Credential Guard für Windows-Instanzen - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Credential Guard für Windows-Instanzen

Das AWS Nitro-System unterstützt Credential Guard für Amazon Elastic Compute Cloud (AmazonEC2) Windows-Instances. Credential Guard ist eine auf Virtualisierung basierende Sicherheitsfunktion (VBS) von Windows, die die Schaffung isolierter Umgebungen ermöglicht, um Sicherheitsressourcen wie Windows-Benutzeranmeldedaten und die Durchsetzung der Codeintegrität über den Windows-Kernelschutz hinaus zu schützen. Wenn Sie EC2 Windows-Instanzen ausführen, verwendet Credential Guard das AWS Nitro-System, um Windows-Anmeldeinformationen davor zu schützen, dass sie aus dem Arbeitsspeicher des Betriebssystems extrahiert werden.

Voraussetzungen

Ihre Windows-Instanz muss die folgenden Voraussetzungen erfüllen, um Credential Guard nutzen zu können.

Amazon-Maschinenbilder (AMIs)

Das AMI muss vorkonfiguriert sein, um Nitro TPM und UEFI Secure Boot zu aktivieren. Weitere Informationen zur unterstützten AMIs Version finden Sie unter. Anforderungen für die Verwendung von Nitro TPM mit Amazon-Instances EC2

Speicherintegrität

Die Speicherintegrität, auch bekannt als hypervisor-geschützte Codeintegrität (HVCI) oder durch Hypervisor erzwungene Codeintegrität, wird nicht unterstützt. Bevor Sie Credential Guard aktivieren, müssen Sie sicherstellen, dass dieses Feature deaktiviert ist. Weitere Informationen finden Sie unter Deaktivieren Sie die Speicherintegrität.

Instance-Typen

Die folgenden Instance-Typen unterstützen Credential Guard in allen Größen, sofern nicht anders angegeben:C5,,,,,,,,C5d,C5n,,C6i,C6id,,C6in,,C7i,C7i-flex,,M5,M5d,,M5dn,,M5n,M5zn,,M6i,M6id,,M6idn,,M6in,M7i,,M7i-flex,R5,,R5b,,R5d,R5dn,R5n,R6i. R6id R6idn R6in R7i R7iz T3

Anmerkung
  • Nitro TPM hat zwar einige erforderliche Instanztypen gemeinsam, aber der Instanztyp muss einer der vorherigen Instanztypen sein, um Credential Guard zu unterstützen.

  • Credential Guard wird nicht unterstützt für:

    • Bare-Metal-Instanzen.

    • Die folgenden Instance-Typen: C7i.48xlargeM7i.48xlarge, undR7i.48xlarge.

Weitere Informationen zu Instance-Typen finden Sie im Amazon EC2 Instance Types Guide.

Starten Sie eine unterstützte Instance

Sie können die EC2 Amazon-Konsole oder AWS Command Line Interface (AWS CLI) verwenden, um eine Instance zu starten, die Credential Guard unterstützt. Sie benötigen eine kompatible AMI ID, um Ihre Instance zu starten, die für jede AWS-Region Instanz einzigartig ist.

Tipp

Sie können den folgenden Link verwenden, um Instances mit kompatiblem Amazon zu finden und zu starten, die AMIs in der EC2 Amazon-Konsole bereitgestellt werden:

https://console.aws.amazon.com/ec2/v2/home?#Images:visibility=public-images;v=3;search=:TPM-Windows_Server;ownerAlias=amazon

Amazon EC2 console
Um eine Instance mit der EC2 Amazon-Konsole zu starten

Folgen Sie den Schritten, um eine Instance zu starten, und geben Sie dabei einen unterstützten Instance-Typ und ein vorkonfiguriertes Windows AMI an.

AWS CLI
Um eine Instanz mit dem zu starten AWS CLI

Verwenden Sie den run-instancesBefehl, um eine Instance mit einem unterstützten Instance-Typ und vorkonfiguriertem Windows AMI zu starten.

aws ec2 run-instances \ --image-id resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base \ --instance-type c6i.large \ --region us-east-1 \ --subnet-id subnet-id --key-name key-name
PowerShell
Um eine Instanz mit dem zu starten AWS Tools for PowerShell

Verwenden Sie den New-EC2InstanceBefehl, um eine Instance mit einem unterstützten Instance-Typ und vorkonfiguriertem Windows AMI zu starten.

New-EC2Instance ` -ImageId resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base ` -InstanceType c6i.large ` -Region us-east-1 ` -SubnetId subnet-id ` -KeyName key-name

Deaktivieren Sie die Speicherintegrität

Sie können den Editor für lokale Gruppenrichtlinien verwenden, um die Speicherintegrität in unterstützten Szenarios zu deaktivieren. Die folgenden Hinweise können für jede Konfigurationseinstellung unter Virtualisierungsbasierter Schutz der Codeintegrität angewendet werden:

  • Ohne Sperre aktiviert – Ändern Sie die Einstellung auf Deaktiviert, um die Speicherintegrität zu deaktivieren.

  • Mit UEFI Sperre aktiviert — Die Speicherintegrität wurde mit UEFI Sperre aktiviert. Die Speicherintegrität kann nicht deaktiviert werden, sobald sie mit UEFI Sperre aktiviert wurde. Wir empfehlen, eine neue Instance mit deaktivierter Speicherintegrität zu erstellen und die nicht unterstützte Instance zu beenden, wenn sie nicht verwendet wird.

So deaktivieren Sie die Speicherintegrität mit dem Editor für lokale Gruppenrichtlinien
  1. Stellen Sie mithilfe des Remote Desktop Protocol (RDP) als Benutzerkonto mit Administratorrechten eine Connect zu Ihrer Instanz her. Weitere Informationen finden Sie unter Stellen Sie mithilfe eines RDP Clients eine Connect zu Ihrer Windows-Instanz her.

  2. Öffnen Sie das Startmenü und suchen Sie nach cmd, um eine Eingabeaufforderung zu starten.

  3. Führen Sie den folgenden Befehl aus, um den Editor für lokale Gruppenrichtlinien zu öffnen: gpedit.msc

  4. Wählen Sie im Editor für lokale Gruppenrichtlinien Computerkonfiguration, Administrative Vorlagen, System, Geräteschutz aus.

  5. Wählen Sie Virtualisierungsbasierte Sicherheit aktivieren und dann Richtlinieneinstellung bearbeiten aus.

  6. Öffnen Sie das Dropdownmenü mit den Einstellungen für Virtualisierungsbasierter Schutz der Codeintegrität, wählen Sie Deaktiviert und anschließend Anwenden.

  7. Starten Sie die Instance neu, um die Änderungen zu übernehmen.

Schalten Sie Credential Guard ein

Nachdem Sie eine Windows-Instanz mit einem unterstützten und kompatiblen Instanztyp gestartet und bestätigt habenAMI, dass die Speicherintegrität deaktiviert ist, können Sie Credential Guard aktivieren.

Wichtig

Sie benötigen Administratorrechte, um die folgenden Schritte zum Aktivieren von Credential Guard auszuführen.

Aktivieren von Credential Guard
  1. Stellen Sie mithilfe des Remote Desktop Protocol (RDP) als Benutzerkonto mit Administratorrechten eine Connect zu Ihrer Instanz her. Weitere Informationen finden Sie unter Stellen Sie mithilfe eines RDP Clients eine Connect zu Ihrer Windows-Instanz her.

  2. Öffnen Sie das Startmenü und suchen Sie nach cmd, um eine Eingabeaufforderung zu starten.

  3. Führen Sie den folgenden Befehl aus, um den Editor für lokale Gruppenrichtlinien zu öffnen: gpedit.msc

  4. Wählen Sie im Editor für lokale Gruppenrichtlinien Computerkonfiguration, Administrative Vorlagen, System, Geräteschutz aus.

  5. Wählen Sie Virtualisierungsbasierte Sicherheit aktivieren und dann Richtlinieneinstellung bearbeiten aus.

  6. Wählen Sie Aktiviert im Menü Virtualisierungsbasierte Sicherheit aktivieren aus.

  7. Wählen Sie für Select Platform Security Level die Option Secure Boot and DMA Protection aus.

  8. Wählen Sie für Credential Guard Configuration die Option Enabled with UEFI lock aus.

    Anmerkung

    Die verbleibenden Richtlinieneinstellungen sind nicht erforderlich, um Credential Guard zu aktivieren, und können auf Nicht konfiguriert belassen werden.

    Die folgende Abbildung zeigt die VBS Einstellungen, die wie zuvor beschrieben konfiguriert wurden:

    Einstellungen für das Gruppenrichtlinienobjekt der virtualisierungsbasierten Sicherheit mit aktivierter virtualisierungsbasierter Sicherheit aktivieren.
  9. Starten Sie die Instance neu, um die Einstellungen zu übernehmen.

Stellen Sie sicher, dass Credential Guard läuft

Sie können das Microsoft-Tool Systeminformationen (Msinfo32.exe) verwenden, um zu bestätigen, dass Credential Guard ausgeführt wird.

Wichtig

Sie müssen die Instance zuerst neu starten, um die Anwendung der Richtlinieneinstellungen abzuschließen, die zum Aktivieren von Credential Guard erforderlich sind.

So überprüfen Sie, ob Credential Guard ausgeführt wird
  1. Stellen Sie mithilfe des Remote Desktop Protocol (RDP) eine Connect zu Ihrer Instance her. Weitere Informationen finden Sie unter Stellen Sie mithilfe eines RDP Clients eine Connect zu Ihrer Windows-Instanz her.

  2. Öffnen Sie innerhalb der RDP Sitzung mit Ihrer Instanz das Startmenü und suchen Sie nach, cmd um eine Eingabeaufforderung zu starten.

  3. Öffnen Sie die Systeminformationen, indem Sie den folgenden Befehl ausführen: msinfo32.exe

  4. Das Microsoft System Information Tool listet die Details für die VBS Konfiguration auf. Bestätigen Sie neben virtualisierungsbasierte Sicherheitsservices, dass Credential Guard als Wird ausgeführt angezeigt wird.

    Das folgende Bild VBS wird angezeigt und läuft wie zuvor beschrieben:

    Ein Image des Microsoft-Tools Systeminformationen mit der virtualisierungsbasierten Sicherheitslinie, die den Status „Wird ausgeführt“ anzeigt und bestätigt, dass Credential Guard ausgeführt wird.