Configurar servidor Secured-core

Aplica-se a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Secured-core é um conjunto de capacidades que oferece funcionalidades de segurança integradas no hardware, firmware, drivers e sistema operativo. Este artigo mostra como configurar o servidor Secured-core usando o Windows Admin Center, a Experiência de Área de Trabalho do Windows Server e a Diretiva de Grupo.

O servidor Secured-core foi projetado para fornecer uma plataforma segura para dados e aplicativos críticos. Para obter mais informações, consulte O que é o servidor Secured-core?

Prerequisites

Antes de configurar o servidor Secured-core, você deve ter os seguintes componentes de segurança instalados e habilitados no BIOS:

Arranque Seguro.
Módulo de plataforma confiável (TPM) 2.0.
O firmware do sistema deve atender aos requisitos de proteção de DMA pré-inicialização e definir sinalizadores apropriados nas tabelas ACPI para optar por e ativar a Proteção DMA do Kernel. Para saber mais sobre o Kernel DMA Protection, consulte Kernel DMA Protection (Memory Access Protection) para OEMs.
Um processador com suporte ativado no BIOS para:
- Extensões de virtualização.
- Unidade de Gestão de Memória de Entrada/Saída (IOMMU).
- Raiz Dinâmica de Confiança para Medição (DRTM)
- A criptografia de memória segura transparente também é necessária para sistemas baseados em AMD.

Important

A ativação de cada um dos recursos de segurança no BIOS pode variar de acordo com o fornecedor do hardware. Certifique-se de verificar o guia de ativação de servidor Secured-core do fabricante do hardware.

Você pode encontrar hardware certificado para servidores com núcleo protegido no Catálogo do Windows Server , e servidores locais do Azure no Catálogo Local do Azure .

Ativar recursos de segurança

Para configurar o servidor Secured-core, você precisa habilitar recursos de segurança específicos do Windows Server, selecione o método relevante e siga as etapas.

Veja como habilitar o servidor Secured-core usando a interface do usuário.

Na área de trabalho do Windows, abra o menu Iniciar , selecione Ferramentas Administrativas do Windows, abra Gerenciamento do Computador.
Em Gerenciamento do computador, selecione Gerenciador de dispositivos, resolva qualquer erro de dispositivo, se necessário.
1. Para sistemas baseados em AMD, confirme se o dispositivo DRTM Boot Driver está presente antes de continuar
Na área de trabalho do Windows, abra o menu Iniciar e selecione Segurança do Windows.
Selecione Segurança do dispositivo > Detalhes de isolamento do núcleo, em seguida, ative Integridade da memória e Proteção de firmware. Poderá não conseguir ativar a Integridade da Memória até ter ativado primeiro a Proteção de Firmware e reiniciado o servidor.
Reinicie o servidor quando solicitado.

Depois que o servidor for reiniciado, o servidor será habilitado para o servidor Secured-core.

Verificar a configuração do servidor Secured-core

Agora que você configurou o servidor Secured-core, selecione o método relevante para verificar sua configuração.

Veja como verificar se o servidor Secured-core está configurado usando a interface do usuário.

Na área de trabalho do Windows, abra o menu Iniciar , digite msinfo32.exe para abrir Informações do Sistema. Na página Resumo do Sistema, confirme:
1. Estado de Inicialização Segura e Proteção DMA do Kernel estão Ativados.
2. A segurança baseada em virtualização está em execução.
3. Serviços de segurança baseados em virtualização em execução apresentam integridade de código imposta pelo hipervisor e inicialização segura.

Para verificar se a Diretiva de Grupo foi aplicada ao servidor, execute o seguinte comando em um prompt de comando elevado.

gpresult /SCOPE COMPUTER /R /V

Na saída, confirme se as configurações do Device Guard são aplicadas na seção Modelos Administrativos. O exemplo a seguir mostra a saída quando as configurações são aplicadas.

        Administrative Templates
        ------------------------
            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
                Value:       1, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
                Value:       2, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
                Value:       1, 0, 0, 0
                State:       Enabled

Verifique se o servidor Secured-core está configurado seguindo as etapas.

Na área de trabalho do Windows, abra o menu Iniciar , digite msinfo32.exe para abrir Informações do Sistema. Na página Resumo do Sistema, confirme:
1. Estado de Inicialização Segura e Proteção DMA do Kernel estão Ativados.
2. A segurança baseada em virtualização está em execução.
3. Serviços de segurança baseados em virtualização em execução apresentam integridade de código imposta pelo hipervisor e inicialização segura.

Próximos passos

Agora que você configurou o servidor Secured-core, aqui estão alguns recursos para saber mais sobre:

Feedback

Esta página foi útil?

Last updated on 2025-08-16