Aracılığıyla paylaş


Güvenli çekirdek sunucusu nedir?

Güvenli çekirdek, yerleşik donanım, üretici yazılımı, sürücü ve işletim sistemi güvenlik özellikleri sunan bir özellik koleksiyonudur. Secured-core sistemleri tarafından sağlanan koruma, işletim sistemi önyüklemeden önce başlar ve çalışırken devam eder. Güvenli çekirdek sunucu, kritik veriler ve uygulamalar için güvenli bir platform sunmak üzere tasarlanmıştır.

Güvenli çekirdek sunucu üç temel güvenlik sütunu üzerine kurulmuştur:

  • Donanım destekli bir güven kökü oluşturma.

  • Üretici yazılımı düzeyi saldırılarına karşı savunma.

  • İşletim sistemini, onaylanmamış kodun yürütülmesinden koruma.

Güvenli çekirdek sunucu yapan nedir?

Güvenli çekirdek girişimi, Şimdiye kadarki en yüksek Windows güvenliğini sağlamak için Microsoft ve bilgisayar üretim iş ortakları arasında derin bir işbirliği aracılığıyla Windows bilgisayarlarıyla başladı. Microsoft, Windows Server'ın güvenli bir işletim sistemi ortamı sunmasını sağlamaya yardımcı olmak için sunucu üretim iş ortaklarıyla ortaklığı daha da genişletmiştir.

Windows Server, artan güvenlik düzeyleri sağlamak için donanımla yakından tümleşir:

  • Önerilen temel değer: TPM 2.0 kullanarak donanım güven kökü ve Güvenli Önyükleme ile tüm sistemlerin temel sistem bütünlüğünü sağlaması için önerilen en düşük değerdir. Windows Server donanım sertifikası için TPM2.0 ve Güvenli önyükleme gereklidir. Daha fazla bilgi edinmek için bkz. Microsoftsonraki önemli Windows Server sürümü için güvenlik standardını yükseltir

  • Güvenli çekirdek sunucu: Daha yüksek düzeyde güvence gerektiren sistemler ve sektörler için önerilir. Güvenli çekirdek sunucu, önceki özellikleri temel alır ve üretici yazılımı saldırılarına karşı koruma sağlamak için gelişmiş işlemci özelliklerini kullanır.

Aşağıdaki tabloda, her güvenlik kavramının ve özelliğin Güvenli çekirdek sunucu oluşturmak için nasıl kullanıldığı gösterilmektedir.

Kavram Özellik Gereksinim Önerilen temel Secured-Core sunucusu
Donanım destekli bir güven kökü oluşturun
Güvenli Önyükleme Güvenli Önyükleme, Birleşik Genişletilebilir Bellenim Arabirimi (UEFI) BIOS'ta varsayılan olarak etkindir.
Güvenilen Platform Modülü (TPM) 2.0 Güvenilen Bilgi İşlem Grubu (TCG) belirtimi için en son Microsoft gereksinimlerini karşılayın.
Windows Server için Sertifikalı Bir sunucu sisteminin Microsoft'un güvenlik, güvenilirlik ve yönetilebilirlik açısından en yüksek teknik çubuğuna uygun olduğunu gösterir.
Önyükleme DMA koruması Giriş/Çıkış Bellek Yönetim Birimi 'ne (IOMMU) sahip cihazlarda destek. Örneğin Intel VT-D veya AMD-Vi.
Üretici yazılımı düzeyi saldırılarına karşı savunma
System Guard Güvenli Başlatma Ölçüm için Dinamik Güven Kökü (DRTM) uyumlu Intel ve AMD donanımı ile işletim sisteminde etkinleştirilmiştir.
İşletim sistemini, onaylanmamış kod yürütülmesine karşı koruma
Sanallaştırma Tabanlı Güvenlik (VBS) Yalnızca Intel VT-X ve AMD-v dahil olmak üzere sanallaştırma uzantılarına sahip 64 bit işlemcilerde desteklenen Windows hiper yöneticisini gerektirir.
Hiper Yönetici Gelişmiş Kod Bütünlüğü (HVCI) Hypervisor Kod Bütünlüğü (HVCI) uyumlu sürücüler ve VBS gereksinimleri.

Donanım destekli güvenin kökünü oluştur

UEFI Güvenli önyükleme, sistemlerinizin önyükleme bileşenlerini doğrulayarak sunucularınızı kötü amaçlı rootkit'lerden koruyan bir güvenlik standardıdır. Güvenli önyükleme, yetkili bir yazarın UEFI üretici yazılımı sürücülerini ve uygulamalarını dijital olarak imzaladığını doğrular. Sunucu başlatıldığında firmware, firmware sürücüleri ve işletim sistemi de dahil olmak üzere her önyükleme bileşeninin imzasını kontrol eder. İmzalar geçerliyse, sunucu önyükler ve üretici yazılımı kontrolü işletim sistemine devreder.

Önyükleme işlemi hakkında daha fazla bilgi edinmek için bkz. Windows önyükleme işleminin güvenliğini sağlama.

TPM 2.0, hassas anahtarlar ve veriler için güvenli, donanım destekli bir depolama alanı sağlar. Önyükleme işlemi sırasında yüklenen her bileşen ölçülür ve ölçümler TPM'de depolanır. Donanım güven kökünü doğrulayarak, TPM 2.0 kullanan ve kanıtlama tabanlı iş akışlarının oluşturulmasını kolaylaştıran BitLocker gibi özellikler tarafından sağlanan korumayı yükseltir. Bu kanıtlama tabanlı iş akışları sıfır güven güvenlik stratejilerine eklenebilir.

Güvenilen Platform Modülleri hakkında daha fazla bilgi edinin ve Windows'un TPMnasıl kullandığını .

Güvenli Önyükleme ve TPM 2.0 ile birlikte Windows Server Secure-core, Giriş/Çıkış Bellek Yönetimi Birimi 'ne (IOMMU) sahip uyumlu işlemcilerde Önyükleme DMA koruması kullanır. Örneğin Intel VT-D veya AMD-Vi. Önyükleme DMA koruması ile sistemler, önyükleme sırasında ve işletim sistemi çalışma zamanı sırasında Doğrudan Bellek Erişimi (DMA) saldırılarına karşı korunur.

Üretici yazılımı düzeyi saldırılarına karşı savunma

Uç nokta koruma ve algılama çözümleri, üretici yazılımının işletim sisteminin altında çalışması nedeniyle genellikle sınırlı bir görünürlüğe sahiptir. Üretici yazılımı, işletim sistemi ve hiper yönetici çekirdeğine göre daha yüksek erişim ve ayrıcalık düzeyine sahip olduğundan saldırganlar için cazip bir hedef haline gelmiştir. Üretici yazılımını hedefleyen saldırılar, işletim sistemi tarafından uygulanan diğer güvenlik önlemlerini baltalar ve bir sistemin veya kullanıcının ne zaman tehlikeye girdiğini belirlemeyi zorlaştırır.

System Guard Secure Launch, Windows Server 2022'den başlayarak AMD ve Intel'in donanım özelliklerini kullanarak önyükleme işlemini üretici yazılımı saldırılarına karşı korur. Dinamik Güven Kökü (DRTM) teknolojisine yönelik işlemci desteğiyle, Güvenli çekirdek sunucular üretici yazılımını donanım destekli bir korumalı alana yerleştirerek yüksek ayrıcalıklı üretici yazılımı kodundaki güvenlik açıklarının etkilerini sınırlamaya yardımcı olur. System Guard, işletim sistemini başlatmak için uyumlu işlemcilerde yerleşik olarak bulunan DRTM özelliklerini kullanır ve sistemin doğrulanmış kod kullanılarak güvenilen bir durumla başlatılmasını sağlar.

İşletim sistemini, onaylanmamış kodun yürütülmesine karşı koruma

Güvenli çekirdek sunucu, güvenli bir bellek bölgesi oluşturmak ve normal işletim sisteminden yalıtmak için Sanallaştırma Tabanlı Güvenlik (VBS) ve hiper yönetici korumalı kod bütünlüğü (HVCI) kullanır. VBS, işletim sistemi içinde diğer güvenlik çözümleri için kullanılabilecek güvenlik sınırları sunmak üzere Sanal Güvenli Mod (VSM) oluşturmak için Windows hiper yöneticisini kullanır.

Genellikle Bellek bütünlüğü koruması olarak adlandırılan HVCI, çekirdekte yalnızca imzalı ve güvenilen kodun yürütülmesine izin verildiğinden emin olunmasını sağlayan bir güvenlik çözümüdür. Yalnızca imzalı ve güvenilen kodun kullanılması, çekirdek modu kodunu değiştirmeye çalışan saldırıları önler. Örneğin, sürücüleri değiştiren saldırılar, veya kötü amaçlı kodu çekirdeğe eklemeye çalışan WannaCry gibi açıkları kullanan saldırılar.

VBS ve donanım gereksinimleri hakkında daha fazla bilgi edinmek için bkz. sanallaştırma tabanlı güvenlik.

Basitleştirilmiş yönetim

Windows PowerShell'i veya Windows Yönetim Merkezi'ndeki güvenlik uzantısını kullanarak Güvenli çekirdek sistemlerin işletim sistemi güvenlik özelliklerini görüntüleyebilir ve yapılandırabilirsiniz. Azure Yerel Tümleşik Sistemler sayesinde üretim iş ortakları müşteriler için yapılandırma deneyimini daha da basitleştirerek Microsoft'un en iyi sunucu güvenliğini kullanıma hazır hale getirmektedir.

Güvenli çekirdek etkin bir tarayıcı penceresinde Windows Admin Center güvenlik uzantısını gösteren ekran görüntüsü.

windows yönetim merkezihakkında daha fazla bilgi edinin.

Önleyici savunma

Güvenli çekirdek işlevselliğini etkinleştirerek saldırganların sistemlerden yararlanmak için kullandığı yolların birçoğuna karşı proaktif olarak savunma yapabilir ve bunları kesintiye uğratabilirsiniz. Güvenli çekirdek sunucu, teknoloji yığınının alt katmanlarında gelişmiş güvenlik özellikleri sağlar ve birçok güvenlik aracı açıklardan haberdar olmadan önce sistemin en ayrıcalıklı alanlarını korur. Ayrıca, BT ve SecOps ekipleri tarafından ek görevlere veya izlemelere gerek kalmadan da gerçekleşir.

Güvenlik temelli yolculuğunuza başlayın

Güvenli çekirdek sunucu için sertifikalı donanımları Windows Server Kataloğu'da ve Azure Yerel sunucular için Azure Yerel Kataloğu'te bulabilirsiniz. Bu sertifikalı sunucular, en gelişmiş saldırı vektörlerinden bazılarını engellemeye yardımcı olmak için donanım, üretici yazılımı ve işletim sisteminde yerleşik olarak endüstri lideri güvenlik azaltmalarıyla tam olarak donatılmıştır.

Sonraki adımlar

Artık Güvenli çekirdek sunucusunun ne olduğunu anlayabilirsiniz. Başlamanız için bazı kaynaklar aşağıdadır. Nasıl yapıldığını öğrenin: