【Windows Server 2016的安全性强化特色一览】对于安全性强化,Windows Server 2016涵盖更为全面,从特权帐号、作业系统到虚拟化环境,都有对应防护或管制,甚至进一步区分或结合,例如身分管理与主机完整性的确保。(图片来源/微软)
微软Windows Server 2016在10月终于正式宣布上市之后,我们发现当中最有卖相的特色,是安全性相关新功能。而且这的确是切中资料中心IT基础架构发展上的要害──近年来各种重大资安威胁事件层出不穷的情况下,如何保护伺服器系统、各种虚拟化/软体定义IT环境、应用程式平台,使其能够具备足够的存取防护,一直是当前云端服务业者与企业IT管理所力有未逮之处。
而且,初步审视Windows Server 2016所新增的安全性特色,我们也发现微软强调的几个部分,确实是有其使用的必要,而且,考量更为周延,可分为身分存取/特权帐号、作业系统,以及虚拟机器等三大层面,而不像过去,仅针对伺服器系统执行的层面。
针对特权帐号提供更多控管与限制,避免滥权的风险
在帐号权限管理的方式上,Windows Server 2016提供了Just Enough Administration(JEA)和Just-in-time Administration(JIT),这两个特色针对管理者权限有了更细緻的画分,甚至可任意组合权限,限定执行特定使用者帐号所能执行的工作,而不需授与系统管理者的权限,而且还能限制授与权限的时间长短。
基于这两种方法,如果企业能做好分层授权,攻击者即便取得并冒用其中一些管理者的身分,也未必能够存取到全部的重要资料。
以JEA而言,对于企业惯用以不同使用者角色控管权限存取的方式,能够提供补强的作法,因为系统管理者可以根据该位使用者需要的部分,更精确地将指定的细部权限项目,配置给对方所用的帐号,而非授与过多权限。
就技术架构来看,JEA隶属于Windows Management Framework 5.0的功能,是从Windows Server 2008 R2就开始支援的功能,但很可惜的是,多数人可能都不太清楚微软伺服器平台有这样的功能。若要在Windows Server导入JEA的机制,企业需要先透过一支cmdlet,建立PowerShell Session Configuration档案(.pssc档),然后使用RegisterPSSessionConfiguration这只cmdlet注册,接着可以透过一般的PowerShell连线到伺服器端,测试权限组态的效果。
作业系统加入许多防御威胁的机制
首先,Windows Server 2016在作业系统层级的防护上,具有和Windows 10相同的装置保全机制Device Guard,以及身分保全Credential Guard,当中运用了一种新的虚拟安全模式(Virtual Secure Mode,VSM)。
一般而言,Device Guard可防止作业系统执行到恶意程式,当各种应用程式在OS核心模式与使用者模式下执行时,能受到保护,因为只有批准的二位元码(binary)才能运作在系统上,例如通过Windows硬体品管部门(WHQL)签章认证的驱动程式,或是名列系统政策设定的安全程式清单的应用程式,此即所谓的Configurable Code Integrity(CCI)。
相对地,Device Guard会阻止驱动程式载入动态程式码,以及不在安全程式清单上的驱动程式,Windows Server 2016可藉此预防有人利用窜改驱动程式的作法,趁机修改执行在系统记忆体的程式码。
而另一项Credential Guard,则是能够针对金钥系统与使用者端机密──本机安全性授权(Local Security Authority,LSA),加以隔离与强化,亦即Isolated LSA(LSAIso)。这项防护机制,可预防有人利用下列两种攻击来窃取身分:传递杂凑值的攻击(Pass-the- Hash,PtH),以及传递金钥的攻击(Pass-the-Ticket,PtT)。针对远端桌面登入的身分保护,微软也提供了Remote Credential Guard,针对RDP协定(Remote Desktop Protocol)连线的单一登入整合机制,使用者身分资料毋须传送到被连接的主机端。
可限制Hyper-V虚拟机器只能执行在特定Hyper-V主机,并可结合硬碟加密
Windows Server 2016针对Hyper-V伺服器虚拟化平台下的虚拟机器,提供了加密防护机制,称为Shielded VM。
企业可以在Windows Server 2016上启动Host Guardian Services(HGS),并且使用Windows Server2012开始支援的第二代Hyper-V虚拟机器,运用其中的虚拟TPM(Trust Platform Module),并且套用BitLocker硬碟加密功能,之后,企业就可限定该台VM的执行,只能在防护主机网路Guarded Fabric当中的特定主机上,因此若虚拟机器档案遭到外洩或窃取,也无法在其他主机上启动。
而相对地,HGS也将会要求每台执行该服务的主机,需具备一定程度的防护健全性(health),让Shielded VM能够安全地开机执行,或是从其他主机迁移过去。
微软帮虚拟机器套上安全存取防护罩
Windows Server 2016 Hyper-V加入了Shielded VM的新特色,透过Hyper-V的第二代虚拟机器内建的虚拟TPM模组,可以验证虚拟机器与主机,以及针对虚拟机器使用进阶的BitLocker硬碟加密,并且限制虚拟机器只能执行在安全、可靠的主机伺服器上。(图片来源/微软)
I 相关 / Other
未来Skype用户可以帐号登入Xbox、Office等微软服务
图片来源: Skype 微软于本周宣布,即将更新的Skype将允许使用者以Skype帐号登入Xbox、Office及OneDrive等微软服务,但有些服务的登入必须搭配电子邮件帐号。微软说明,最近使用者可能会注意到Skype的帐号功能有些不同
涉嫌LinkedIn近1.2亿帐号外洩的俄罗斯骇客在捷克就逮,美俄恐上演抢人大战
示意图,与新闻事件无关。 图片来源: FBI 美国联邦调查局(FBI)联手捷克警方,10月5日在布拉格逮捕了涉嫌在2012年入侵专业社交网站LinkedIn,导致1.17亿使用者帐号资料外洩的俄罗斯骇客Yevgeniy N,而美国与俄罗斯争
中国日报网10月19日电(孙若男)所谓“王子犯法,与庶民同罪”,近日沙特阿拉伯因一起枪杀案判定图尔基?本?沙特?阿勒卡比尔王子死刑,并于18日在首都利雅得执行,这是该国40年来首位王室成员因谋杀被处决。据《纽
12日上午记者接到报料称,10月10日在云南昭通,一位身穿法院工作服的女司机因违规停车造成道路堵塞后与交警发生口角,大骂交警,被骂的交警称法院的惹不起,躲得起。(10月12日云南网)交警是人民警察的一个警种,他的
资料图中新网10月13日电据台湾东森新闻消息,霍建华出道至今19年,对粉丝是出了名的亲切、没架子,却因为没办任何社交网站账号,少有机会在网络上和粉丝互动。不过,他为了关心粉丝,其实曾经申请百度账号,在贴吧留