Co je server zabezpečeného jádra?
Zabezpečené jádro je kolekce funkcí, které nabízí integrované funkce hardwaru, firmwaru, ovladače a zabezpečení operačního systému. Ochrana poskytovaná zabezpečenými jádry začíná před spuštěním operačního systému a pokračuje v provozu. Zabezpečený základní server je navržený tak, aby poskytoval zabezpečenou platformu pro důležitá data a aplikace.
Zabezpečený základní server je založený na třech klíčových pilířích zabezpečení:
Vytvoření hardwarově chráněného kořene důvěry.
Obrana proti útokům na úrovni firmwaru
Ochrana operačního systému před spuštěním neověřeného kódu
Co tvoří server s funkcí Secured-core
Iniciativa Zabezpečené jádro začala s počítači s Windows prostřednictvím hloubkové spolupráce mezi partnery Microsoftu a výrobci počítačů, s cílem poskytnout nejvyšší úroveň zabezpečení systému Windows. Společnost Microsoft dále rozšířila partnerství s partnery pro výrobu serverů, aby pomohla zajistit, aby Windows Server poskytoval zabezpečené prostředí operačního systému.
Windows Server se úzce integruje s hardwarem, aby poskytoval rostoucí úroveň zabezpečení:
Doporučené základní normy: Doporučené minimum pro všechny systémy pro zajištění základní integrity systému pomocí TPM 2.0 pro hardwarový kořen důvěry a Secure Boot. K certifikaci hardwaru Windows Serveru se vyžaduje čip TPM2.0 a zabezpečené spouštění. Další informace najdete v tématu Microsoft zvyšuje standard zabezpečení pro další hlavní verzi Windows Serveru
Zabezpečený základní server: Doporučeno pro systémy a odvětví vyžadující vyšší úroveň záruky. Zabezpečený základní server vychází z předchozích funkcí a využívá pokročilé možnosti procesoru k zajištění ochrany před útoky na firmware.
Následující tabulka ukazuje, jak se jednotlivé koncepty zabezpečení a funkce používají k vytvoření serveru zabezpečeného jádra.
| Pojem | Funkce | Požadavek | Doporučená základní úroveň | Secured-Core server |
|---|---|---|---|---|
| Vytvoření hardwarově podporovaného kořene důvěry | ||||
| Zabezpečené spouštění | Zabezpečené spouštění je ve výchozím nastavení povolené v systému BIOS unified Extensible Firmware Interface (UEFI). | ✓ | ✓ | |
| Trusted Platform Module (TPM) 2.0 | Splnění nejnovějších požadavků Microsoftu na specifikaci trusted computing Group (TCG). | ✓ | ✓ | |
| Certifikace pro Windows Server | Ukazuje, že serverový systém splňuje nejvyšší technickou úroveň Microsoftu pro zabezpečení, spolehlivost a správu. | ✓ | ✓ | |
| Ochrana DMA při spouštění | Podpora na zařízeních, která mají jednotku pro správu vstupní/výstupní paměti (IOMMU). Například Intel VT-D nebo AMD-Vi. | ✓ | ||
| bránit útokům na úrovni firmwaru | ||||
| Zabezpečené spuštění System Guard | Povoleno v operačním systému s dynamickým kořenem důvěryhodnosti pro měření (DRTM) kompatibilním s hardwarem Intel a AMD. | ✓ | ||
| Chránit operační systém před spuštěním neověřeného kódu | ||||
| Zabezpečení na základě virtualizace (VBS) | Vyžaduje hypervisor Windows, který je podporován pouze na 64bitových procesorech s rozšířeními virtualizace, včetně Intel VT-X a AMD-v. | ✓ | ✓ | |
| Rozšířená integrita kódu hypervisoru (HVCI) | Ovladače kompatibilní s integritou kódu hypervizoru (HVCI) a požadavky na VBS. | ✓ | ✓ |
Vytvoření hardwarově podporovaného kořene důvěryhodnosti
UEFI zabezpečené spouštění je standard zabezpečení, který chrání vaše servery tím, že ověřuje spouštěcí komponenty vašich systémů před škodlivými rootkity. Zabezpečené spouštění ověřuje, že důvěryhodný autor digitálně podepsal ovladače firmwaru UEFI a aplikace. Po spuštění serveru firmware zkontroluje podpis jednotlivých spouštěcích komponent včetně ovladačů firmwaru a operačního systému. Pokud jsou podpisy platné, server se spustí a firmware dává operačnímu systému kontrolu.
Další informace o procesu spouštění naleznete v tématu Zabezpečení procesu spouštění systému Windows.
TPM 2.0 poskytuje zabezpečené hardwarové úložiště pro citlivé klíče a data. Každá komponenta načtená během procesu spouštění je změřena a naměřené hodnoty jsou uloženy v modulu TPM (Trusted Platform Module). Ověřením hardwarového kořene důvěry zvyšuje ochranu poskytovanou funkcemi, jako je BitLocker, který používá TPM 2.0 a usnadňuje vytváření pracovních postupů založených na atestaci. Tyto pracovní postupy založené na ověření identity je možné začlenit do strategií zabezpečení nulové důvěryhodnosti.
Zjistěte více o modulech Trusted Platform a o tom, jak systém Windows používá modul TPM.
Spolu se Secure Boot a TPM 2.0 používá Windows Server Secured-core ochranu Boot DMA na kompatibilních procesorech, které mají jednotku pro správu vstupní/výstupní paměti (IOMMU). Například Intel VT-D nebo AMD-Vi. Díky ochraně DMA při spouštění jsou systémy chráněné před útoky DMA (Direct Memory Access) během spouštění a během běhu operačního systému.
Obrana před útoky na úrovni firmwaru
Řešení ochrany koncových bodů a detekce mají obvykle omezenou viditelnost firmwaru vzhledem k tomu, že se firmware spouští pod operačním systémem. Firmware má vyšší úroveň přístupu a oprávnění než jádro operačního systému a hypervisoru, což představuje atraktivní cíl pro útočníky. Útoky zaměřené na firmware podkopávají další bezpečnostní opatření implementovaná operačním systémem, což ztěžuje identifikaci, kdy došlo k ohrožení systému nebo uživatele.
Od systému Windows Server 2022 chrání System Guard Secure Launch spouštěcí proces před útoky firmwaru pomocí hardwarových funkcí amd a Intel. S podporou procesoru pro technologii Dynamic Root of Trust for Measurement (DRTM), servery s zabezpečeným jádrem umístí firmware do sandboxu s hardwarovým zabezpečením, což pomáhá omezit účinky zranitelností ve vysoce privilegovaném kódu firmwaru. System Guard používá funkce DRTM integrované do kompatibilních procesorů ke spuštění operačního systému a zajišťuje tak spuštění systému do důvěryhodného stavu pomocí ověřeného kódu.
Ochrana operačního systému před spuštěním neověřeného kódu
Zabezpečený základní server používá virtualizační zabezpečení (VBS) a integritu kódu chráněného hypervisorem (HVCI) k vytvoření a izolaci zabezpečené oblasti paměti od normálního operačního systému. VBS používá hypervisor Windows k vytvoření virtuálního zabezpečeného režimu (VSM) k nabídce hranic zabezpečení v operačním systému, které lze použít pro jiná řešení zabezpečení.
HVCI, běžně označovaná jako ochrana integrity paměti, je řešení zabezpečení, které pomáhá zajistit, aby se v jádru mohl spouštět jenom podepsaný a důvěryhodný kód. Použití pouze podepsaného a důvěryhodného kódu brání útokům, které se pokoušejí změnit kód režimu jádra. Například útoky, které upravují ovladače, nebo exploity, jako je WannaCry, které se pokoušejí vložit škodlivý kód do jádra.
Další informace o virtualizací založené bezpečnosti a hardwarových požadavcích naleznete v .
Zjednodušená správa
Funkce zabezpečení operačního systému zabezpečených systémů můžete zobrazit a nakonfigurovat pomocí Windows PowerShellu nebo rozšíření zabezpečení v Centru pro správu Windows. Díky místním integrovaným systémům Azure zjednodušili výrobní partneři prostředí konfigurace pro zákazníky, aby bylo nejlepší zabezpečení serveru Microsoftu k dispozici hned od tohoto místa.
Přečtěte si další informace o Windows Admin Center.
Preventivní obrana
Můžete se aktivně bránit a narušit mnoho cest, které útočníci používají ke zneužití systémů povolením základních funkcí zabezpečení. Zabezpečený základní server umožňuje pokročilé funkce zabezpečení v dolních vrstvách technologického zásobníku, které chrání nejvíce privilegované oblasti systému před tím, než mnoho nástrojů zabezpečení o zneužití vědí. Dochází také bez nutnosti provádět další úkoly nebo monitorování týmy IT a SecOps.
Začněte svou cestu se secured-core
Hardware certifikovaný pro servery s zabezpečeným jádrem najdete v katalogu Windows Servera lokální servery Azure v katalogu Azure Local. Tyto certifikované servery jsou plně vybaveny špičkovými omezeními zabezpečení integrovanými do hardwaru, firmwaru a operačního systému, aby pomohly zmírnit některé z nejpokročilejších vektorů útoku.
Další kroky
Teď rozumíte tomu, co je zabezpečený základní server, tady jsou některé zdroje informací, které vám pomůžou začít. Další informace o tom, jak:
- Konfigurace zabezpečeného jádra serveru.
- Microsoft přináší pokročilé hardwarové zabezpečení na Server a Edge se zabezpečeným jádrem na blogu Microsoft Security Blog.
- nové zabezpečené základní servery jsou nyní dostupné z ekosystému Microsoftu, které pomáhají zabezpečit infrastrukturu na blogu Microsoft Security Blog.
- Vytváření zařízení, systémů a ovladačů filtrů kompatibilních s Windows na všech platformách Windows v Specifikace a zásady programu kompatibility hardwaru Windows.