セキュリティで保護されたコア サーバーを構成する

ユーザー インターフェイスを使用して、セキュリティで保護されたコア サーバーを有効にする方法を次に示します。

1. Windows デスクトップから、[スタート] メニューを開き、[Windows 管理ツール]選択し、[コンピューターの管理]開きます。
2. [コンピューターの管理] で、[デバイス マネージャー選択し、必要に応じてデバイス エラーを解決します。
   1. AMD ベースのシステムの場合は、続行する前に DRTM ブート ドライバー デバイスが存在することを確認します
3. Windows デスクトップから、の [スタート] メニューを開き、[Windows セキュリティ選択します。
4. デバイス セキュリティ コア分離の詳細を選択し、メモリ整合性 とファームウェア保護有効にします。 ファームウェア保護を最初に有効にしてサーバーを再起動するまで、メモリの整合性を有効にできない場合があります。
5. メッセージが表示されたら、サーバーを再起動します。

サーバーが再起動されると、サーバーはセキュリティで保護されたコア サーバーに対して有効になります。

Windows Admin Center を使用して、セキュリティで保護されたコア サーバーを有効にする方法を次に示します。

1. Windows Admin Center ポータルにサインインします。
2. 接続先のサーバーを選択します。
3. 左側のパネルで [セキュリティ] を選択し、[Secured-core] タブを選択します。
4. 状態が "未構成" のセキュリティ機能を確認し、[有効化] を選択します。
5. 通知が表示されたら、[システムの再起動 をスケジュールする] を選択して変更を保持します。
6. [直ちに再起動] するか、ワークロードに適したタイミングで [再起動をスケジュール] します。

サーバーが再起動されると、サーバーはセキュリティで保護されたコア サーバーに対して有効になります。

グループ ポリシーを使用して、ドメイン メンバーに対してセキュリティで保護されたコア サーバーを有効にする方法を次に示します。

1. グループ ポリシー管理コンソールを開き、サーバーに適用されるポリシーを作成または編集します。

2. コンソール ツリーで、コンピューター構成 > 管理用テンプレート > システム > デバイス ガードを選択します。

3. この設定では、[仮想化ベースのセキュリティを有効にする] を右クリックして、[編集] を選択します。

4. [有効 ] を選択し、ドロップダウン メニューから次の項目を選択します。

   1. プラットフォーム セキュリティ レベル セキュア ブートと DMA 保護 を選択します。
   2. 仮想化ベースのコード整合性保護には、[ロックなしで有効] または [UEFIロックありで有効] を選択します。
   3. セキュア起動構成の 有効 を選択します。

   注意

   仮想化ベースのコード整合性の保護に対して UEFI ロック で有効 を使用する場合は、リモートで無効にすることはできません。 この機能を無効にするには、グループ ポリシーを Disabled に設定し、UEFI で保持されている構成をクリアするために、物理的に存在するユーザーを含む各コンピューターからセキュリティ機能を削除する必要があります。

5. [OK] 選択して構成を完了します。

6. サーバーを再起動してグループ ポリシーを適用します。

サーバーが再起動されると、サーバーはセキュリティで保護されたコア サーバーに対して有効になります。

セキュリティで保護されたコア サーバーがユーザー インターフェイスを使用して構成されていることを確認する方法を次に示します。

1. Windows デスクトップから、[スタート] メニューを開き、「msinfo32.exe」と入力してシステム情報を開きます。 [システムの概要] ページで、次の内容を確認します。

   1. [セキュア ブートの状態] と [カーネル DMA 保護] がオンになっていること。

   2. 仮想化ベースのセキュリティ は実行中です。

   3. 仮想化ベースのセキュリティサービスは、 実行中に、ハイパーバイザーによって強制されるコード整合性 と セキュアローンチを示します。

      

セキュリティで保護されたコア サーバーが Windows Admin Center を使用して構成されていることを確認する方法を次に示します。

1. Windows Admin Center ポータルにサインインします。

2. 接続先のサーバーを選択します。

3. 左側のパネル を使って [セキュリティ] を選択し、その後で [セキュリティで保護されたコア] タブ を選択します。

4. すべてのセキュリティ機能が「構成済み」の状態であることを確認します。

   

グループ ポリシーがサーバーに適用されていることを確認するには、管理者特権のコマンド プロンプトから次のコマンドを実行します。

gpresult /SCOPE COMPUTER /R /V

出力で、[管理用テンプレート] セクションで Device Guard の設定が適用されていることを確認します。 次の例は、設定が適用されたときの出力を示しています。

        Administrative Templates
        ------------------------
            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\LsaCfgFlags
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\RequirePlatformSecurityFeatures
                Value:       3, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\EnableVirtualizationBasedSecurity
                Value:       1, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HypervisorEnforcedCodeIntegrity
                Value:       2, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\HVCIMATRequired
                Value:       0, 0, 0, 0
                State:       Enabled

            GPO: Local Group Policy
                Folder Id: SOFTWARE\Policies\Microsoft\Windows\DeviceGuard\ConfigureSystemGuardLaunch
                Value:       1, 0, 0, 0
                State:       Enabled

手順に従って、セキュリティで保護されたコア サーバーが構成されていることを確認します。

1. Windows デスクトップから、[スタート] メニューを開き、「msinfo32.exe」と入力してシステム情報を開きます。 [システムの概要] ページで、次の内容を確認します。

   1. セキュア ブート状態 はオンであり、カーネル DMA 保護 もオンです。

   2. 仮想化ベースのセキュリティ は実行中です。

   3. [仮想化ベースのセキュリティ サービスの実行] に、"ハイパーバイザーによるコードの整合性の強制" と "セキュアな起動" が表示されていること。