Credential Guard untuk instance Windows - Amazon Elastic Compute Cloud
PrasyaratLuncurkan instance yang didukungNonaktifkan integritas memoriAktifkan Credential GuardVerifikasi bahwa Credential Guard sedang berjalan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Credential Guard untuk instance Windows

Sistem AWS Nitro mendukung Credential Guard untuk instans Windows Amazon Elastic Compute Cloud (Amazon EC2). Credential Guard adalah fitur keamanan berbasis virtualisasi (VBS) Windows yang memungkinkan pembuatan lingkungan yang terisolasi untuk melindungi aset keamanan, seperti kredensial pengguna Windows dan pemberlakuan integritas kode, di luar perlindungan kernel Windows. Saat Anda menjalankan instance EC2 Windows, Credential Guard menggunakan Sistem AWS Nitro untuk melindungi kredensyal login Windows agar tidak diekstraksi dari memori sistem operasi.

Prasyarat

Instans Windows Anda harus memenuhi persyaratan berikut untuk menggunakan Credential Guard.

Gambar Mesin Amazon (AMIs)

AMI harus dikonfigurasikan sebelumnya untuk mengaktifkan Secure Boot NitroTPM dan UEFI. Untuk informasi selengkapnya tentang dukungan AMIs, lihatPersyaratan untuk menggunakan NitroTPM dengan instans Amazon EC2 .

Integritas memori

Integritas memori, juga dikenal sebagai integritas kode yang dilindungi hypervisor (HVCI) atau integritas kode yang diberlakukan hypervisor, tidak didukung. Sebelum Anda mengaktifkan Credential Guard, Anda harus memastikan fitur ini dinonaktifkan. Untuk informasi selengkapnya, lihat Nonaktifkan integritas memori.

Tipe instans

Jenis contoh berikut mendukung Credential Guard di semua ukuran kecuali disebutkan lain:C5,C5d,C5n,C6i,C6id,C6in,C7i,,C7i-flex,M5,M5d,M5dn,M5n,M5zn,M6i,M6id,M6idn,M6in,M7i,M7i-flex,R5,R5b,R5d,,R5dn,R5n,R6i,R6id,R6idn, R6in R7iR7iz,T3.

catatan

  • Meskipun NitRotPM memiliki beberapa jenis instance wajib yang sama, tipe instance harus menjadi salah satu tipe instance sebelumnya untuk mendukung Credential Guard.

  • Credential Guard tidak didukung untuk:

    • Contoh logam telanjang.

    • Jenis contoh berikut:C7i.48xlarge,M7i.48xlarge, danR7i.48xlarge.

Untuk informasi selengkapnya tentang jenis instans, lihat Panduan Jenis EC2 Instans Amazon.

Luncurkan instance yang didukung

Anda dapat menggunakan EC2 konsol Amazon atau AWS Command Line Interface (AWS CLI) untuk meluncurkan instance yang dapat mendukung Credential Guard. Anda akan memerlukan ID AMI yang kompatibel untuk meluncurkan instans Anda yang unik untuk setiap Wilayah AWS.

Tip

Anda dapat menggunakan tautan berikut untuk menemukan dan meluncurkan instans dengan Amazon kompatibel yang disediakan AMIs di EC2 konsol Amazon:

https://console.aws.amazon.com/ec2/v2/home?#Images:visibility=public-images;v=3;search=:TPM-Windows_Server;ownerAlias=amazon

Console
Untuk meluncurkan sebuah instans

Ikuti langkah-langkah untuk meluncurkan instance, menentukan jenis instans yang didukung dan AMI Windows yang telah dikonfigurasi sebelumnya.

AWS CLI
Untuk meluncurkan sebuah instans

Gunakan perintah run-instances untuk meluncurkan instans menggunakan tipe instans yang didukung dan AMI Windows yang telah dikonfigurasi sebelumnya.

aws ec2 run-instances \
    --image-id resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base \
    --instance-type c6i.large \
    --region us-east-1 \
    --subnet-id subnet-0abcdef1234567890
    --key-name key-name
PowerShell
Untuk meluncurkan sebuah instans

Gunakan perintah New-EC2Instance untuk meluncurkan instans menggunakan tipe instans yang didukung dan AMI Windows yang telah dikonfigurasi sebelumnya.

New-EC2Instance `
    -ImageId resolve:ssm:/aws/service/ami-windows-latest/TPM-Windows_Server-2022-English-Full-Base `
    -InstanceType c6i.large `
    -Region us-east-1 `
    -SubnetId subnet-0abcdef1234567890 `
    -KeyName key-name

Nonaktifkan integritas memori

Anda dapat menggunakan Editor Kebijakan Grup Lokal untuk menonaktifkan integritas memori dalam skenario yang didukung. Panduan berikut dapat diterapkan untuk setiap pengaturan konfigurasi di bawah Virtualization Based Protection of Code Integrity:

  • Diaktifkan tanpa kunci – Ubah pengaturan ke Dinonaktifkan untuk menonaktifkan integritas memori.

  • Diaktifkan dengan kunci UEFI – Integritas memori telah diaktifkan dengan kunci UEFI. Integritas memori tidak dapat dinonaktifkan setelah diaktifkan dengan kunci UEFI. Sebaiknya buat instans baru dengan integritas memori dinonaktifkan dan menghentikan instans yang tidak didukung jika tidak digunakan.

Untuk menonaktifkan integritas memori dengan Editor Kebijakan Grup Lokal

  1. Terhubung ke instans Anda sebagai akun pengguna dengan hak akses administrator menggunakan Protokol Desktop Jarak Jauh (RDP). Untuk informasi selengkapnya, lihat Connect ke instans Windows Anda menggunakan klien RDP.

  2. Buka menu Mulai dan cari cmd untuk memulai prompt perintah.

  3. Jalankan perintah berikut untuk membuka Editor Kebijakan Grup Lokal: gpedit.msc

  4. Di Editor Kebijakan Grup Lokal, pilih Konfigurasi Komputer, Templat Administratif, Sistem, Penjaga Perangkat.

  5. Pilih Aktifkan Keamanan Berbasis Virtualisasi, lalu pilih Edit pengaturan kebijakan.

  6. Buka drop-down pengaturan untuk Perlindungan Integritas Kode Berbasis Virtualisasi, pilih Nonaktifkan, lalu pilih Terapkan.

  7. Boot ulang instans untuk menerapkan perubahan.

Aktifkan Credential Guard

Setelah meluncurkan instans Windows dengan tipe instans yang didukung dan AMI yang kompatibel dan mengonfirmasi bahwa integritas memori dinonaktifkan, Anda dapat mengaktifkan Credential Guard.

penting

Hak akses administrator diperlukan untuk melakukan langkah-langkah berikut guna mengaktifkan Credential Guard.

Mengaktifkan Credential Guard

  1. Terhubung ke instans Anda sebagai akun pengguna dengan hak akses administrator menggunakan Protokol Desktop Jarak Jauh (RDP). Untuk informasi selengkapnya, lihat Connect ke instans Windows Anda menggunakan klien RDP.

  2. Buka menu Mulai dan cari cmd untuk memulai prompt perintah.

  3. Jalankan perintah berikut untuk membuka Editor Kebijakan Grup Lokal: gpedit.msc

  4. Di Editor Kebijakan Grup Lokal, pilih Konfigurasi Komputer, Templat Administratif, Sistem, Penjaga Perangkat.

  5. Pilih Aktifkan Keamanan Berbasis Virtualisasi, lalu pilih Edit pengaturan kebijakan.

  6. Pilih Diaktifkan dalam menu Aktifkan Keamanan Berbasis Virtualisasi.

  7. Untuk Pilih Tingkat Keamanan Platform, pilih Secure Boot dan Perlindungan DMA.

  8. Untuk Konfigurasi Credential Guard, pilih Diaktifkan dengan kunci UEFI.

    catatan

    Pengaturan kebijakan yang tersisa tidak diperlukan untuk mengaktifkan Credential Guard dan dapat dibiarkan sebagai Tidak Dikonfigurasikan.

    Gambar berikut menampilkan pengaturan VBS yang dikonfigurasikan seperti yang dijelaskan sebelumnya:

    Pengaturan Objek Kebijakan Grup Keamanan Berbasis Virtualisasi dengan Keamanan Berbasis Virtualisasi yang diaktifkan.

  9. Boot ulang instans untuk menerapkan pengaturan.

Verifikasi bahwa Credential Guard sedang berjalan

Anda dapat menggunakan alat Informasi Sistem Microsoft (Msinfo32.exe) untuk mengonfirmasi bahwa Credential Guard sedang berjalan.

penting

Anda harus melakukan boot ulang instans terlebih dahulu untuk menyelesaikan penerapan pengaturan kebijakan yang diperlukan untuk mengaktifkan Credential Guard.

Untuk memverifikasi bahwa Credential Guard sedang berjalan

  1. Hubungkan ke instans Anda menggunakan Protokol Desktop Jarak Jauh (RDP). Untuk informasi selengkapnya, lihat Connect ke instans Windows Anda menggunakan klien RDP.

  2. Dalam sesi RDP ke instans Anda, buka menu Mulai dan cari cmd untuk memulai prompt perintah.

  3. Buka Informasi Sistem dengan menjalankan perintah berikut: msinfo32.exe

  4. Alat Informasi Sistem Microsoft mencantumkan detail untuk konfigurasi VBS. Di samping Layanan keamanan berbasis Virtualisasi, konfirmasi bahwa Credential Guard muncul sebagai Berjalan.

    Gambar berikut menampilkan VBS berjalan seperti yang dijelaskan sebelumnya:

    Gambar Alat Informasi Sistem Microsoft dengan garis keamanan berbasis Virtualisasi menunjukkan status Berjalan, mengonfirmasi Credential Guard sedang berjalan.