Démarrer , tapez msinfo32.exe pour ouvrir l’information système. Dans la page Résumé du système, confirmez :

   1. État du démarrage sécurisé et Protection DMA du noyau est activée.

   2. La sécurité basée sur la virtualisation est en cours d’exécution.

   3. Services de sécurité basés sur la virtualisation En cours d’exécution affiche Intégrité du code imposée par l’hyperviseur et lancement sécurisé.

      

Voici comment vérifier que votre serveur de base sécurisé est configuré à l’aide de Windows Admin Center.

1. Connectez-vous à votre portail Windows Admin Center.

2. Sélectionnez le serveur auquel vous souhaitez vous connecter.

3. Sélectionnez Sécurité à l’aide du volet gauche, puis sélectionnez l’onglet Cœur sécurisé .

4. Vérifiez que toutes les fonctionnalités de sécurité ont l’état Configuré.

   

Pour vérifier que la stratégie de groupe a été appliquée à votre serveur, exécutez la commande suivante à partir d’une invite de commandes avec élévation de privilèges.

gpresult /SCOPE COMPUTER /R /V

Dans la sortie, vérifiez que les paramètres Device Guard sont appliqués dans la section Modèles d’administration. L’exemple suivant montre la sortie lorsque les paramètres sont appliqués.

        Administrative Templates
        ------------------------
            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
                Value:       1, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
                Value:       2, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
                Value:       1, 0, 0, 0
                State:       Enabled

Vérifiez que votre serveur de base sécurisé est configuré en suivant les étapes.

1. Dans le bureau Windows, ouvrez le menu Démarrer , tapez msinfo32.exe pour ouvrir l’information système. Dans la page Résumé du système, confirmez :

   1. État du démarrage sécurisé et Protection DMA du noyau est activée.

   2. La sécurité basée sur la virtualisation est en cours d’exécution.

   3. Services de sécurité basés sur la virtualisation En cours d’exécution affiche Intégrité du code imposée par l’hyperviseur et lancement sécurisé.