Безопасность и идентичность сервера
Одна из самых приоритетных задач последнего времени — кибербезопасность IT сервера. И это не удивительно, особенно если учитывать, что в настоящее время крупнейшие компании и правительственные учреждения публично говорят о том, что их взломали и они неспособны защитить своих работников и личную информацию клиентов.
То есть, с помощью легко доступных инструментов и полным отсутствием адекватной защиты, злоумышленники способны проникнуть в крупные организации и оставаясь незамеченными в течении длительного периода времени, провести эксфильтрацию секретов или атаковать внутренние ресурсы.
Содержание:
Безопасность и идентичность сервера
Давайте рассмотрим уровни защиты Microsoft Windows Server 2016, которые помогают устранить возникающие угрозы и сделать его активным участником вашей безопасности. Во-первых, рассмотрим новое решение экранирования ВМ, которое защищает виртуальные машины (VM) от нападений на основную структуру.
Затем, познакомим вас с встроенными в операционную систему Windows Server 2016 (ОС) обширными компонентами защиты от угроз, и расширенным аудитом событий, что своевременно поможет системам безопасности обнаружить вредоносную активность.
И наконец, мы поделимся планом для привилегированного доступа end-to-end, основанном на существующих и новых возможностях Windows Server.
Экранированные ВМ
Сегодня, в большинстве виртуальных сред, существует множество имеющих доступ к активам VM, таким как хранилище, администраторов. Это администраторы виртуализации, администраторы хранилищ, сетевые администраторы, администраторы резервного копирования и так далее.
Многие организации, в том числе хостинг-провайдеры, нуждаются в способе защиты виртуальных машин - даже от администраторов - и именно это обеспечивают экранированные виртуальные машины. Имейте в виду, что эта защита от администраторов необходима по целому ряду причин.
Вот несколько:
- Фишинговые атаки
- Кража учётных данных администратора
- Инсайдерские атаки
Экранированные VM обеспечивают защиту данных и состояние VM от просмотра, кражи и взлома из учётной записи администратора.
Экранированные виртуальные машины работают на втором поколении ВМ, что обеспечивает необходимый безопасный запуск, поддержку встроенной прошивки UEFI, и поддержку виртуального Trusted Platform Module (vTPM) 2.0. Хотя на хосте Microsoft Hyper-V должна быть запущена Windows Server 2016, гостевой ОС виртуальной машины может быть Windows Server 2012 или выше.
Новый экземпляр Host Guardian Service развёртывается в среде, которая хранит необходимые ключи для утверждённого узла Hyper-V, доказывающие его работоспособность для запуска экранированных VM.
Экранированные ВМ обеспечивают следующие преимущества:
- Зашифрованные в BitLocker диски (используя vTPM)
- Закреплённый рабочий процесс VM (VMWP), в дополнение к файлу состояния среды выполнения, сохранённому состоянию, контрольным точкам и даже файлам реплики Hyper-V, шифрует живой трафик миграции
- В дополнение к блокировке компонентов Windows PowerShell Direct, компонентов интеграции файлов гостевого файла и других служб, которые предоставляют пользователю или процессу с правами администратора возможные пути к виртуальной машине, отсутствие доступа к консоли
Как возможна такая безопасность? Во-первых, важно, чтобы хост Hyper-V не был скомпрометирован до того, как необходимые ключи для доступа к ресурсам VM будут освобождены из службы Host Guardian (HGS). Эта аттестация может произойти одним из двух способов. Предпочтительный способ — использование TPM 2.0, который имеется в хосте Hyper-V.
Использование TPM, гарантирует загрузочному сектору, что вредоносных программ или руткитов, которые могут поставить под угрозу безопасность, на сервере нет. Модуль TPM обеспечивает связь с HGS аттестационной службы.
Для хостов, которые не имеют TPM 2.0 возможна альтернативная аттестация на основе Active Directory. Однако, в этом случае просто проверяется, является ли хост частью настроенной группы Active Directory. Таким образом, такой же уровень гарантий и защита от бинарного вмешательства не обеспечивается и, следовательно, привилегии администратора хоста от утончённых атак не защищены. Однако доступны экранированные функции VM.
После прохождения аттестации, хост получает от службы аттестации на HGS, сертификат работоспособности, разрешающий ему получать выпущенные из службы защиты ключей, также работающей на HGS, ключи.
Ключи шифруются при передаче и могут быть расшифрованы только в пределах защищённой группы, что является новым для Windows 10 и Windows Server 2016. Затем эти ключи могут использоваться для дешифрования vTPM, чтобы виртуальная машина могла получить доступ к своему защищённому BitLocker хранилищу, и запуска ВМ.
Таким образом, только если хост авторизован и бескомпромиссен, он может получить требуемый ключ и дать доступ ВМ к зашифрованному хранилищу (не администратор, хотя виртуальный жёсткий диск (VHD) остаётся зашифрованным на диске)).
На данный момент, это может быть опасным. Если вы администратор на Hyper-V, а ключи для запуска виртуальной машины получаются с хоста, вы можете получить доступ к памяти хоста и добыть нужные ключи, тем самым сводя на нет всю безопасность, которая должна защищать ВМ от административных привилегий.
К счастью, ещё одна новая функция в Windows 10 и Windows Server 2016 это предотвращает. Эта функция — защищённая группа, которая упоминалось ранее и известна как виртуальный безопасный режим (VSM). Ряд компонентов используют эту службу, включая Credential Guard. VSM - это безопасная среда исполнения, в которой сохраняются секреты и ключи, а критические процессы безопасности выполняются в защищённом виртуализованном разделе как доверенные (доверенные процессы).
Это не виртуальная машина Hyper-V; скорее, защищённый виртуализацией на основе таких технологий, как Second Level Address Translation (SLAT), небольшой виртуальный сейф, который не даёт получить прямой доступ к памяти, модулю I/O Memory Management Unit (IOMMU), защищает от атак Direct Memory Access (DMA) и т. д.
Операционная система Windows, даже ядро, не имеет доступа к VSM. Только безопасные подписанные Microsoft процессы (Trustlets), могут пройти «мост» для доступа к VSM. Для vTPM каждой виртуальной машины, используется vTPM Trustlet, отдельно от остальной части процессов VM, которая работает в новом типе защищённого рабочего процесса ВМ. Это означает, что даже при полном доступе к ядру, доступа к используемой для хранения этих ключей памяти, нет.
Например, если вы работаете с прикреплённым отладчиком, который будет помечен как часть процесса аттестации, проверка работоспособности завершится неудачей, и ключи на хост допущены не будут. Помните, мы упомянули, что ключи от службы защиты ключей отправляются зашифрованными? VSM расшифровывает их, всегда защищая дешифрованный ключ от ОС хоста.
Объединяя всё это вместе, вы получаете возможность создать защищённую от любого уровня администратора (при использовании в хосте TPM 2.0) среду VM, закрывая дыру в безопасности, которую сегодня многие среды закрыть не могут.
Больше информации. Чтобы прочитать, предоставленные Microsoft для реализации этого сценария в вашей среде подробные руководства, перейдите на страницу .
