Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

# Credential Guard untuk instance Windows
<a name="credential-guard"></a>

Sistem AWS Nitro mendukung Credential Guard untuk instans Windows Amazon Elastic Compute Cloud (Amazon EC2). Credential Guard adalah fitur keamanan berbasis virtualisasi (VBS) Windows yang memungkinkan pembuatan lingkungan yang terisolasi untuk melindungi aset keamanan, seperti kredensial pengguna Windows dan pemberlakuan integritas kode, di luar perlindungan kernel Windows. Ketika Anda menjalankan instans EC2 Windows, Credential Guard menggunakan Sistem AWS Nitro untuk melindungi kredensi login Windows agar tidak diekstraksi dari memori sistem operasi.

**Topics**
+ [Prasyarat](#credential-guard-prerequisites)
+ [Luncurkan instance yang didukung](#credential-guard-launch-instance)
+ [Nonaktifkan integritas memori](#disable-memory-integrity)
+ [Aktifkan Credential Guard](#turn-on-credential-guard)
+ [Verifikasi bahwa Credential Guard sedang berjalan](#verify-credential-guard)

## Prasyarat
<a name="credential-guard-prerequisites"></a>

Instans Windows Anda harus memenuhi persyaratan berikut untuk menggunakan Credential Guard.

**Gambar Mesin Amazon (AMIs)**  
AMI harus dikonfigurasikan sebelumnya untuk mengaktifkan Secure Boot NitroTPM dan UEFI. Untuk informasi selengkapnya tentang dukungan AMIs, lihat[Persyaratan untuk menggunakan NitroTPM dengan instans Amazon EC2](enable-nitrotpm-prerequisites.md).

**Integritas memori**  
*Integritas memori*, juga dikenal sebagai *integritas kode yang dilindungi hypervisor (HVCI)* atau *integritas kode yang diberlakukan hypervisor*, tidak didukung. Sebelum Anda mengaktifkan Credential Guard, Anda harus memastikan fitur ini dinonaktifkan. Untuk informasi selengkapnya, lihat [Nonaktifkan integritas memori](#disable-memory-integrity).

**Tipe instans**  
Jenis contoh berikut mendukung Credential Guard di semua ukuran kecuali disebutkan lain:`C5`,`C5d`,`C5n`,`C6i`,`C6id`,`C6in`,`C7i`,,`C7i-flex`,`M5`,`M5d`,`M5dn`,`M5n`,`M5zn`,`M6i`,`M6id`,`M6idn`,`M6in`,`M7i`,`M7i-flex`,`R5`,`R5b`,`R5d`,,`R5dn`,`R5n`,`R6i`,`R6id`,`R6idn`, `R6in` `R7i``R7iz`,`T3`.  
+ Meskipun NitRotPM memiliki beberapa jenis instance wajib yang sama, tipe instance harus menjadi salah satu tipe instance sebelumnya untuk mendukung Credential Guard.
+ Credential Guard tidak didukung untuk:
  + Contoh logam telanjang.
  + Jenis contoh berikut:`C7i.48xlarge`,`M7i.48xlarge`, dan`R7i.48xlarge`.
Untuk informasi selengkapnya tentang jenis instans, lihat Panduan [Jenis Instans Amazon EC2](https://docs.aws.amazon.com/ec2/latest/instancetypes/instance-types.html).

## Luncurkan instance yang didukung
<a name="credential-guard-launch-instance"></a>

Anda dapat menggunakan konsol Amazon EC2 atau AWS Command Line Interface (AWS CLI) untuk meluncurkan instance yang dapat mendukung Credential Guard. Anda akan memerlukan ID AMI yang kompatibel untuk meluncurkan instans Anda yang unik untuk setiap Wilayah AWS.

**Tip**  
Anda dapat menggunakan tautan berikut untuk menemukan dan meluncurkan instans dengan AMI yang disediakan Amazon yang kompatibel di konsol Amazon EC2:  
[https://console.aws.amazon.com/ec2/v2/home?#Images:visibility=public-images;v=3;search=:TPM-Windows_Server;ownerAlias=amazon](https://console.aws.amazon.com/ec2/v2/home?#Images:visibility=public-images;v=3;search=:TPM-Windows_Server;ownerAlias=amazon)

------
#### [ Console ]

**Untuk meluncurkan sebuah instans**  
Ikuti langkah-langkah untuk [meluncurkan instance](ec2-launch-instance-wizard.md), menentukan jenis instans yang didukung dan AMI Windows yang telah dikonfigurasi sebelumnya.

------
#### [ AWS CLI ]

**Untuk meluncurkan sebuah instans**  
Gunakan perintah [https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/run-instances.html) untuk meluncurkan instans menggunakan tipe instans yang didukung dan AMI Windows yang telah dikonfigurasi sebelumnya.

```
aws ec2 run-instances \
    --image-id resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base \
    --instance-type c6i.large \
    --region us-east-1 \
    --subnet-id subnet-0abcdef1234567890
    --key-name key-name
```

------
#### [ PowerShell ]

**Untuk meluncurkan sebuah instans**  
Gunakan perintah [https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html](https://docs.aws.amazon.com/powershell/latest/reference/items/New-EC2Instance.html) untuk meluncurkan instans menggunakan tipe instans yang didukung dan AMI Windows yang telah dikonfigurasi sebelumnya.

```
New-EC2Instance `
    -ImageId resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base `
    -InstanceType c6i.large `
    -Region us-east-1 `
    -SubnetId subnet-0abcdef1234567890 `
    -KeyName key-name
```

------

## Nonaktifkan integritas memori
<a name="disable-memory-integrity"></a>

Anda dapat menggunakan Editor Kebijakan Grup Lokal untuk menonaktifkan integritas memori dalam skenario yang didukung. Panduan berikut dapat diterapkan untuk setiap pengaturan konfigurasi di bawah **Virtualization Based Protection of Code Integrity**:
+ **Diaktifkan tanpa kunci** – Ubah pengaturan ke **Dinonaktifkan** untuk menonaktifkan integritas memori.
+ **Diaktifkan dengan kunci UEFI** – Integritas memori telah diaktifkan dengan kunci UEFI. Integritas memori tidak dapat dinonaktifkan setelah diaktifkan dengan kunci UEFI. Sebaiknya buat instans baru dengan integritas memori dinonaktifkan dan menghentikan instans yang tidak didukung jika tidak digunakan.

**Untuk menonaktifkan integritas memori dengan Editor Kebijakan Grup Lokal**

1. Terhubung ke instans Anda sebagai akun pengguna dengan hak akses administrator menggunakan Protokol Desktop Jarak Jauh (RDP). Untuk informasi selengkapnya, lihat [Connect ke instans Windows Anda menggunakan klien RDP](connect-rdp.md).

1. Buka menu Mulai dan cari **cmd** untuk memulai prompt perintah.

1. Jalankan perintah berikut untuk membuka Editor Kebijakan Grup Lokal: `gpedit.msc`

1. Di Editor Kebijakan Grup Lokal, pilih **Konfigurasi Komputer**, **Templat Administratif**, **Sistem**, **Penjaga Perangkat**.

1. Pilih **Aktifkan Keamanan Berbasis Virtualisasi**, lalu pilih **Edit pengaturan kebijakan**.

1. Buka drop-down pengaturan untuk **Perlindungan Integritas Kode Berbasis Virtualisasi**, pilih **Nonaktifkan**, lalu pilih **Terapkan**.

1. Boot ulang instans untuk menerapkan perubahan.

## Aktifkan Credential Guard
<a name="turn-on-credential-guard"></a>

Setelah meluncurkan instans Windows dengan tipe instans yang didukung dan AMI yang kompatibel dan mengonfirmasi bahwa integritas memori dinonaktifkan, Anda dapat mengaktifkan Credential Guard.

**penting**  
Hak akses administrator diperlukan untuk melakukan langkah-langkah berikut guna mengaktifkan Credential Guard.

**Mengaktifkan Credential Guard**

1. Terhubung ke instans Anda sebagai akun pengguna dengan hak akses administrator menggunakan Protokol Desktop Jarak Jauh (RDP). Untuk informasi selengkapnya, lihat [Connect ke instans Windows Anda menggunakan klien RDP](connect-rdp.md).

1. Buka menu Mulai dan cari **cmd** untuk memulai prompt perintah.

1. Jalankan perintah berikut untuk membuka Editor Kebijakan Grup Lokal: `gpedit.msc`

1. Di Editor Kebijakan Grup Lokal, pilih **Konfigurasi Komputer**, **Templat Administratif**, **Sistem**, **Penjaga Perangkat**.

1. Pilih **Aktifkan Keamanan Berbasis Virtualisasi**, lalu pilih **Edit pengaturan kebijakan**.

1. Pilih **Diaktifkan** dalam menu **Aktifkan Keamanan Berbasis Virtualisasi**.

1. Untuk **Pilih Tingkat Keamanan Platform**, pilih **Secure Boot dan Perlindungan DMA**.

1. Untuk **Konfigurasi Credential Guard**, pilih **Diaktifkan dengan kunci UEFI**.
**catatan**  
Pengaturan kebijakan yang tersisa tidak diperlukan untuk mengaktifkan Credential Guard dan dapat dibiarkan sebagai **Tidak Dikonfigurasikan**.

   Gambar berikut menampilkan pengaturan VBS yang dikonfigurasikan seperti yang dijelaskan sebelumnya:  
![\[\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/vbs-credential-guard-gpo-enabled.png)

1. Boot ulang instans untuk menerapkan pengaturan.

## Verifikasi bahwa Credential Guard sedang berjalan
<a name="verify-credential-guard"></a>

Anda dapat menggunakan alat Informasi Sistem Microsoft (`Msinfo32.exe`) untuk mengonfirmasi bahwa Credential Guard sedang berjalan.

**penting**  
Anda harus melakukan boot ulang instans terlebih dahulu untuk menyelesaikan penerapan pengaturan kebijakan yang diperlukan untuk mengaktifkan Credential Guard.

**Untuk memverifikasi bahwa Credential Guard sedang berjalan**

1. Hubungkan ke instans Anda menggunakan Protokol Desktop Jarak Jauh (RDP). Untuk informasi selengkapnya, lihat [Connect ke instans Windows Anda menggunakan klien RDP](connect-rdp.md).

1. Dalam sesi RDP ke instans Anda, buka menu Mulai dan cari **cmd** untuk memulai prompt perintah.

1. Buka Informasi Sistem dengan menjalankan perintah berikut: `msinfo32.exe`

1. Alat Informasi Sistem Microsoft mencantumkan detail untuk konfigurasi VBS. Di samping Layanan keamanan berbasis Virtualisasi, konfirmasi bahwa **Credential Guard** muncul sebagai **Berjalan**.

   Gambar berikut menampilkan VBS berjalan seperti yang dijelaskan sebelumnya:  
![\[\]](http://docs.aws.amazon.com/id_id/AWSEC2/latest/UserGuide/images/vbs-credential-guard-msinfo32-enabled.png)