Apa itu server Secured-core?
Berlaku untuk: Windows Server 2022, Azure Stack HCI versi 21H2 dan yang lebih baru
Secured-core adalah kumpulan kemampuan yang menawarkan fitur keamanan perangkat keras, firmware, driver, dan sistem operasi bawaan. Perlindungan yang disediakan oleh sistem Secured-core dimulai sebelum sistem operasi boot dan berlanjut saat berjalan. Server inti aman dirancang untuk memberikan platform yang aman untuk data dan aplikasi penting.
Server secured-core dibangun di atas tiga pilar keamanan utama:
Membuat akar kepercayaan yang didukung perangkat keras.
Pertahanan terhadap serangan tingkat firmware.
Melindungi OS dari eksekusi kode yang belum diverifikasi.
Apa yang membuat server Secured-core
Inisiatif Secured-core dimulai dengan PC Windows melalui kolaborasi mendalam antara mitra manufaktur Microsoft dan PC untuk memberikan keamanan Windows yang paling ditingkatkan yang pernah ada. Microsoft telah memperluas kemitraan lebih lanjut dengan mitra manufaktur server untuk membantu memastikan Windows Server memberikan lingkungan sistem operasi yang aman.
Windows Server terintegrasi erat dengan perangkat keras untuk memberikan peningkatan tingkat keamanan:
Garis besar yang direkomendasikan: Minimum yang direkomendasikan untuk semua sistem untuk memberikan integritas sistem dasar menggunakan TPM 2.0 untuk akar kepercayaan perangkat keras dan Boot Aman. TPM2.0 dan Boot aman diperlukan untuk sertifikasi perangkat keras Windows Server. Untuk mempelajari selengkapnya, lihat Microsoft meningkatkan standar keamanan untuk rilis Windows Server utama berikutnya
Server inti aman: Direkomendasikan untuk sistem dan industri yang membutuhkan tingkat jaminan yang lebih tinggi. Server inti aman dibangun pada fitur sebelumnya dan menggunakan kemampuan prosesor tingkat lanjut untuk memberikan perlindungan dari serangan firmware.
Tabel berikut menunjukkan bagaimana setiap konsep dan fitur keamanan digunakan untuk membuat server Secured-core.
| Konsep | Fitur | Persyaratan | Garis besar yang direkomendasikan | Server Secured-Core |
|---|---|---|---|---|
| Membuat akar kepercayaan yang didukung perangkat keras | ||||
| Boot Aman | Boot Aman diaktifkan di BIOS Unified Extensible Firmware Interface (UEFI) secara default. | ✓ | ✓ | |
| Modul Platform Tepercaya (TPM) 2.0 | Penuhi persyaratan Microsoft terbaru untuk spesifikasi Grup Komputasi Tepercaya (TCG). | ✓ | ✓ | |
| Bersertifikat untuk Windows Server | Menunjukkan bahwa sistem server memenuhi bilah teknis tertinggi Microsoft untuk keamanan, keandalan, dan pengelolaan. | ✓ | ✓ | |
| Perlindungan Boot DMA | Dukungan pada perangkat yang memiliki Unit Manajemen Memori Input/Output (IOMMU). Misalnya, Intel VT-D atau AMD-Vi. | ✓ | ||
| Melindungi dari serangan tingkat firmware | ||||
| Peluncuran Aman System Guard | Diaktifkan dalam sistem operasi dengan Dynamic Root of Trust for Measurement (DRTM) yang kompatibel dengan Intel dan perangkat keras AMD. | ✓ | ||
| Lindungi OS dari eksekusi kode yang belum diverifikasi | ||||
| Keamanan berbasis virtualisasi (VBS) | Memerlukan hypervisor Windows, yang hanya didukung pada prosesor 64-bit dengan ekstensi virtualisasi, termasuk Intel VT-X dan AMD-v. | ✓ | ✓ | |
| Hypervisor Enhanced Code Integrity (HVCI) | Driver yang kompatibel dengan Hypervisor Code Integrity (HVCI) ditambah persyaratan VBS. | ✓ | ✓ |
Membuat akar kepercayaan yang didukung perangkat keras
Boot Aman UEFI adalah standar keamanan yang melindungi server Anda dari rootkit berbahaya dengan memverifikasi komponen boot sistem Anda. Boot aman memverifikasi penulis tepercaya telah menandatangani driver dan aplikasi firmware UEFI secara digital. Ketika server dimulai, firmware memeriksa tanda tangan setiap komponen boot termasuk driver firmware dan OS. Jika tanda tangan valid, server boot dan firmware memberikan kontrol ke OS.
Untuk mempelajari selengkapnya tentang proses boot, lihat Mengamankan proses boot Windows.
TPM 2.0 menyediakan penyimpanan yang aman dan didukung perangkat keras untuk kunci dan data sensitif. Setiap komponen yang dimuat selama proses boot diukur dan pengukuran yang disimpan dalam TPM. Dengan memverifikasi akar kepercayaan perangkat keras, ia meningkatkan perlindungan yang disediakan oleh kemampuan seperti BitLocker, yang menggunakan TPM 2.0 dan memfasilitasi pembuatan alur kerja berbasis pengesahan. Alur kerja berbasis pengesahan ini dapat dimasukkan ke dalam strategi keamanan tanpa kepercayaan.
Pelajari selengkapnya tentang Modul Platform Tepercaya dan cara Windows menggunakan TPM.
Bersama dengan Boot Aman dan TPM 2.0, Windows Server Secured-core menggunakan perlindungan Boot DMA pada prosesor yang kompatibel yang memiliki Unit Manajemen Memori Input/Output (IOMMU). Misalnya, Intel VT-D atau AMD-Vi. Dengan perlindungan DMA boot, sistem dilindungi dari serangan Direct Memory Access (DMA) selama boot dan selama runtime sistem operasi.
Melindungi dari serangan tingkat firmware
Solusi perlindungan dan deteksi titik akhir biasanya memiliki visibilitas firmware yang terbatas, mengingat bahwa firmware berjalan di bawah sistem operasi. Firmware memiliki tingkat akses dan hak istimewa yang lebih tinggi daripada sistem operasi dan kernel hypervisor, menjadikannya target yang menarik bagi penyerang. Serangan yang menargetkan firmware merusak langkah-langkah keamanan lain yang diterapkan oleh sistem operasi, sehingga lebih sulit untuk mengidentifikasi kapan sistem atau pengguna telah disusupi.
Dimulai dengan Windows Server 2022, System Guard Secure Launch melindungi proses boot dari serangan firmware dengan menggunakan kemampuan perangkat keras dari AMD dan Intel. Dengan dukungan prosesor untuk teknologi Dynamic Root of Trust for Measurement (DRTM), server Secured-core menempatkan firmware di kotak pasir yang didukung perangkat keras membantu membatasi efek kerentanan dalam kode firmware yang sangat istimewa. System Guard menggunakan kemampuan DRTM yang dibangun ke dalam prosesor yang kompatibel untuk meluncurkan sistem operasi, memastikan sistem diluncurkan ke dalam status tepercaya menggunakan kode terverifikasi.
Lindungi OS dari eksekusi kode yang belum diverifikasi
Server secured-core menggunakan Virtualization Based Security (VBS) dan integritas kode yang dilindungi hypervisor (HVCI) untuk membuat dan mengisolasi wilayah memori yang aman dari sistem operasi normal. VBS menggunakan hypervisor Windows untuk membuat Mode Aman Virtual (VSM) untuk menawarkan batas keamanan dalam sistem operasi, yang dapat digunakan untuk solusi keamanan lainnya.
HVCI, yang biasa disebut sebagai Perlindungan integritas memori, adalah solusi keamanan yang membantu memastikan bahwa hanya kode yang ditandatangani dan tepercaya yang diizinkan untuk dijalankan di kernel. Hanya menggunakan kode yang ditandatangani dan tepercaya mencegah serangan yang mencoba mengubah kode mode kernel. Misalnya, serangan yang memodifikasi driver, atau eksploitasi seperti WannaCry yang mencoba menyuntikkan kode berbahaya ke dalam kernel.
Untuk mempelajari selengkapnya tentang VBS dan persyaratan perangkat keras, lihat Keamanan berbasis Virtualisasi.
Manajemen yang semakin disederhanakan
Anda dapat melihat dan mengonfigurasi fitur keamanan OS sistem Secured-core menggunakan Windows PowerShell atau ekstensi keamanan di Pusat Admin Windows. Dengan Azure Stack HCI Integrated Systems, mitra manufaktur telah lebih menyederhanakan pengalaman konfigurasi untuk pelanggan sehingga keamanan server terbaik Microsoft tersedia langsung di luar kotak.
Pelajari selengkapnya tentang Pusat Admin Windows.
Pertahanan pencegahan
Anda dapat secara proaktif mempertahankan dan mengganggu banyak penyerang jalur yang digunakan untuk mengeksploitasi sistem dengan mengaktifkan fungsionalitas Secured-core. Server inti aman memungkinkan fitur keamanan tingkat lanjut di lapisan bawah tumpukan teknologi, melindungi area sistem yang paling istimewa sebelum banyak alat keamanan menyadari eksploitasi. Ini juga terjadi tanpa perlu tugas tambahan atau pemantauan oleh tim IT dan SecOps.
Mulai perjalanan Secured-core Anda
Anda dapat menemukan perangkat keras bersertifikat untuk server Secured-core dari Katalog Windows Server, dan server Azure Stack HCI di Katalog Azure Stack HCI. Server bersertifikat ini dilengkapi sepenuhnya dengan mitigasi keamanan terkemuka di industri yang dibangun ke dalam perangkat keras, firmware, dan sistem operasi untuk membantu menggagalkan beberapa vektor serangan paling canggih.
Langkah berikutnya
Sekarang Anda memahami apa itu server Secured-core, berikut adalah beberapa sumber daya untuk memulai. Pelajari tentang cara:
- Mengonfigurasi server Secured-core.
- Microsoft menghadirkan keamanan perangkat keras tingkat lanjut ke Server dan Edge dengan Secured-core di Blog Keamanan Microsoft.
- Server Secured-core baru sekarang tersedia dari ekosistem Microsoft untuk membantu mengamankan infrastruktur Anda di Blog Keamanan Microsoft.
- Membangun perangkat, sistem, dan driver filter yang kompatibel dengan Windows di semua Platform Windows dalam Spesifikasi dan Kebijakan Program Kompatibilitas Perangkat Keras Windows.