Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Credential Guard per istanze Windows
Il sistema AWS Nitro supporta Credential Guard per le istanze Windows di Amazon Elastic Compute Cloud (AmazonEC2). Credential Guard è una funzionalità di sicurezza (VBS) basata sulla virtualizzazione di Windows che consente la creazione di ambienti isolati per proteggere le risorse di sicurezza, come le credenziali utente di Windows e l'applicazione dell'integrità del codice, oltre alle protezioni del kernel di Windows. Quando esegui istanze di EC2 Windows, Credential Guard utilizza il sistema AWS Nitro per proteggere le credenziali di accesso di Windows dall'estrazione dalla memoria del sistema operativo.
Indice
Prerequisiti
L'istanza di Windows deve soddisfare i seguenti prerequisiti per utilizzare Credential Guard.
- Immagini di macchine Amazon (AMIs)
-
AMIDeve essere preconfigurato per abilitare Nitro TPM e UEFI Secure Boot. Per ulteriori informazioni sui supportiAMIs, consulta. Requisiti per l'utilizzo di Nitro TPM con le istanze Amazon EC2
- Integrità della memoria
-
L'integrità della memoria, nota anche come integrità del codice protetta da hypervisor (HVCI) o integrità del codice applicata dall'hypervisor, non è supportata. Prima di attivare Credential Guard, devi assicurarti che questa funzionalità sia disattivata. Per ulteriori informazioni, consulta Disabilita l'integrità della memoria.
- Tipi di istanza
-
I seguenti tipi di istanza supportano Credential Guard in tutte le dimensioni, salvo diversa indicazione:
C5
C5d
,C5n
,C6i
,,C6id
,C6in
,C7i
,,C7i-flex
,M5
,M5d
,M5dn
,,M5n
,M5zn
,M6i
,,M6id
,M6idn
,M6in
,M7i
,,M7i-flex
,R5
,R5b
,,R5d
R5dn
,R5n
.R6i
R6id
R6idn
R6in
R7i
R7iz
T3
Nota
-
Sebbene Nitro TPM abbia alcuni tipi di istanza richiesti in comune, il tipo di istanza deve essere uno dei tipi di istanza precedenti per supportare Credential Guard.
-
Credential Guard non è supportato per:
-
Istanze bare metal.
-
I seguenti tipi di istanza:
C7i.48xlarge
M7i.48xlarge
, e.R7i.48xlarge
-
Per ulteriori informazioni sui tipi di istanze, consulta la Amazon EC2 Instance Types Guide.
-
Avvia un'istanza supportata
Puoi utilizzare la EC2 console Amazon o AWS Command Line Interface (AWS CLI) per avviare un'istanza in grado di supportare Credential Guard. Avrai bisogno di un AMI ID compatibile per avviare l'istanza, che sia unico per ogni istanza. Regione AWS
Suggerimento
Puoi utilizzare il seguente link per scoprire e avviare istanze con Amazon compatibile fornito AMIs nella EC2 console Amazon:
Disabilita l'integrità della memoria
È possibile utilizzare l'Editor Criteri di gruppo locali per disabilitare l'integrità della memoria negli scenari supportati. Le seguenti indicazioni possono essere applicate per ogni impostazione di configurazione in Protezione dell'integrità del codice basata sulla virtualizzazione:
-
Abilitata senza blocco: modifica l'impostazione impostandola su Disabilitato per disabilitare l'integrità della memoria.
-
Abilitato con UEFI blocco: l'integrità della memoria è stata abilitata con UEFI blocco. L'integrità della memoria non può essere disabilitata una volta abilitata con UEFI blocco. Ti consigliamo di creare una nuova istanza con l'integrità della memoria disabilitata e di terminare l'istanza non supportata se non è in uso.
Per disabilitare l'integrità della memoria con l'Editor Criteri di gruppo locali
-
Connect alla propria istanza come account utente con privilegi di amministratore utilizzando il Remote Desktop Protocol (RDP). Per ulteriori informazioni, consulta Connect alla tua istanza di Windows utilizzando un RDP client.
-
Apri il menu Start e cerca
cmd
per avviare un prompt dei comandi. -
Esegui i comandi seguenti per aprire l'Editor Criteri di gruppo locali:
gpedit.msc
-
Nell'Editor Criteri di gruppo locali, scegli Configurazione computer, Modelli amministrativi, Sistema, Protezione dispositivi.
-
Seleziona Attiva la sicurezza basata sulla virtualizzazione, quindi seleziona Modifica impostazione delle policy.
-
Apri il menu a discesa delle impostazioni per Protezione basata su virtualizzazione dell'integrità del codice, scegli Disabilitata, quindi scegli Applica.
-
Riavvia l'istanza per applicare le modifiche.
Attiva Credential Guard
Dopo aver avviato un'istanza Windows con un tipo di istanza supportato e compatibile AMI e aver confermato che l'integrità della memoria è disabilitata, puoi attivare Credential Guard.
Importante
Per eseguire i seguenti passaggi di attivazione di Credential Guard sono necessari i seguenti privilegi di amministratore.
Per attivare Credential Guard
-
Connect alla propria istanza come account utente con privilegi di amministratore utilizzando il Remote Desktop Protocol (RDP). Per ulteriori informazioni, consulta Connect alla tua istanza di Windows utilizzando un RDP client.
-
Apri il menu Start e cerca
cmd
per avviare un prompt dei comandi. -
Esegui i comandi seguenti per aprire l'Editor Criteri di gruppo locali:
gpedit.msc
-
Nell'Editor Criteri di gruppo locali, scegli Configurazione computer, Modelli amministrativi, Sistema, Protezione dispositivi.
-
Seleziona Attiva la sicurezza basata sulla virtualizzazione, quindi seleziona Modifica impostazione delle policy.
-
Scegli Abilitata nel menu Attiva la sicurezza basata sulla virtualizzazione.
-
Per Select Platform Security Level, scegli Secure Boot and DMA Protection.
-
Per la configurazione di Credential Guard, scegli Abilitato con UEFI blocco.
Nota
Le restanti impostazioni delle policy non sono necessarie per abilitare Credential Guard e possono essere lasciate come Non configurate.
L'immagine seguente mostra le VBS impostazioni configurate come descritto in precedenza:
-
Riavvia l'istanza per applicare le impostazioni.
Verifica che Credential Guard sia in esecuzione
Puoi utilizzare lo strumento Microsoft System Information (Msinfo32.exe
) per confermare che Credential Guard è in esecuzione.
Importante
È necessario innanzitutto riavviare l'istanza per completare l'applicazione delle impostazioni delle policy richieste per abilitare Credential Guard.
Per verificare se Credential Guard è in esecuzione
-
Connect alla propria istanza utilizzando il Remote Desktop Protocol (RDP). Per ulteriori informazioni, consulta Connect alla tua istanza di Windows utilizzando un RDP client.
-
All'interno della RDP sessione dell'istanza, apri il menu Start e cerca
cmd
di avviare un prompt dei comandi. -
Apri Informazioni sul sistema eseguendo il comando seguente:
msinfo32.exe
-
Lo strumento Microsoft System Information elenca i dettagli per la VBS configurazione. Accanto a Servizi di sicurezza basati sulla virtualizzazione, verifica che Credential Guard sia visualizzato come In esecuzione.
Le seguenti immagini VBS vengono visualizzate come descritto in precedenza: