Güvenli çekirdek sunucusu nedir?
Güvenli çekirdek, yerleşik donanım, üretici yazılımı, sürücü ve işletim sistemi güvenlik özellikleri sunan bir özellik koleksiyonudur. Secured-core sistemleri tarafından sağlanan koruma, işletim sistemi önyüklemeden önce başlar ve çalışırken devam eder. Güvenli çekirdek sunucu, kritik veriler ve uygulamalar için güvenli bir platform sunmak üzere tasarlanmıştır.
Güvenli çekirdek sunucu üç temel güvenlik sütunu üzerine kurulmuştur:
Donanım destekli bir güven kökü oluşturma.
Üretici yazılımı düzeyi saldırılarına karşı savunma.
İşletim sistemini, onaylanmamış kodun yürütülmesinden koruma.
Güvenli çekirdek sunucu yapan nedir?
Güvenli çekirdek girişimi, Şimdiye kadarki en yüksek Windows güvenliğini sağlamak için Microsoft ve bilgisayar üretim iş ortakları arasında derin bir işbirliği aracılığıyla Windows bilgisayarlarıyla başladı. Microsoft, Windows Server'ın güvenli bir işletim sistemi ortamı sunmasını sağlamaya yardımcı olmak için sunucu üretim iş ortaklarıyla ortaklığı daha da genişletmiştir.
Windows Server, artan güvenlik düzeyleri sağlamak için donanımla yakından tümleşir:
Önerilen temel değer: TPM 2.0 kullanarak donanım güven kökü ve Güvenli Önyükleme ile tüm sistemlerin temel sistem bütünlüğünü sağlaması için önerilen en düşük değerdir. Windows Server donanım sertifikası için TPM2.0 ve Güvenli önyükleme gereklidir. Daha fazla bilgi edinmek için bkz. Microsoftsonraki önemli Windows Server sürümü için güvenlik standardını yükseltir
Güvenli çekirdek sunucu: Daha yüksek düzeyde güvence gerektiren sistemler ve sektörler için önerilir. Güvenli çekirdek sunucu, önceki özellikleri temel alır ve üretici yazılımı saldırılarına karşı koruma sağlamak için gelişmiş işlemci özelliklerini kullanır.
Aşağıdaki tabloda, her güvenlik kavramının ve özelliğin Güvenli çekirdek sunucu oluşturmak için nasıl kullanıldığı gösterilmektedir.
Kavram | Özellik | Gereksinim | Önerilen temel | Secured-Core sunucusu |
---|---|---|---|---|
Donanım destekli bir güven kökü oluşturun | ||||
Güvenli Önyükleme | Güvenli Önyükleme, Birleşik Genişletilebilir Bellenim Arabirimi (UEFI) BIOS'ta varsayılan olarak etkindir. | ✓ | ✓ | |
Güvenilen Platform Modülü (TPM) 2.0 | Güvenilen Bilgi İşlem Grubu (TCG) belirtimi için en son Microsoft gereksinimlerini karşılayın. | ✓ | ✓ | |
Windows Server için Sertifikalı | Bir sunucu sisteminin Microsoft'un güvenlik, güvenilirlik ve yönetilebilirlik açısından en yüksek teknik çubuğuna uygun olduğunu gösterir. | ✓ | ✓ | |
Önyükleme DMA koruması | Giriş/Çıkış Bellek Yönetim Birimi 'ne (IOMMU) sahip cihazlarda destek. Örneğin Intel VT-D veya AMD-Vi. | ✓ | ||
Üretici yazılımı düzeyi saldırılarına karşı savunma | ||||
System Guard Güvenli Başlatma | Ölçüm için Dinamik Güven Kökü (DRTM) uyumlu Intel ve AMD donanımı ile işletim sisteminde etkinleştirilmiştir. | ✓ | ||
İşletim sistemini, onaylanmamış kod yürütülmesine karşı koruma | ||||
Sanallaştırma Tabanlı Güvenlik (VBS) | Yalnızca Intel VT-X ve AMD-v dahil olmak üzere sanallaştırma uzantılarına sahip 64 bit işlemcilerde desteklenen Windows hiper yöneticisini gerektirir. | ✓ | ✓ | |
Hiper Yönetici Gelişmiş Kod Bütünlüğü (HVCI) | Hypervisor Kod Bütünlüğü (HVCI) uyumlu sürücüler ve VBS gereksinimleri. | ✓ | ✓ |
Donanım destekli güvenin kökünü oluştur
UEFI Güvenli önyükleme, sistemlerinizin önyükleme bileşenlerini doğrulayarak sunucularınızı kötü amaçlı rootkit'lerden koruyan bir güvenlik standardıdır. Güvenli önyükleme, yetkili bir yazarın UEFI üretici yazılımı sürücülerini ve uygulamalarını dijital olarak imzaladığını doğrular. Sunucu başlatıldığında firmware, firmware sürücüleri ve işletim sistemi de dahil olmak üzere her önyükleme bileşeninin imzasını kontrol eder. İmzalar geçerliyse, sunucu önyükler ve üretici yazılımı kontrolü işletim sistemine devreder.
Önyükleme işlemi hakkında daha fazla bilgi edinmek için bkz. Windows önyükleme işleminin güvenliğini sağlama.
TPM 2.0, hassas anahtarlar ve veriler için güvenli, donanım destekli bir depolama alanı sağlar. Önyükleme işlemi sırasında yüklenen her bileşen ölçülür ve ölçümler TPM'de depolanır. Donanım güven kökünü doğrulayarak, TPM 2.0 kullanan ve kanıtlama tabanlı iş akışlarının oluşturulmasını kolaylaştıran BitLocker gibi özellikler tarafından sağlanan korumayı yükseltir. Bu kanıtlama tabanlı iş akışları sıfır güven güvenlik stratejilerine eklenebilir.
Güvenli Önyükleme ve TPM 2.0 ile birlikte Windows Server Secure-core, Giriş/Çıkış Bellek Yönetimi Birimi 'ne (IOMMU) sahip uyumlu işlemcilerde Önyükleme DMA koruması kullanır. Örneğin Intel VT-D veya AMD-Vi. Önyükleme DMA koruması ile sistemler, önyükleme sırasında ve işletim sistemi çalışma zamanı sırasında Doğrudan Bellek Erişimi (DMA) saldırılarına karşı korunur.
Üretici yazılımı düzeyi saldırılarına karşı savunma
Uç nokta koruma ve algılama çözümleri, üretici yazılımının işletim sisteminin altında çalışması nedeniyle genellikle sınırlı bir görünürlüğe sahiptir. Üretici yazılımı, işletim sistemi ve hiper yönetici çekirdeğine göre daha yüksek erişim ve ayrıcalık düzeyine sahip olduğundan saldırganlar için cazip bir hedef haline gelmiştir. Üretici yazılımını hedefleyen saldırılar, işletim sistemi tarafından uygulanan diğer güvenlik önlemlerini baltalar ve bir sistemin veya kullanıcının ne zaman tehlikeye girdiğini belirlemeyi zorlaştırır.
System Guard Secure Launch, Windows Server 2022'den başlayarak AMD ve Intel'in donanım özelliklerini kullanarak önyükleme işlemini üretici yazılımı saldırılarına karşı korur.
İşletim sistemini, onaylanmamış kodun yürütülmesine karşı koruma
Güvenli çekirdek sunucu, güvenli bir bellek bölgesi oluşturmak ve normal işletim sisteminden yalıtmak için Sanallaştırma Tabanlı Güvenlik (VBS) ve hiper yönetici korumalı kod bütünlüğü (HVCI) kullanır. VBS, işletim sistemi içinde diğer güvenlik çözümleri için kullanılabilecek güvenlik sınırları sunmak üzere Sanal Güvenli Mod (VSM) oluşturmak için Windows hiper yöneticisini kullanır.
Genellikle Bellek bütünlüğü koruması olarak adlandırılan HVCI, çekirdekte yalnızca imzalı ve güvenilen kodun yürütülmesine izin verildiğinden emin olunmasını sağlayan bir güvenlik çözümüdür. Yalnızca imzalı ve güvenilen kodun kullanılması, çekirdek modu kodunu değiştirmeye çalışan saldırıları önler. Örneğin, sürücüleri değiştiren saldırılar, veya kötü amaçlı kodu çekirdeğe eklemeye çalışan WannaCry gibi açıkları kullanan saldırılar.
VBS ve donanım gereksinimleri hakkında daha fazla bilgi edinmek için bkz. sanallaştırma tabanlı güvenlik
Basitleştirilmiş yönetim
Windows PowerShell'i veya Windows Yönetim Merkezi'ndeki güvenlik uzantısını kullanarak Güvenli çekirdek sistemlerin işletim sistemi güvenlik özelliklerini görüntüleyebilir ve yapılandırabilirsiniz. Azure Yerel Tümleşik Sistemler sayesinde üretim iş ortakları müşteriler için yapılandırma deneyimini daha da basitleştirerek Microsoft'un en iyi sunucu güvenliğini kullanıma hazır hale getirmektedir.
windows yönetim merkezi
Önleyici savunma
Güvenli çekirdek işlevselliğini etkinleştirerek saldırganların sistemlerden yararlanmak için kullandığı yolların birçoğuna karşı proaktif olarak savunma yapabilir ve bunları kesintiye uğratabilirsiniz. Güvenli çekirdek sunucu, teknoloji yığınının alt katmanlarında gelişmiş güvenlik özellikleri sağlar ve birçok güvenlik aracı açıklardan haberdar olmadan önce sistemin en ayrıcalıklı alanlarını korur. Ayrıca, BT ve SecOps ekipleri tarafından ek görevlere veya izlemelere gerek kalmadan da gerçekleşir.
Güvenlik temelli yolculuğunuza başlayın
Güvenli çekirdek sunucu için sertifikalı donanımları Windows Server Kataloğu'da ve Azure Yerel sunucular için Azure Yerel Kataloğu'te bulabilirsiniz. Bu sertifikalı sunucular, en gelişmiş saldırı vektörlerinden bazılarını engellemeye yardımcı olmak için donanım, üretici yazılımı ve işletim sisteminde yerleşik olarak endüstri lideri güvenlik azaltmalarıyla tam olarak donatılmıştır.
Sonraki adımlar
Artık Güvenli çekirdek sunucusunun ne olduğunu anlayabilirsiniz. Başlamanız için bazı kaynaklar aşağıdadır. Nasıl yapıldığını öğrenin:
- Güvenli çekirdek sunucuyapılandırın.
- Microsoft, Microsoft Güvenlik Blogu'ndaki Güvenli çekirdek ile Sunucu ve Edge'e gelişmiş donanım güvenliği getirir.
- Microsoft Güvenlik Blogu'ndaki altyapı güvenliğini sağlamaya yardımcı olmak için Yeni Güvenli çekirdek sunucuları artık Microsoft ekosisteminden edinilebilir.
- Windows Donanım Uyumluluk Programı Belirtimleri ve İlkeleritüm Windows Platformlarında Windows uyumlu cihazlar, sistemler ve filtre sürücüleri oluşturma.