Mi az a védett magú kiszolgáló?
A védett mag olyan képességek gyűjteménye, amelyek beépített hardver-, belsővezérlőprogram-, illesztőprogram- és operációsrendszer-biztonsági funkciókat kínálnak. A védett magos rendszerek által biztosított védelem az operációs rendszer indítása előtt kezdődik, és futás közben is folytatódik. A biztonságos magos kiszolgálót úgy tervezték, hogy biztonságos platformot biztosítson a kritikus fontosságú adatokhoz és alkalmazásokhoz.
A biztonságos magú kiszolgáló három kulcsfontosságú biztonsági pillérre épül:
A megbízhatóság hardveralapú gyökerének létrehozása.
Védelem a belső vezérlőprogramszintű támadások ellen.
Az operációs rendszer védelme a nem ellenőrzött kód végrehajtásával szemben.
Mitől lesz egy biztonsági magú kiszolgáló?
A biztonságos alapszintű kezdeményezés a Windows rendszerű számítógépeken a Microsoft és a pc-gyártó partnerek közötti mély együttműködésen keresztül indult el, hogy a Windows eddigi legmagasabb szintű biztonságát biztosítsa. A Microsoft tovább bővítette a partneri kapcsolatot a kiszolgálógyártó partnerekkel annak érdekében, hogy a Windows Server biztonságos operációsrendszer-környezetet biztosítson.
A Windows Server szorosan integrálva van a hardverrel a biztonság növelése érdekében:
Ajánlott alapkonfiguráció: Az összes rendszerhez ajánlott minimális konfiguráció a TPM 2.0 használatával a hardveres megbízhatóság és a Biztonságos Indítás alapjaként, az alapszintű rendszerintegritás biztosítása érdekében. A Windows Server hardvertanúsítványához TPM2.0 és Biztonságos rendszerindítás szükséges. További információért lásd: A Microsoft megemeli a biztonsági szabványt a Windows Server következő nagyobb kiadásához
Biztonságos magos kiszolgáló: Magasabb szintű megbízhatóságot igénylő rendszerekhez és iparágakhoz ajánlott. A védett magú kiszolgáló a korábbi funkciókra épül, és fejlett processzorfunkciókkal biztosít védelmet a belső vezérlőprogram-támadások ellen.
Az alábbi táblázat bemutatja, hogyan használják az egyes biztonsági fogalmakat és funkciókat egy biztonságos magú kiszolgáló létrehozásához.
| Fogalom | Funkció | Követelmény | Ajánlott alapkonfiguráció | Secured-Core kiszolgáló |
|---|---|---|---|---|
| Hardveralapú megbízhatósági gyökér létrehozása | ||||
| Biztonságos rendszerindítás | A biztonságos rendszerindítás alapértelmezés szerint engedélyezve van az Egyesített bővíthető belső vezérlőprogram-kezelőfelület (UEFI) BIOS-ban. | ✓ | ✓ | |
| Megbízható platformmodul (TPM) 2.0 | A Megbízható számítási csoport (TCG) specifikációjának legújabb Microsoft-követelményeinek való megfelelés. | ✓ | ✓ | |
| Minősítés Windows Serverhez | Azt mutatja be, hogy a kiszolgálórendszer megfelel a Microsoft legmagasabb szintű műszaki eszköztárának a biztonság, a megbízhatóság és a kezelhetőség érdekében. | ✓ | ✓ | |
| Rendszerindítási DMA-védelem | Az input/output memóriakezelési egységgel (IOMMU) rendelkező eszközök támogatása. Például intel VT-D vagy AMD-Vi. | ✓ | ||
| Belső vezérlőprogramszintű támadások elleni védelem | ||||
| A System Guard biztonságos indítása | Az operációs rendszerben engedélyezve van a mérés dinamikus bizalmi alapja (DRTM) kompatibilis Intel- és AMD-hardverekhez. | ✓ | ||
| Az operációs rendszer védelme a nem ellenőrzött kód végrehajtásától | ||||
| Virtualizációalapú biztonság (VBS) | A Windows hipervizort igényel, amely csak virtualizálási bővítményekkel rendelkező 64 bites processzorokon támogatott, beleértve az Intel VT-X és az AMD-v-t. | ✓ | ✓ | |
| Hipervizorral Továbbfejlesztett Kód Integritás (HVCI) | Hypervisor Code Integrity (HVCI)-kompatibilis illesztőprogramok és VBS-követelmények. | ✓ | ✓ |
A megbízhatóság hardveralapú gyökerének létrehozása
UEFI Biztonságos rendszerindítási egy biztonsági szabvány, amely a rendszerindítási összetevők ellenőrzésével védi a kiszolgálókat a rosszindulatú rootkitekkel szemben. A biztonságos rendszerindítás ellenőrzi, hogy egy megbízható szerző digitálisan aláírta-e az UEFI belső vezérlőprogram-illesztőprogramokat és -alkalmazásokat. A kiszolgáló indításakor a belső vezérlőprogram ellenőrzi az egyes rendszerindító összetevők aláírását, beleértve a belső vezérlőprogram-illesztőprogramokat és az operációs rendszert. Ha az aláírások érvényesek, a kiszolgáló elindul, és a belső vezérlőprogram vezérli az operációs rendszert.
További információért a rendszerindítási folyamatról, olvassa el a A Windows rendszerindítási folyamat biztonságossá tételecímű részt.
A TPM 2.0 biztonságos, hardveralapú tárolót biztosít a bizalmas kulcsokhoz és adatokhoz. A rendszerindítási folyamat során betöltött összes összetevő mérése és a TPM-ben tárolt mérések. A hardveres megbízhatóság ellenőrzésével emeli az olyan képességek által biztosított védelmet, mint a BitLocker, amely a TPM 2.0-t használja, és megkönnyíti az igazoláson alapuló munkafolyamatok létrehozását. Ezek az igazoláson alapuló munkafolyamatok zéró megbízhatóságú biztonsági stratégiákba építhetők be.
További információ megbízható platformmodulokról és , hogy a Windows hogyan használja a TPM-.
A Biztonságos rendszerindítás és a TPM 2.0 mellett a Windows Server Secure-core a Boot DMA-védelmet használja olyan kompatibilis processzorokon, amelyek rendelkeznek az Input/Output Memory Management Unit (IOMMU) rendszerrel. Például intel VT-D vagy AMD-Vi. A rendszerindítási DMA-védelemmel a rendszerindítás során és az operációs rendszer futásideje alatt a rendszerek védettek lesznek a Közvetlen memória-hozzáférés (DMA) támadások ellen.
Belső vezérlőprogramszintű támadások elleni védelem
A végpontvédelmi és észlelési megoldások általában korlátozottan láthatók a belső vezérlőprogramban, mivel a belső vezérlőprogram az operációs rendszer alatt fut. A belső vezérlőprogram magasabb szintű hozzáféréssel és jogosultsággal rendelkezik, mint az operációs rendszer és a hipervizor kernel, így vonzó célpont a támadók számára. A belső vezérlőprogramot célzó támadások aláássák az operációs rendszer által végrehajtott egyéb biztonsági intézkedéseket, ami megnehezíti a rendszer vagy felhasználó sérülésének azonosítását.
A Windows Server 2022-től kezdve a System Guard Biztonságos indítás az AMD és az Intel hardveres képességeinek használatával védi a rendszerindítási folyamatot a belső vezérlőprogram-támadásoktól. A DrTM (Dynamic Root of Trust for Measurement, DRTM) technológiaprocesszortámogatásával a védett magos kiszolgálók hardveresen támogatott tesztkörnyezetbe helyezték a belső vezérlőprogram belső vezérlőprogram-kódjának biztonsági réseinek hatásait. A System Guard a kompatibilis processzorokba beépített DRTM-képességeket használja az operációs rendszer elindításához, biztosítva, hogy a rendszer ellenőrzött kóddal megbízhatóan megadott állapotba induljon.
Az operációs rendszer védelme a nem ellenőrzött kód végrehajtásával szemben
A védett magos kiszolgáló Virtualization Based Security (VBS) és hipervizor által védett kódintegritás (HVCI) használatával hoz létre és különít el egy biztonságos memóriaterületet a normál operációs rendszertől. A VBS a Windows hipervizor használatával hoz létre egy virtuális biztonsági módot (VSM) az operációs rendszeren belüli biztonsági határok biztosításához, amely más biztonsági megoldásokhoz is használható.
A HVCI, más néven memóriaintegritási védelem egy biztonsági megoldás, amely segít biztosítani, hogy csak aláírt és megbízható kód legyen futtatható a kernelben. Ha csak aláírt és megbízható kódot használ, az megakadályozza a kernel módkód módosítását megkísérlő támadásokat. Például az illesztőprogramokat módosító vagy olyan támadásokat, mint például a WannaCry, amely rosszindulatú kódot próbál beszúrni a kernelbe.
A VBS-ről és a hardverkövetelményekről további információt a Virtualizációalapú biztonságicímű témakörben talál.
Egyszerűsített felügyelet
A védett magos rendszerek operációsrendszer-biztonsági funkcióit a Windows PowerShell vagy a Windows Felügyeleti központ biztonsági bővítménye használatával tekintheti meg és konfigurálhatja. Az Azure Local integrált rendszereivel a gyártópartnerek tovább egyszerűsítették a konfigurációs élményt az ügyfelek számára, hogy a Microsoft legjobb kiszolgálóbiztonsága azonnal elérhető legyen.
További információ a Windows Admin Center-ról.
Megelőző védelem
A biztonságos magos funkciók engedélyezésével proaktívan védheti és megszakíthatja a támadók által a rendszerek kihasználásához használt számos utat. A biztonságos magos kiszolgáló fejlett biztonsági funkciókat tesz lehetővé a technológiai verem alsó rétegein, így a rendszer legjogosabb területeit védi, mielőtt számos biztonsági eszköz észleli a biztonsági réseket. Az is előfordul, hogy nincs szükség további feladatokra vagy az informatikai és a SecOps-csapatok általi monitorozásra.
Kezdje meg a biztonságos mag-alapú útját
A Biztonságos Magú Kiszerverekhez minősített hardvereket a Windows Server Katalógus, az Azure Helyi kiszolgálókat pedig az Azure Local Katalógusbantalálja. Ezek a minősített kiszolgálók teljes mértékben fel vannak szerelve a hardverbe, a belső vezérlőprogramba és az operációs rendszerbe beépített iparágvezető biztonsági megoldásokkal, hogy segítsenek a legfejlettebb támadási vektorok meghiúsításában.
Következő lépések
Most már tudja, mi a biztonságos magú kiszolgáló, íme néhány erőforrás az első lépésekhez. Ismerje meg, hogyan:
- Biztonságos magú kiszolgálókonfigurálása.
- A Microsoft fejlett hardverbiztonságot biztosít a szerverek és az Edge számára a védett magú a Microsoft biztonsági blogjában.
- Új biztonságos magú kiszolgálók mostantól elérhetők a Microsoft ökoszisztémájából az infrastruktúra biztonságossá tételéhez a Microsoft biztonsági blogjában.
- Windows-kompatibilis eszközök, rendszerek és szűrőillesztők létrehozása az összes Windows-platformon Windows hardverkompatibilitási program specifikációi és szabályzatai.