windows server 2016安全性解读
Windows服务器和客户端的每个版本都较前一个版本更为安全。但是,就Windows 10和Windows Server 2016而言,微软步子跨得更大,这两款产品并非普通的增量改进和漏洞修复,而是为用户提供工具,降低凭据钓鱼、管理员权限过大和不可信二进制文件所带来的风险。Windows Serve 2016旨在从三个主要方面提供更好的安全性: 保护身份和凭据、保护虚拟机、保护服务器和云端的操作系统 。
Jeff Woolsey(微软的principal group program manager)说:“ 过去,安全是其他技术的一部分,我们需要将它抽离出来。 ”
他表示,微软和客户的每次交流都涉及安全与身份防护。企业云团队和微软Azure堆栈的首席架构师Jeffrey Snover补充说,现在的攻击规模意味着安全已经不仅仅是IT团队需要关注的问题,因为“当我们询问客户他们所关注的IT问题时,有些答案很相似。有太多的经历告诉我们,客户常常被攻击了好几个月还被蒙在鼓中。”
Snover认为,自从塔吉特(Target)公司的CEO因为安全问题被解雇后,安全已经成为CEO操心的问题。他说:“塔吉特公司一直将IT作为其商业价值主张的核心内容。当IT受到攻击时,其商业价值就受到威胁。因而,问题才会如此严重。”
保护管理员账号
如今,对组织进行入侵几乎都是通过内部员工实现的,因为攻击者会利用社会工程或者钓鱼攻击窃取这些人的凭据。
“坏蛋们的不法行为出现剧增。他们穿着睡衣从容地从海外发动攻击,而不用担心被引渡。一直以来,网络被视为主要攻击面。现在的情况是身份作为新的攻击面,成为攻击者进入基础设施的途径。将恶意软件植入到基础设施中并非难事,而骗取用户点击更不像人们想象的那么难。”
这并不意味着零日漏洞和高级攻击已经成为过去。就像Snover指出的那样:“若国家层面现在可以做到,那么坏蛋和脚本小子们早晚也能做到。”但是,总的来说,攻击者会采用最简单的方法,目前来说是身份。
只要登录过一次,攻击者便会使用“哈希传递(pass the hash)”和“票证传递(pass the ticket)”等技术横向移动到公司的其他业务系统。
根据Snover所说,若攻击者登录的第一个账号没有足够的访问权限,“他们会在机器上触发问题,诱使支持人员登录进行修复,而这些支持人员通常都有管理员凭据。”窃取这些凭据之后,攻击者就会拥有更多的访问权限。通常,攻击者只需要24到48小时就能获取域管理员账号。若攻击悄然进行,长达200天而不被发现,便会造成严重问题。他指出:“域管理员可以做任何事情,而且时长不限。”
“Windows Server 2016针对这个问题作了巨大改进。首先, 对哈希进行了加密处理 。Credential Guard采用了现代化硬件—其实它问世已经有几年,并不那么现代了;利用虚拟化技术,保护机器机密,使其免受“哈希传递”和“票证传递”攻击。我们还有远程 Credential Guard :用户访问RDP时,我们并不发送凭据,而是采用单点登录方式。”
Windows Server 2016的防护措施还包括之前作为选件的PowerShell。Snover表示,Just Enough Admi(JEA)/Just in Time(JIT)将通常不受限制的管理员权限削减到“最小的操作集合,执行操作须遵照审批通过的工作流,并受时间限制”。此外,“有了JEA,当用户作为管理员连接到机器时,仅能以动态产生的虚拟影子账户登录。这样,通过PowerShell,我们限制了用户的权限,对其严加防范。至于JIT,我们的模式如下:进程为用户发放安全令牌,令牌只在有限时间段内对少数几台机器生效。”
“难题是不仅有通用安全,还有操作安全,后者是可以通过操作实现的安全。从操作角度说,用户可以设置仅在工作时间访问,在管理员非工作时间拒绝访问。下一步,用户须了解自己的工作内容,以通过工单系统进行正确配置。之后,要考虑不同的管理员任务所适用的工作流,为管理员分配恰当的权限,在指定时间段内操作指定的几台机器。”
对此,Woolsey进一步解释如下:“比如,我是网络管理员,我的工作是管理网络防火墙。99%的时间内我无须登录管理员账号,但是一般情况下还是会以网络管理员账号登录系统,收发下邮件,浏览下网页。如果防火墙配置需要修改,可能须多数人投票表示同意,并且,我还要在一小时之内完成修改。若一小时后任务没有完成,就要走审计流程,我需要回答‘出了什么问题?需要调查吗?’等质询。”
Snover补充道:“我们对日志及审计进行了改进。新的思路是‘假设违规’,即假设坏蛋总会出现。所以,系统会记录所有操作,以便日后追溯。日志内容巨细靡遗,深入至引擎级数据。”
微软还致力于开发模板,方便用户为不同角色分配不同的JEA权限。此外还有一款工具正在研发中,用于扫描域服务器,查明管理员数量。“有个客户有2000名域管理员,而实际上只需要20个。还有一个客户发现一台机器的管理员数量竟然高达18.7万,”Dean Wells (principal program manager)接受CIO.com采访时如是说。
目前,JEA已用于Windows Server。Snover承认:“这只在Windows环境有效,当用户需要凭据离开Windows环境时,还是会有问题。”不过,因为JEA是PowerShell中的一个工具,所以微软将PowerShell加入到Linux中,目的是在其他平台上通过PowerShell支持JEA。“说到安全,Linux与Windows不同,但是我们有信心做好。”
保护虚拟机Shielded VM
Woolsey指出,虽然虚拟化有诸多优势,同时它还制造了很多大麻烦。其中最突出的一个问题是单点故障。
“虽然数十年前单点攻击已为人所知,但并没有人对其进行深挖细查。如果能够进入用户的虚拟化主机,我就可以访问50台或更多台正在运行的虚拟机。这是一场灾难。数个系统封装在一个简单的文件中,而我只需窃取这个文件。我可以将虚拟机复制到U盘并到处运行,因为虚拟机无法哪些硬件和结构是有效的,哪些无效。并且,本地管理员可以撤消guest账户的所有操作,进行自我防护。理论上,我可以撤消任何虚拟机加密操作。被俘获或受感染的主机的管理员可以访问guest虚拟机。如果可以获取用户的凭据并入侵虚拟域控制器,用户就完蛋了,我就可以用户的地盘上为所欲为了,因为我已经有了他们地盘的钥匙了。”
Snover表示:“ 虚拟机具备很强的敏捷性,但其安全配置却不尽人意。 在原有的具备物理服务器的模型中,谁能够访问虚拟机?”答案是服务器管理员,但是存储管理员和网络管理员不能访问虚拟机。有了虚拟机,突然会有更多不同角色的人可以访问设备,并能够复制和查看数据。这是一项真正的挑战,特别是当托管环境中的人员来自不同公司时。基于这一点,我们设计了Shielded VM。因此, 只有虚拟机管理员可以访问Shielded VM ,那些托管方,即使用户不一定他们,他们也可以访问Shielded VM。”
Windows Server 2016中新型的Shielded VM通过BootLocker加密 ,并运行在这样一个硬件结构中:新的主机防卫服务(HGS)只有在证实了主机的健康状态后才会用于运行(或迁移)虚拟机的秘钥。“我们的目标是虚拟机可自行防御管理员和主机的入侵,包括在线和离线检查,因为数据加密可动可静。”Woolsey说道,“这些虚拟机只能运行在二进制程序、启动路径和内核都是健康状态的主机上。”
“数据和Shielded VM状态应受到保护,以免受到恶意软件和数据中心管理员、Fabric管理员、存储管理员和虚拟化管理员的检测盗窃和篡改。”用户可以将域管理员与IaaS管理员职责分离。Shielded VM只能运行在经过认证的结构上。这些结构被指定为Shielded VM的宿主,负责防御本地流氓管理员的入侵。”
虚拟机在离开防护范围的情况下,仍是一个加密的blob。即使您具有管理员的所有权限,也无法入侵它。如果我是一台Shielded VM,这不是我的结构,我不会启动,也就不会被实时迁移。虚拟机运行时,管理员无法查看内存内容。他们无法启动调试器,因为会受到主机防卫服务的监控。
Woolsey称,很多场景下都会用到Shielded VM:“托管商可将之用于租户管理。最终,企业可实现强大的职责分离。Shielded VM还可用于分支办事处。之前,您可能无法在分支办事处运行敏感的工作负载,因为服务器部署在接待员的办公桌下。但现在,你可实现这已操作。”
加密虚拟机还有助于防范删除服务器驱动时无意间造成的数据泄漏。“服务器驱动本应被回收或销毁,但往往情况并非如此。如果删除服务器驱动,须确保数据已受保护。”
Shielded VM包括以下三部分:
- 虚拟安全模式 (VSM)运用硬件虚拟化保护虚拟机免受本地管理员控制。Windows 10和Windows Server 2016都使用这一技术来保护登录凭据。“如果我是本地管理员,我可以查看所有内存内容。”Woolsey说,“有了虚拟安全模式,我们可以在Window内核的旁边创建一小块“区域”,只用于与主机防卫服务通信。因此,您在内核或本地管理员上下文环境中看不到该“区域”。”这意味着,本地管理员无法通过窥测内存来获取加密虚拟机的凭据。
- 主机防卫服务 是一项运行在锁笼中的重要的基础结构,锁笼配有2把挂锁和1部对准它的照相机。它在独立域中运行,不与架构内共享任何信任。”Woolsey说,它唯一的作用是证实运行虚拟机的物理结构。“主机防卫服务评估结构中的服务器启动过程,确保没有恶意软件入侵,并且启动过程中且启动过程未感染任何病毒。”主机防卫服务还会监控代码完整性,因此,只有获得许可的进程才能运行。”
- 虚拟机使用的 虚拟可信平台模块(vTPM) 并未与服务器的物理可信平台模块进行绑定,因为那会使虚拟机无法迁移。然而,服务器的可信平台模块不可或缺。“这段时间以来,我一直向我们的服务器合作伙伴强调,我们的服务器在发货时需配备可信平台模块。”Snover说,“我们将非常热衷于模块。”
此外,用户需采用第二代虚拟机。目前,仅主机操作系统为Windows 8、Windows Server 2012或更高版本的虚拟机能获得保护,而主机系统为Windows 7和Windows Server 2008 R2的虚拟机不在保护之列。Wells表示, 微软正在与Linux社区合作,将在2017年年中为Linux虚拟机提供防护。
攻击者与业内人士
Woolsey补充道,美国国务院和国防部以及英国国防部等政府机构正着手采用Shielded VM。“我们在制定通用标准时常被问及的一个问题是‘如何对付流氓管理员?’。我们一般这么回答,这个问题的确存在,但很难解决。我们一直试图在Azure和Windows Server中解决此问题。如下是我们具体的解决办法。”
攻击者在钓鱼攻击中将管理员作为攻击目标。如果系统未采用Shielded VM,他们可提取虚拟机程序,然后在自己的硬件设备上运行。同样,如果一位具备管理员访问权限的员工感到不满,也可能非法获取虚拟机副本。“这种情况下,我们可采取以下缓解措施。”他说。
Windows Server 2016中还存在其他安全改进,例如, 活动目录支持容器 ,这样用户就无需单独管理这些容器的证书。此外还限制了可运行的代码。Snover说:“这些主机操作系统的保护措施保证了系统按用户要求运行。”
Device Guard提供新型代码完整性,限制了可运行的二进制程序。Wells解释说,“此限制不再只针对用户,也会防止管理员进行滥用。
”如果管理员擅自修改代码完整性策略并重启服务器,可导致蓝屏问题。他说,客户曾反馈过此问题。“他们提出了这样一个需求:如果设备存储有敏感工作负载和数据,即使丢掉工作负载,也要保留数据。”Wells建议将Device Guard部署在审计模式下,观察产生的影响。
此外, 控制流防护(CFG) 限制了为防护内存破坏攻击和 返回导向编程(ROP) 可执行的应用代码。从Window 10开始采用了这一技术。Windows Server 2016中又新增了一个客户端特性,即 Windows Defender反恶意软件 。
“问题是当用户在服务器上安装反恶意软件时,需对Hyper-V进行一些补充优化,而(第三方工具)缺乏此类优化。”Woolsey解释道,“结果,客户会打来的各种奇奇怪怪要求提供技术支持的电话,并且虚拟机也会出现非常奇怪的问题。 第三方工具并未虑及角色和服务。而我们的反恶意软件却可开箱即用。该软件了解服务器的工作负载,且为适应横向扩展文件服务器角色而进行了优化。”
Windows Server 2016中的软件定义网络(SDN)包括网络安全组和在网络中部署虚拟安全设备的分布式防火墙。Ravi Rao(微软的principal lead program manager)说道,“如果我部署防火墙阻断对我的数据中心的访问,该防火墙就与我的关键工作负载距离太远,无法对其进行防护。”
“一旦攻击者入侵,会造成严重破坏。现在,我对前端服务器设置安全限制,仅允许互联网用户访问网络外层,而不允许其访问网络内层。这样,网络内层仅进行层级间的通信,而不会连接到互联网。”Rao说道,“在这种情况下,即使攻击者攻击了前端,并利用漏洞控制了前端,也无法渗透到网络内层。这样,用户就可灵活地进行网络隔离,满足不断变化的网络需求。”
Windows Server 2016中新增的 Nano Server部署选项也 提升了安全性。Nano Server不具备图形界面,仅提供更少的组件和服务,其攻击面比Server Core还要小得多。Snover称其为“一款极简操作系统”。
使用Nano Server运行Hyper-V、集群、IIS、DNS、横向扩展文件服务器以及在.NET Core和ASP.NET Core中运行的任何工作负载,可减少影响服务器的漏洞,这样需要的安全补丁也就随之减少。鉴于目前很多成功攻击利用的漏洞均存在补丁,及时安装补丁仍是个问题。
此外,Nano Server是一种切换到容器和云端应用开发的逻辑方法,而且为微软推出Azure Stack混合云产品包提供了基础。如果用户准备采用这种新的工作方式,Nano Server会提供基础保护。另一方面,Windows Server 2016基于目前企业对服务器的使用方式,对安全进行了大量的改进,能够对企业面临的关键攻击方法进行防御。这是一个重大升级。
来源:安全加(http://toutiao.secjia.com/windows-server-2016-security-analysis)
相关文章
- 2条评论
- 嘻友诗呓2022-05-29 11:54:29
- Server中解决此问题。如下是我们具体的解决办法。”攻击者在钓鱼攻击中将管理员作为攻击目标。如果系统未采用Shielded VM,他们可提取虚拟机程序,然后在自己的硬件设备上运行。同样,如果一位具备管理员访问权限的员工感到不满,也可能非法获取虚拟机副本。“这种情
- 泪灼心児2022-05-29 14:30:04
- ielded VM,这不是我的结构,我不会启动,也就不会被实时迁移。虚拟机运行时,管理员无法查看内存内容。他们无法启动调试器,因为会受到主机防卫服务的监控。Woolsey称,很多场景下都会用到Shielded VM:“托管商可将之用于租户管理。最终,企业可实现强大的职责分离。Shielde