Credential Guard per istanze Windows - Amazon Elastic Compute Cloud
PrerequisitiAvvia un'istanza supportataDisabilita l'integrità della memoriaAttiva Credential GuardVerifica che Credential Guard sia in esecuzione

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Credential Guard per istanze Windows

Il sistema AWS Nitro supporta Credential Guard per le istanze Windows di Amazon Elastic Compute Cloud (AmazonEC2). Credential Guard è una funzionalità di sicurezza (VBS) basata sulla virtualizzazione di Windows che consente la creazione di ambienti isolati per proteggere le risorse di sicurezza, come le credenziali utente di Windows e l'applicazione dell'integrità del codice, oltre alle protezioni del kernel di Windows. Quando esegui istanze di EC2 Windows, Credential Guard utilizza il sistema AWS Nitro per proteggere le credenziali di accesso di Windows dall'estrazione dalla memoria del sistema operativo.

Prerequisiti

L'istanza di Windows deve soddisfare i seguenti prerequisiti per utilizzare Credential Guard.

Immagini di macchine Amazon (AMIs)

AMIDeve essere preconfigurato per abilitare Nitro TPM e UEFI Secure Boot. Per ulteriori informazioni sui supportiAMIs, consulta. Requisiti per l'utilizzo di Nitro TPM con le istanze Amazon EC2

Integrità della memoria

L'integrità della memoria, nota anche come integrità del codice protetta da hypervisor (HVCI) o integrità del codice applicata dall'hypervisor, non è supportata. Prima di attivare Credential Guard, devi assicurarti che questa funzionalità sia disattivata. Per ulteriori informazioni, consulta Disabilita l'integrità della memoria.

Tipi di istanza

I seguenti tipi di istanza supportano Credential Guard in tutte le dimensioni, salvo diversa indicazione: C5C5d,C5n,C6i,,C6id,C6in,C7i,,C7i-flex,M5,M5d,M5dn,,M5n,M5zn,M6i,,M6id,M6idn,M6in,M7i,,M7i-flex,R5,R5b,, R5dR5dn,R5n. R6i R6id R6idn R6in R7i R7iz T3

Nota

  • Sebbene Nitro TPM abbia alcuni tipi di istanza richiesti in comune, il tipo di istanza deve essere uno dei tipi di istanza precedenti per supportare Credential Guard.

  • Credential Guard non è supportato per:

    • Istanze bare metal.

    • I seguenti tipi di istanza: C7i.48xlargeM7i.48xlarge, e. R7i.48xlarge

Per ulteriori informazioni sui tipi di istanze, consulta la Amazon EC2 Instance Types Guide.

Avvia un'istanza supportata

Puoi utilizzare la EC2 console Amazon o AWS Command Line Interface (AWS CLI) per avviare un'istanza in grado di supportare Credential Guard. Avrai bisogno di un AMI ID compatibile per avviare l'istanza, che sia unico per ogni istanza. Regione AWS

Suggerimento

Puoi utilizzare il seguente link per scoprire e avviare istanze con Amazon compatibile fornito AMIs nella EC2 console Amazon:

https://console.aws.amazon.com/ec2/v2/home?#Images:visibility=public-images;v=3;search=:TPM-Windows_Server;ownerAlias=amazon

Amazon EC2 console
Per avviare un'istanza utilizzando la EC2 console Amazon

Segui i passaggi per avviare un'istanza, specificando un tipo di istanza supportato e un sistema Windows preconfigurato. AMI

AWS CLI
Per avviare un'istanza utilizzando AWS CLI

Utilizzate il run-instancescomando per avviare un'istanza utilizzando un tipo di istanza supportato e Windows AMI preconfigurato.

aws ec2 run-instances \
    --image-id resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base \
    --instance-type c6i.large \
    --region us-east-1 \
    --subnet-id subnet-id
    --key-name key-name
PowerShell
Per avviare un'istanza utilizzando AWS Tools for PowerShell

Utilizzate il New-EC2Instancecomando per avviare un'istanza utilizzando un tipo di istanza supportato e Windows AMI preconfigurato.

New-EC2Instance `
    -ImageId resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base `
    -InstanceType c6i.large `
    -Region us-east-1 `
    -SubnetId subnet-id `
    -KeyName key-name

Disabilita l'integrità della memoria

È possibile utilizzare l'Editor Criteri di gruppo locali per disabilitare l'integrità della memoria negli scenari supportati. Le seguenti indicazioni possono essere applicate per ogni impostazione di configurazione in Protezione dell'integrità del codice basata sulla virtualizzazione:

  • Abilitata senza blocco: modifica l'impostazione impostandola su Disabilitato per disabilitare l'integrità della memoria.

  • Abilitato con UEFI blocco: l'integrità della memoria è stata abilitata con UEFI blocco. L'integrità della memoria non può essere disabilitata una volta abilitata con UEFI blocco. Ti consigliamo di creare una nuova istanza con l'integrità della memoria disabilitata e di terminare l'istanza non supportata se non è in uso.

Per disabilitare l'integrità della memoria con l'Editor Criteri di gruppo locali

  1. Connect alla propria istanza come account utente con privilegi di amministratore utilizzando il Remote Desktop Protocol (RDP). Per ulteriori informazioni, consulta Connect alla tua istanza di Windows utilizzando un RDP client.

  2. Apri il menu Start e cerca cmd per avviare un prompt dei comandi.

  3. Esegui i comandi seguenti per aprire l'Editor Criteri di gruppo locali: gpedit.msc

  4. Nell'Editor Criteri di gruppo locali, scegli Configurazione computer, Modelli amministrativi, Sistema, Protezione dispositivi.

  5. Seleziona Attiva la sicurezza basata sulla virtualizzazione, quindi seleziona Modifica impostazione delle policy.

  6. Apri il menu a discesa delle impostazioni per Protezione basata su virtualizzazione dell'integrità del codice, scegli Disabilitata, quindi scegli Applica.

  7. Riavvia l'istanza per applicare le modifiche.

Attiva Credential Guard

Dopo aver avviato un'istanza Windows con un tipo di istanza supportato e compatibile AMI e aver confermato che l'integrità della memoria è disabilitata, puoi attivare Credential Guard.

Importante

Per eseguire i seguenti passaggi di attivazione di Credential Guard sono necessari i seguenti privilegi di amministratore.

Per attivare Credential Guard

  1. Connect alla propria istanza come account utente con privilegi di amministratore utilizzando il Remote Desktop Protocol (RDP). Per ulteriori informazioni, consulta Connect alla tua istanza di Windows utilizzando un RDP client.

  2. Apri il menu Start e cerca cmd per avviare un prompt dei comandi.

  3. Esegui i comandi seguenti per aprire l'Editor Criteri di gruppo locali: gpedit.msc

  4. Nell'Editor Criteri di gruppo locali, scegli Configurazione computer, Modelli amministrativi, Sistema, Protezione dispositivi.

  5. Seleziona Attiva la sicurezza basata sulla virtualizzazione, quindi seleziona Modifica impostazione delle policy.

  6. Scegli Abilitata nel menu Attiva la sicurezza basata sulla virtualizzazione.

  7. Per Select Platform Security Level, scegli Secure Boot and DMA Protection.

  8. Per la configurazione di Credential Guard, scegli Abilitato con UEFI blocco.

    Nota

    Le restanti impostazioni delle policy non sono necessarie per abilitare Credential Guard e possono essere lasciate come Non configurate.

    L'immagine seguente mostra le VBS impostazioni configurate come descritto in precedenza:

    Impostazioni degli Oggetti di policy del gruppo di sicurezza basato sulla virtualizzazione con Attiva la sicurezza basata sulla virtualizzazione abilitate.

  9. Riavvia l'istanza per applicare le impostazioni.

Verifica che Credential Guard sia in esecuzione

Puoi utilizzare lo strumento Microsoft System Information (Msinfo32.exe) per confermare che Credential Guard è in esecuzione.

Importante

È necessario innanzitutto riavviare l'istanza per completare l'applicazione delle impostazioni delle policy richieste per abilitare Credential Guard.

Per verificare se Credential Guard è in esecuzione

  1. Connect alla propria istanza utilizzando il Remote Desktop Protocol (RDP). Per ulteriori informazioni, consulta Connect alla tua istanza di Windows utilizzando un RDP client.

  2. All'interno della RDP sessione dell'istanza, apri il menu Start e cerca cmd di avviare un prompt dei comandi.

  3. Apri Informazioni sul sistema eseguendo il comando seguente: msinfo32.exe

  4. Lo strumento Microsoft System Information elenca i dettagli per la VBS configurazione. Accanto a Servizi di sicurezza basati sulla virtualizzazione, verifica che Credential Guard sia visualizzato come In esecuzione.

    Le seguenti immagini VBS vengono visualizzate come descritto in precedenza:

    Un'immagine dell'utilità Microsoft System Information con la linea di sicurezza basata sulla virtualizzazione che mostra lo stato In esecuzione, a conferma dell'esecuzione di Credential Guard.