dimanche, décembre 22, 2024

Comment configurer Secured-core Server pour Windows Server

Un serveur Secured-Core offre des fonctionnalités de sécurité pour le matériel, le micrologiciel, les pilotes et le système d’exploitation lors de la gestion de données et de programmes critiques. Dans ce guide, nous vous montrerons comment configurer un serveur à cœur sécurisé à l’aide du Centre d’administration Windows, de l’expérience de bureau Windows Server et de la stratégie de groupe.

Comment activer Secured Core ?

Pour activer Secured-core, vous pouvez utiliser le Centre d’administration Windows. Tu dois aller à Sécurité > Noyau sécurisé et activez toutes les fonctionnalités. Pour en savoir plus ou pour trouver des méthodes alternatives, consultez le guide mentionné ci-dessous.

Comment configurer Secured-core Server pour Windows Server

Secured-core est un ensemble de fonctionnalités qui incluent une sécurité intégrée pour le matériel, le micrologiciel, les pilotes et le système d’exploitation. Cette protection démarre avant le démarrage du système d’exploitation et continue pendant son exécution. Les serveurs Secured-core sont conçus pour être une plate-forme sûre pour les données et applications importantes.

Avant de continuer et de configurer le serveur Secured-core, nous devons clarifier quelques points.

  • Vous devez vous assurer que votre appareil dispose Démarrage sécurisé et il est activé.
  • Aussi, TPM 2.0 est nécessaire pour exécuter un serveur Secure-core.
  • Le micrologiciel du système doit être conforme aux exigences de pré-démarrage Exigences de protection DMA et définissez les indicateurs appropriés dans les tables ACPI pour activer Protection DMA du noyauPour plus d’informations, voir Protection DMA du noyau (protection de l’accès à la mémoire) pour les OEM.
  • Vous devez avoir extension de virtualisation, IOMMU, et Racine de confiance dynamique pour la mesure activé dans le BIOS.
  • Enfin, si vous disposez d’un système basé sur AMD, vous devez activer le cryptage transparent de la mémoire sécurisée.

Si vous disposez de ces éléments, configurons un serveur Secured-core à l’aide de l’une des méthodes suivantes.

  1. Utilisation du Centre d’administration Windows
  2. Utilisation de la gestion de l’ordinateur
  3. Utilisation de la stratégie de groupe

Parlons-en en détail.

1]Utilisation du Centre d’administration Windows

Tout d’abord, nous devons activer le serveur Secured-core à l’aide du Centre d’administration Windows. Pour ce faire, suivez les étapes mentionnées ci-dessous.

  • Ouvrir le Centre d’administration Windows et connectez-vous au portail.
  • Maintenant, vous devez sélectionner le serveur que vous souhaitez configurer.
  • Ensuite, allez à Sécurité > Noyau sécurisé.
  • Recherchez les fonctionnalités de sécurité définies sur Non configuré, puis définissez-les sur Activer.
  • Vous serez invité à sélectionner Planifier le redémarrage du système, alors, faites cela et redémarrez selon votre convenance.

Maintenant que nous l’avons activé, nous devons vérifier s’il est configuré. Ainsi, dans le portail du Centre d’administration Windows, vous devez accéder au serveur, puis accéder à Sécurité > Noyau sécurisé. Ensuite, vérifiez toutes les fonctionnalités de sécurité ; elles doivent être configurées.

2]Utilisation de l’interface graphique

Si vous ne souhaitez pas utiliser le Centre d’administration Windows, nous activerons cette fonctionnalité à partir de l’interface graphique. Vous pouvez suivre les étapes mentionnées ci-dessous pour faire de même.

  1. Depuis Outils d’administration Windows, ouvrir Gestion informatique.
  2. Ensuite, vous devez aller à la Gestionnaire de périphériques et assurez-vous qu’il n’y a aucun problème avec vos pilotes. Les utilisateurs d’AMD doivent disposer d’un pilote de démarrage DRTM.
  3. Ensuite, allez à Sécurité Windows > Sécurité des appareils > Détails de l’isolation du noyau et activer Intégrité de la mémoire et Protection du micrologiciel.
  4. Redémarrez votre ordinateur.

Une fois que vous l’avez activé, nous devons le vérifier.

Pour ce faire, ouvrez Exécuter, tapez msinfo32.exe, et ouvrez-le. Ensuite, assurez-vous que les éléments suivants sont réglés sur les valeurs mentionnées.

  • État de démarrage sécurisé – Activé
  • Protection DMA du noyau – Activée
  • Sécurité basée sur la virtualisation – Exécution
  • Exécution des services de sécurité basés sur la virtualisation – Intégrité du code et lancement sécurisé appliqués par l’hyperviseur.

Il fera le travail pour vous.

Lire: Comment démarrer, arrêter et redémarrer le service de sauvegarde de Windows Server

3]Utilisation de la stratégie de groupe

Si vous souhaitez configurer Secured-boot pour un groupe d’utilisateurs connectés à votre réseau de domaine, vous devrez utiliser l’éditeur de stratégie de groupe. Étant donné que GPO centralise la gestion et la configuration des systèmes d’exploitation, des applications et des paramètres des utilisateurs, vous pouvez y apporter des modifications qui se répercuteront sur tous les autres appareils connectés à votre réseau. Pour que cela fonctionne, suivez les étapes mentionnées ci-dessous.

  1. Ouvrir le Console de gestion des stratégies de groupe.
  2. Vous devez créer un groupe ou le modifier et ajouter tous les membres requis pour que les politiques leur soient appliquées.
  3. Aller à Configuration ordinateur > Modèles d’administration > Système > Device Guard.
  4. Double-cliquez sur Activer la sécurité basée sur la virtualisation.
  5. Maintenant, activez-le puis effectuez la configuration suivante.
    • Sélectionnez Secure Boot et DMA Protection pour le niveau de sécurité de la plate-forme.
    • Sélectionnez Activé sans verrouillage ou Activé avec verrouillage UEFI pour la protection de l’intégrité du code basée sur la virtualisation.
    • Sélectionnez Activé pour la configuration du lancement sécurisé.
  6. Ensuite, cliquez sur Ok.

Enfin, vous pouvez redémarrer votre ordinateur pour appliquer les modifications.

Si le verrouillage UEFI pour la protection de l’intégrité du code basée sur la virtualisation est activé, il ne peut pas être désactivé à distance. Pour le désactiver, définissez la stratégie de groupe sur « Désactivé » et supprimez la fonctionnalité de sécurité de chaque ordinateur sur lequel un utilisateur est physiquement présent pour effacer la configuration conservée dans UEFI.

Pour vérifier s’il est activé, exécutez gpresult /SCOPE COMPUTER /R /V dans PowerShell (en tant qu’administrateur) ou ouvrez msinfo32.exe à partir de Exécuter, et voyez si tous les paramètres de virtualisation que nous avons vérifiés dans la méthode précédente sont présents ou non.

C’est ça!

Lire: Différences de fonctionnalités entre Windows Server 2022, 2019 et 2016

Comment rendre mon serveur plus sécurisé ?

Vous pouvez prendre plusieurs mesures pour renforcer la sécurité de votre serveur, comme installer régulièrement tous les correctifs de sécurité, vous assurer que votre certificat SSL est renouvelé, configurer des politiques pour empêcher toute application sans licence de pénétrer dans votre ordinateur, activer un pare-feu, etc.

A lire aussi : Sauvegarder et restaurer Active Directory dans Windows Server.

Source-137

- Advertisement -

Latest