We use cookies to ensure that we give you the best experience on our website.

Windows Server 用にセキュアコアサーバーを構成する方法

Windows Speedup Tool をダウンロードしてエラーを修正し、PC の動作を高速化します。

Secured-Core サーバーは、重要なデータやプログラムを処理する際に、ハードウェア、ファームウェア、ドライバー、OS にセキュリティ機能を提供します。このガイドでは、次の方法を説明します。セキュアコアサーバーを構成するWindows Admin Center、Windows Server デスクトップ エクスペリエンス、およびグループ ポリシーを使用します。

セキュアコアを有効にするにはどうすればよいですか?

セキュアコアを有効にするには、Windows 管理センター。に行く必要がありますセキュリティ > セキュアコアすべての機能を有効にします。詳細を知りたい場合、または別の方法を見つけたい場合は、以下のガイドを参照してください。

Windows Server 用にセキュアコアサーバーを構成する方法

セキュアコアは、ハードウェア、ファームウェア、ドライバー、オペレーティング システムの組み込みセキュリティを含む一連の機能です。この保護は、オペレーティング システムが起動する前に開始され、オペレーティング システムの実行中も継続されます。セキュアコアサーバーは、重要なデータとアプリケーションにとって安全なプラットフォームとなるように作られています。

セキュアコア サーバーの構成に進む前に、いくつかの点を整理する必要があります。

  • デバイスに次の機能があることを確認する必要があります。セキュアブートそしてそれは有効になります。
  • また、TPM2.0Secure-core サーバーを実行するには必要です。
  • システムファームウェアはプリブートを満たしている必要がありますDMA 保護要件ACPI テーブルに適切なフラグを設定して有効にします。カーネル DMA 保護。詳細については、「OEM 向けのカーネル DMA 保護 (メモリ アクセス保護)」を参照してください。
  • 持っている必要があります仮想化拡張機能、IOMMU、そして測定のための動的な信頼のルートBIOS で有効になります。
  • 最後に、AMD ベースのシステムを使用している場合は、透過的セキュア メモリ暗号化を有効にする必要があります。

これらを準備したら、次のいずれかの方法を使用してセキュアコア サーバーを構成しましょう。

  1. Windows 管理センターの使用
  2. コンピュータ管理の使用
  3. グループポリシーの使用

それらについて詳しく話しましょう。

1] Windows 管理センターの使用

まず、Windows Admin Center を使用してセキュアコア サーバーを有効にする必要があります。これを行うには、以下の手順に従ってください。

  • を開きますWindows 管理センターそしてポータルにサインインします。
  • 次に、構成するサーバーを選択する必要があります。
  • 次に、に行きますセキュリティ > セキュアコア。
  • [未構成] に設定されているセキュリティ機能を探し、[有効] に設定します。
  • 選択するよう求められますシステムの再起動をスケジュールし、したがって、それを実行してから、都合に応じて再起動してください。

有効にしたので、設定されているかどうかを確認する必要があります。したがって、Windows Admin Center ポータルでサーバーに移動し、次の場所に移動する必要があります。セキュリティ > セキュアコア。次に、すべてのセキュリティ機能を確認します。それらを設定する必要があります。

2] GUIを使用する

Windows Admin Center を使用したくない場合は、GUI からこの機能を有効にします。以下に説明する手順に従って、同じことを行うことができます。

  1. からWindows 管理ツール、開けるコンピュータの管理。
  2. 次に、に行く必要があります。デバイスマネージャドライバーに問題がないことを確認してください。 AMD ユーザーは DRTM ブート ドライバーを持っている必要があります。
  3. 次に、に行きますWindows セキュリティ > デバイス セキュリティ > コア分離の詳細そして有効にするメモリの完全性そしてファームウェアの保護。
  4. コンピュータを再起動します。

有効にしたら、それを確認する必要があります。

これを行うには、「ファイル名を指定して実行」を開き、次のように入力しますmsinfo32.exe、そしてそれを開きます。次に、以下のものが記載の値に設定されていることを確認します。

  • セキュア ブート状態 – オン
  • カーナル DMA 保護 – オン
  • 仮想化ベースのセキュリティ – 実行中
  • 仮想化ベースのセキュリティ サービスの実行 – ハイパーバイザーによるコードの整合性と安全な起動。

それはあなたのために仕事をしてくれます。

読む:Windows Server バックアップ サービスを開始、停止、再起動する方法

3] グループポリシーの使用

ドメイン ネットワークに接続しているユーザーのグループに対してセキュア ブートを構成する場合は、グループ ポリシー エディターを使用する必要があります。 GPO はオペレーティング システム、アプリケーション、ユーザー設定の管理と構成を一元化しているため、ここで変更を加えて、ネットワークに接続されている他のすべてのデバイスに反映させることができます。これを機能させるには、以下の手順に従ってください。

  1. を開きますグループ ポリシー管理コンソール。
  2. ポリシーを適用するには、グループを作成するか編集して、必要なメンバーをすべて追加する必要があります。
  3. に行く[コンピューターの構成] > [管理用テンプレート] > [システム] > [Device Guard]。
  4. ダブルクリックしてください仮想化ベースのセキュリティをオンにします。
  5. 次に、それを有効にして、次の構成を実行します。
    • プラットフォームのセキュリティ レベルとして [セキュア ブートと DMA 保護] を選択します。
    • コード整合性の仮想化ベースの保護については、「ロックなしで有効」または「UEFI ロックで有効」のいずれかを選択します。
    • [安全な起動構成] で [有効] を選択します。
  6. 次に、「OK」をクリックします。

最後に、コンピュータを再起動して変更を適用します。

仮想化ベースのコード整合性保護の UEFI ロックが有効になっている場合、リモートで無効にすることはできません。これをオフにするには、グループ ポリシーを「無効」に設定し、物理的に存在するユーザーがいる各コンピューターからセキュリティ機能を削除して、UEFI に保持されている構成をクリアします。

有効になっているかどうかを確認するには、次のコマンドを実行します。gpresult /SCOPE COMPUTER /R /VPowerShell で (管理者として) 開くか、msinfo32.exe「実行」から、前の方法で確認したすべての仮想化設定が存在するかどうかを確認します。

それでおしまい!

読む:Windows Server 2022、2019、2016 の機能の違い

サーバーの安全性を高めるにはどうすればよいですか?

サーバーの安全性を高めるために、すべてのセキュリティ パッチを定期的にインストールする、SSL 証明書を確実に更新する、ライセンスのないアプリがコンピュータに侵入するのを防ぐポリシーを構成する、ファイアウォールを有効にするなど、いくつかのことを行うことができます。 。

こちらもお読みください:Windows Server で Active Directory をバックアップおよび復元します。

Also Read