本文提供有关 GDPR 的信息,包括它的含义以及 Microsoft 提供的可帮助你实现合规性的产品。
介绍
欧盟的一项隐私法律将于 2018 年 5 月 25 日生效,其中针对隐私权、安全性和符合性设定了新的全球标准。
《通用数据保护条例》(GDPR) 的根本目的是保护和实现个人隐私权。 GDPR 制定了严格的全球隐私要求,以控制管理和保护个人数据的方式,同时尊重个人选择,而无论数据在何处发送、处理或存储。
Microsoft 和我们的客户现在正在努力实现 GDPR 的隐私目标。 在 Microsoft,我们认为隐私是一项基本权利,并且我们认为 GDPR 是明确和实现个人隐私权的重要一步。 但我们也认识到,GDPR 要求世界各地的组织做出重大改变。
我们在首席隐私官 Brendon Lynch 发表的博客文章使用 Microsoft 云遵守 GDPR 规定和微软公司副总裁兼副总法律顾问 Rich Sauer 发布的博客文章通过签署合同承诺遵守《一般数据保护条例》来赢得你的信任中,概述了我们对遵守 GDPR 的承诺以及如何为客户提供支持。
尽管你的 GDPR 合规性之旅似乎充满挑战,但我们随时为你提供帮助。 有关 GDPR、我们的承诺以及如何开始你的旅程的具体信息,请访问 Microsoft 信任中心的 GDPR 部分。
GDPR 及其影响
GDPR 是一项复杂的法规,可能需要你对收集、使用和管理个人数据的方式进行重大变更。 Microsoft 长期以来一直致力于帮助我们的客户遵守复杂的法规,在为 GDPR 做准备方面,我们就是你在这个旅程中的合作伙伴。
GDPR 对向欧盟 (EU) 人员提供商品和服务的组织,或收集和分析欧盟居民相关数据的组织(无论这些企业位于何处)实施了相关规则。 GDPR 的关键要素如下:
增强个人隐私权。 加强对欧盟居民的数据保护,确保他们有权问其个人数据、纠正该数据中的不准确之处、擦除该数据、反对处理其个人数据以及移动该数据。
加强保护个人数据的责任。 加强处理个人数据的组织的责任,进一步明确确保合规性的责任。
强制性个人数据泄露报告。 控制个人数据的组织必须立即向其监管机构报告对个人权利和自由构成风险的个人数据泄露事件,不得无故拖延,在可行的情况下,最迟应在发现泄露事件后 72 小时内报告。
正如所预料的那样,GDPR 可能会对业务产生重大影响,可能要求更新隐私策略、实现和加强数据保护控制和违规通知程序、部署高度透明的策略,并进一步投资 IT 和培训。 Microsoft Windows 10 可以帮助你有效且高效地满足其中一些要求。
个人和敏感数据
在致力于遵守 GDPR 的过程中,你需要了解该法规如何定义个人和敏感数据,以及这些定义与你的组织持有的数据有何关系。 理解了这点后,你将能够发现创建、处理、管理和存储数据的位置。
GDPR 将个人数据视为与已识别或可识别的自然人有关的任何信息。 这可以包括直接识别(例如你的法定名称)和间接识别(例如明确表明数据引用是你的具体信息)。 GDPR 还明确指出,个人数据的概念包括在线标识符(例如 IP 地址、移动设备 ID)和位置数据。
GDPR 引入遗传数据(如个人基因序列)和生物识别数据的具体定义。 遗传数据和生物识别数据以及其他子类别的个人数据(揭示种族或民族血统、政治观点、宗教或哲学信仰或工会会员资格的个人数据:有关健康的数据;或有关个人性生活或性取向的数据)均被 GDPR 视为敏感个人数据。 需要加强对敏感个人数据的保护,一般要求个人明确同意在何处处理这些数据。
与已识别或可识别的自然人(数据主体)相关的信息示例
此列表提供了几种将通过 GDPR 监管的信息类型的示例。 此列表并不详尽。
名称
标识号(例如 SSN)
位置数据(例如家庭地址)
联机标识符(例如电子邮件地址、屏幕名称、IP 地址、设备 ID)
假名数据(例如,使用密钥来识别个人身份)
遗传数据(例如来自个人的生物样本)
生物识别数据(例如指纹、面部识别)
开始 GDPR 合规性之旅
鉴于符合 GDPR 标准所涉及的内容非常多,我们强烈建议你不要等到开始执行时才做准备。 你应该立即审查自己的隐私和数据管理做法。 我们建议你从关注以下四个关键步骤开始 GDPR 合规性之旅:
发现。 确定你拥有哪些个人数据及其所在位置。
管理。 控制个人数据的使用和访问方式。
保护。 建立安全控制以防止、检测并应对漏洞和数据泄露。
报告。 根据数据请求采取行动,报告数据泄露并保留所需文档。
对于每个步骤,我们都概述了各种 Microsoft 解决方案中的示例工具、资源和功能,它们可用于帮助你满足该步骤的要求。 尽管本文并未提供完整的“操作方法”指南,但我们已包含相关链接,便于你查找更多详细信息,并且 Microsoft 信任中心的 GDPR 部分也提供了详细信息。
Windows Server 安全和隐私
GDPR 要求实施相应的技术和组织安全措施来保护个人数据和处理系统。 在 GDPR 的上下文中,物理和虚拟服务器环境可能会处理个人数据和敏感数据。 处理可以表示任何一个操作或一组操作,例如数据收集、存储和检索。
在满足此要求和实施相应技术安全措施方面,你所具备的能力必定体现出你在当今日益恶化的 IT 环境中所面临的威胁。 如今的安全威胁环境是具有攻击性且顽固的威胁之一。 前些年,恶意攻击者大多专注于通过攻击获得社区的认可或暂时让系统脱机的快感。 从那时起,攻击者的动机已经转向获取金钱,包括将设备和数据作为抵押,直到所有者支付要求的赎金。
现代攻击越来越多地集中在大规模知识产权盗窃;可能导致财务损失的针对性系统降级;以及现在甚至威胁到全世界个人、企业和国家利益安全的网络恐怖主义。 这些攻击者通常是训练有素的个人和安全专家,其中一些受雇于拥有大量预算和看似无限人力资源的民族国家。 面对这样的威胁,我们需要一种能够应对挑战的方法。
这些威胁不仅会对你保持对可能拥有的任何个人或敏感数据的控制能力构成风险,还会对你的整体业务构成重大风险。 看看来自 McKinsey、Ponemon Institute、Verizon 和 Microsoft 的最新数据:
GDPR 要求你报告的数据泄露类型的平均成本为 350 万美元。
其中 63% 的违规行为涉及弱密码或密码被盗,GDPR 希望你解决这些问题。
每天都有超过 30 万个新的恶意软件样本被创建和传播,这使你的数据保护任务更具挑战性。
正如最近的勒索软件攻击(曾被称为 Internet 的“黑瘟疫”)所显示的,攻击者正在追求更大的目标,可以承担更多的费用,并且会造成潜在的灾难性后果。 GDPR 介绍了让包含个人数据和敏感数据的系统(包括台式机和笔记本电脑)成为显著目标的不当做法。
我们已使用以下两项关键原则指导 Windows 的开发并将继续采用该原则:
安全性。 对于我们的软件和服务代表客户存储的数据,我们应妥善保护,使其免受损害,并且仅以适当的方式使用或修改这些数据。 开发人员应该很容易理解安全模型并将其轻松构建到应用程序中。
隐私。 用户应控制其数据的使用方式。 用户应明确信息使用策略。 用户应控制何时以及是否收到信息,以充分利用时间。 用户应该可以轻松指定如何适当使用其信息,包括控制如何使用其发送的电子邮件。
Microsoft 支持 Microsoft 首席执行官 Satya Nadella 最近特别提到的以下原则:
“尽管世界在不断变化,业务需求也在演变,但有些事情是始终如一的:客户对安全和隐私的需求。”
当你为遵守 GDPR 法规而努力工作时,需要了解物理和虚拟服务器在创建、访问、处理、存储和管理 GDPR 所定义的个人数据和潜在敏感数据方面发挥的作用,这一点非常重要。 Windows Server 提供的各种功能将帮助你遵守 GDPR 要求,以便实施适当的技术和组织安全措施来保护个人数据。
Windows Server 2016 的安全状况不是扩充项;而是一种体系结构原则。 通过以下四个要点可以充分理解该原则:
保护。 持续关注和创新预防措施;阻止已知攻击和已知恶意软件。
检测。 借助全面的监视工具帮助更快地发现异常和响应攻击。
响应。 拥有领先的响应和恢复技术以及深厚的咨询专业知识。
隔离。 隔离操作系统组件和数据机密,限制管理员权限,并严格衡量主机运行状况。
借助 Windows Server,你可以显著提高数据保护、检测和防御可能导致数据泄露的攻击类型的能力。 鉴于 GDPR 中有关违规通知的严格要求,确保台式机和笔记本电脑系统得到良好的保护可降低面临的风险,这些风险可能导致代价高昂的违规分析和通知。
后续部分将介绍 Windows Server 如何提供完全适合 GDPR 合规之旅的“保护”阶段的功能。 这些功能体现在三种保护场景中:
保护凭据并限制管理员权限。 Windows Server 2016 有助于实现这些更改,以帮助防止利用系统当做进一步入侵的切入点。
保护操作系统以运行应用和基础结构。 Windows Server 2016 提供了多重保护,有助于阻止外部攻击者运行恶意软件或利用漏洞。
安全虚拟化。 Windows Server 2016 使用受防护的虚拟机和受保护的结构实现安全虚拟化。 这有助于在结构中的受信任主机上加密和运行虚拟机,从而更好地保护虚拟机免受恶意攻击。
下文参考了具体的 GDPR 要求详细讨论了这些功能。这些功能建立在帮助维护操作系统和数据的完整性和安全性的高级设备保护基础之上。
GDPR 中的一项关键规定是以特定和默认方式提供数据保护,Windows 10 中的功能(例如 BitLocker 设备加密)可帮助您满足此规定。 BitLocker 使用受信任的平台模块 (TPM) 技术,该技术提供基于硬件的安全相关功能。 该密码处理器芯片包含多个物理安全机制以使其防篡改,并且恶意软件无法篡改 TPM 的安全功能。
该芯片包含多个物理安全机制以使其防篡改,并且恶意软件无法篡改 TPM 的安全功能。 使用 TPM 技术的一些主要优势在于你可以:
生成、存储和限制使用加密密钥。
使用刻录到自身的 TPM 的唯一 RSA 密钥,可以将 TPM 技术用于平台设备身份验证。
通过采取和存储安全措施来帮助确保平台完整性。
与你的操作相关且不会造成数据泄露的其他高级设备保护措施包括 Windows 受信任的启动,它可确保恶意软件无法在系统防御之前启动,从而帮助维护系统的完整性。
Windows Server:支持 GDPR 合规之旅
Windows Server 中的关键功能可帮助你高效且有效地实现达到 GDPR 合规所需的安全和隐私机制。 虽然使用这些功能并不能保证合规,但它们将支持你达到合规。
服务器操作系统位于组织基础结构中的战略层,因此你有新的机会来创建多重保护,免受可能窃取数据和中断业务的攻击。 GDPR 的关键方面(如特别隐私保护、数据保护和访问控制)需要在服务器级别的 IT 基础结构中解决。
Windows Server 2016 通过努力帮助保护标识层、操作系统层和虚拟化层,来帮助阻止用于非法访问系统的常见攻击途径:被盗凭据、恶意软件和遭到入侵的虚拟化结构。 除了降低业务风险外,Windows Server 2016 内置的安全组件还有助于满足政府和行业关键安全法规的合规性要求。
利用这些标识、操作系统和虚拟化保护,你能够更好地保护在任何云中将 Windows Server 作为 VM 运行的数据中心,并限制攻击者盗用凭据、启动恶意软件以及在网络中保持不被检测到的能力。 同样,Windows Server 2016 在部署为 Hyper-V 主机时,会通过受防护虚拟机和分布式防火墙功能为虚拟化环境提供安全保障。 通过 Windows Server 2016,服务器操作系统将积极参与数据中心安全方面。
保护凭据并限制管理员权限
控制对个人数据的访问以及处理该数据的系统是 GDPR 的一个领域,该领域具有特定要求,包括管理员的访问权限。 特权标识是具有提升权限的任何帐户,例如属于域管理员、企业管理员、本地管理员甚至 Power Users 组成员的用户帐户。 此类标识还可以包括已被直接授予以下特权的帐户,例如执行备份、关闭系统或本地安全策略控制台中“用户权限分配”节点中列出的其他权限。
根据常规访问控制原则和 GDPR,你需要保护这些特权标识免受潜在攻击者的攻击。 首先,必须了解标识是如何被盗的;然后,可以计划阻止攻击者获取对这些特权标识的访问权限。
特权标识如何被盗?
当组织没有保护特权标识的准则时,特权标识可能会被盗。 下面是一些示例:
特权超过所需的权限。 最常见的问题之一是用户拥有的特权超过了执行其工作智能所需的权限。 例如,管理 DNS 的用户可能是 AD 管理员。 大多数情况下,这样做是为了避免需要配置不同的管理级别。 但如果此类帐户被盗,攻击者会自动提升权限。
一直使用提升权限登录。 另一个常见问题是,具有提升权限的用户可以无限期使用它。 这在 IT 专业人员中很常见,他们使用特权帐户登录到台式计算机,保持登录状态,并使用特权帐户浏览 Web 和使用电子邮件(典型的 IT 工作职能)。 特权帐户的无限期使用使帐户更容易受到攻击,并增加帐户遭到入侵的几率。
社会工程研究。 大多数凭据威胁从研究组织开始,然后通过社会工程进行。 例如,攻击者可能会执行电子邮件钓鱼攻击来盗用有权访问组织网络的合法帐户(但不一定是提升的帐户)。 然后,攻击者使用这些有效帐户在你的网络上执行其他研究,识别可以执行管理任务的特权帐户。
利用具有提升权限的帐户。 即使网络中有常规的非提升用户帐户,攻击者也可以获取具有提升权限的帐户的访问权限。 执行此操作的一种比较常见的方法是使用哈希传递或令牌传递攻击。 有关哈希传递和其他凭据盗窃技术的详细信息,请参阅哈希传递 (PtH) 页上的资源。
当然,攻击者还可以使用其他方法来识别和盗用特权标识(使用每天创造的新方法)。 因此,请务必制定用户使用最低特权帐户登录的做法,以减弱攻击者获取特权标识访问权限的能力。 以下部分概述了 Windows Server 可以缓解这些风险的功能。
Just-in-Time Admin (JIT) 和 Just Enough Admin (JEA)
虽然防范哈希传递或票证传递攻击非常重要,但管理员凭据仍可能通过其他方式被盗,包括社会工程、不满的员工和暴力破解。 因此,除了尽可能隔离凭据外,还需要一种方法来限制管理员级特权的覆盖范围,以防凭据被盗。
如今,即使管理员帐户只有一个责任领域,也有太多管理员帐户具备过高的特权。 例如,需要一组非常窄的特权来管理 DNS 服务器的 DNS 管理员通常被授予域管理员级特权。 此外,由于这些凭据是永久授予的,因此可以使用这些凭据的时间没有限制。
每个具有不必要的域管理员级特权的帐户都会增加被试图盗用凭据的攻击者破解的几率。 为了最大程度地减少攻击面,建议只提供管理员完成作业所需的特定权限集,并且仅限完成作业所需的时间范围。
使用 Just Enough Administration 和 Just-time Administration,管理员可以在所需的确切时间范围内请求所需的特定特权。 例如,对于 DNS 管理员,使用 PowerShell 启用 Just Enough Administration 可以创建一组可用于 DNS 管理的有限命令。
如果 DNS 管理员需要更新一台服务器,她会使用 Microsoft Identity Manager 2016 请求用于管理 DNS 的访问权限。 请求工作流可能包括一个审批过程(例如双因素身份验证),该过程可以在授予请求的权限之前呼叫管理员的手机号码来确认她的身份。 授予后,这些 DNS 特权会在特定时间范围内提供对 DNS 的 PowerShell 角色的访问权限。
假设 DNS 管理员的凭据被盗,则会出现以下情况。 首先,由于凭据没有附加管理员权限,因此攻击者无法访问 DNS 服务器或任何其他系统以进行任何更改。 如果攻击者尝试请求对 DNS 服务器的特权,则第二因素身份验证会要求他们确认其身份。 由于攻击者不太可能拥有 DNS 管理员的手机,因此身份验证会失败。 这会将攻击者锁定在系统外,并提醒 IT 组织凭据可能被盗。
此外,许多组织使用免费的本地管理员密码解决方案 (LAPS) 作为其服务器和客户端系统的简单但强大的 JIT 管理机制。 LAPS 功能可管理已加入域的计算机的本地帐户密码。 密码存储在 Active Directory (AD) 中,并受访问控制列表 (ACL) 保护,因此只有符合条件的用户才能读取它或请求将其重置。
如 Windows 凭据被盗缓解指南中所述,
“犯罪分子利用这些工具和技术来窃取凭据和重复使用攻击改进,恶意攻击者发现更容易实现其目标。凭据盗窃通常依赖于操作实践或用户凭据暴露,因此有效缓解需要一种全面的方法来解决人员、流程和技术问题。此外,这些攻击依赖于攻击者在破坏系统以扩展或保留访问权限之后窃取的凭据,因此组织必须实施相关策略来防止攻击者在受损网络中自由移动和逃过检测,以便快速地揭露违规行为。”
Windows Server 的一个重要设计考虑就是缓解凭据盗窃 - 特别是派生的凭据。 Credential Guard 通过在 Windows 中实施重要的体系结构更改来提供显著改进的安全性,借此防御派生的凭据窃取和重复使用现象。它专用于帮助消除基于硬件的隔离攻击,而不是简单地防范它们。
使用基于虚拟化的安全措施保护 Windows Defender Credential Guard、NTLM 和 Kerberos 派生的凭据时,可阻止许多目标攻击中所使用的凭据盗取攻击技术和工具。 在具有管理权限的操作系统中运行的恶意软件无法提取受基于虚拟化的安全性保护的机密。 尽管 Windows Defender Credential Guard 具有强大的缓解功能,但永久性威胁攻击可能会改用新的攻击技术,你还应该纳入如下所述的 Device Guard 以及其他安全策略和体系结构。
Windows Defender 凭据保护器 (Credential Guard)
Windows Defender Credential Guard 使用基于虚拟化的安全措施来隔离凭据信息,防止截获密码哈希或 Kerberos 票证。 它使用全新的独立本地安全机构 (LSA) 进程,操作系统的其余部分无法访问该进程。 隔离的 LSA 使用的所有二进制文件都会先使用经验证的证书进行签名,然后才在受保护环境中启动,从而使传递哈希类型的攻击完全无效。
Windows Defender Credential Guard 使用:
基于虚拟化的安全措施(必需)。 还需要:
64 位 CPU
CPU 虚拟化扩展以及扩展页表
Windows 虚拟机监控程序
安全启动(必需)
TPM 2.0 离散或固件(首选 - 提供与硬件的绑定)
可以使用 Windows Defender Credential Guard 保护 Windows Server 2016 上的凭据和凭据派生,以帮助保护特权标识。 有关 Windows Defender Credential Guard 要求的详细信息,请参阅使用 Windows Defender Credential Guard 保护派生的域凭据。
Windows Defender 远程凭据防护
Windows Defender Windows Server 2016 和 Windows 10 周年更新上的 Windows Defender Remote Credential Guard 还有助于保护具有远程桌面连接的用户的凭据。 以前,使用远程桌面服务的任何人都必须登录到其本地计算机,然后在与其目标计算机建立远程连接时需要重新登录。 第二次登录会将凭据传递给目标计算机,从而使凭据受到哈希传递攻击或票证传递攻击。
借助 Windows Defender Remote Credential Guard,Windows Server 2016 实现远程桌面会话的单一登录,无需重新输入用户名和密码。 而是利用已用于登录到本地计算机的凭据。 若要使用 Windows Defender Remote Credential Guard,远程桌面客户端和服务器必须满足以下要求:
必须加入 Active Directory 域,并且位于同一域或具有信任关系的域中。
必须使用 Kerberos 身份验证。
必须至少运行 Windows 10 版本 1607 或 Windows Server 2016。
远程桌面经典 Windows 应用是必需应用。 远程桌面通用 Windows 平台应用不支持 Windows Defender Remote Credential Guard。
可以使用远程桌面服务器上的注册表设置和远程桌面客户端上的组策略或远程桌面连接参数来启用 Windows Defender Remote Credential Guard。 有关启用 Windows Defender Remote Credential Guard 的详细信息,请参阅使用 Windows Defender Remote Credential Guard 保护远程桌面凭据。 与 Windows Defender Credential Guard 一样,可以使用 Windows Defender Remote Credential Guard 来帮助保护 Windows Server 2016 上的特权标识。
保护操作系统以运行应用和基础结构
防范网络威胁还需要查找和阻止试图通过颠覆基础结构的标准操作做法来获得控制权的恶意软件和攻击。 如果攻击者可以让操作系统或应用程序以非预先确定的、不可行的方式运行,他们很可能使用该系统进行恶意操作。 Windows Server 2016 提供了多重保护,可阻止外部攻击者运行恶意软件或利用漏洞。 操作系统提醒管理员注意指示系统存在漏洞的活动,在保护基础结构和应用程序方面起到了积极的作用。
Windows Defender 设备防护
Windows Server 2016 包括 Windows Defender Device Guard,以确保只有受信任的软件才能在服务器上运行。 使用基于虚拟化的安全措施,它可以根据组织的策略限制可在系统上运行的二进制文件。 如果尝试运行的并非是指定的二进制文件,Windows Server 2016 会阻止它并记录失败的尝试,以便管理员可以看到存在潜在的漏洞。 漏洞通知是 GDPR 合规要求的关键部分。
Windows Defender Device Guard 还与 PowerShell 集成,以便你可以授权哪些脚本可以在系统上运行。 在早期版本的 Windows Server 中,管理员只需从代码文件中删除策略即可绕过代码完整性强制措施。 使用 Windows Server 2016,可以配置组织签名的策略,以便仅有权访问对策略签名的证书的人才能更改策略。
控制流防护
Windows Server 2016 还包括针对某些类型的内存损坏攻击的内置保护。 修补服务器非常重要,但始终有可能针对某个尚未识别的漏洞开发恶意软件。 利用这些漏洞的一些最常见方法是向正在运行的程序提供异常或极端的数据。 例如,攻击者可以通过向程序提供远超预期的输入来利用缓冲区溢出漏洞,并过度运行该程序保留的区域来暂停响应。 这可能会损坏可能保存函数指针的相邻内存。
当程序通过此函数进行调用时,它随后会跳转到攻击者指定的异常位置。 这些攻击也称为面向跳转的编程 (JOP) 攻击。 控制流防护通过严格限制可以执行的应用程序代码(尤其是间接调用指令)来防止 JOP 攻击。 它添加了轻量级安全检查,以识别应用程序中作为间接调用的有效目标的函数集。 应用程序运行时,它会验证这些间接调用目标是否有效。
如果控制流防护检查在运行时失败,Windows Server 2016 会立即终止程序,破坏任何尝试间接调用无效地址的攻击。 控制流防护为 Device Guard 提供了重要的附加保护层。 如果已加入允许列表的应用程序被入侵,该应用程序会在未经 Device Guard 检查的情况下运行,因为 Device Guard 屏蔽功能将看到该应用程序已签名并被视为受信任。
但由于控制流防护可以确定应用程序是否正在以非预先确定的、不可行的顺序执行,因此攻击会失败,从而阻止被入侵的应用程序运行。 这些保护联合使用,攻击者就很难将恶意软件注入 Windows Server 2016 上运行的软件。
对于构建用于处理个人数据的应用程序的开发人员,建议在其应用程序中启用控制流防护 (CFG)。 此功能在 Microsoft Visual Studio 2015 中提供,可在 Windows 的“CFG 感知”版本上运行,即 Windows 10 和 Windows 8.1 更新 (KB3000850) 的桌面和服务器的 x86 和 x64 版本。 无需为代码的每个部分启用 CFG,因为已启用 CFG 和非 CFG 的混合代码将正常执行。 但未能为所有代码启用 CFG 可能会在保护中产生漏洞。 此外,已启用 CFG 的代码在 Windows 的“CFG 不感知”版本上正常工作,因此与它们完全兼容。
Windows Defender 防病毒
Windows Server 2016 包括 Windows Defender 的行业领先的主动检测功能,用于阻止已知恶意软件。 Windows Defender Antivirus (AV) 与 Windows Defender Device Guard 和控制流防护结合使用,以防止在服务器上安装任何类型的恶意代码。 默认情况下,它处于启用状态 - 管理员无需执行任何操作即可开始工作。 Windows Defender AV 还经过优化,可在 Windows Server 2016 中支持各种服务器角色。 过去,攻击者使用 PowerShell 等 shell 来启动恶意二进制代码。 在 Windows Server 2016 中,PowerShell 现已与 Windows Defender AV 集成,可在启动代码之前扫描恶意软件。
Windows Defender AV 是内置的反恶意软件解决方案,可为台式机、便携计算机和服务器提供安全和反恶意软件管理。 自引入 Windows 8 以来,Windows Defender AV 已得到显著改进。 Windows Server 中的 Windows Defender 防病毒使用多管齐下的方法来改进反恶意软件:
云提供的保护有助于在几秒钟内检测并阻止新的恶意软件,即使以前从未见过这些恶意软件。
丰富的本地上下文可改进恶意软件的识别方式。 Windows Server 不仅通知 Windows Defender AV 文件和进程等内容,还通知内容的来源、其存储位置等。
广泛的全局传感器有助于让 Windows Defender AV 保持最新状态,甚至知晓最新的恶意软件。 这可通过两种方式实现:从终结点收集丰富的本地上下文数据,以及集中分析这些数据。
防篡改可帮助 Windows Defender AV 自身抵御恶意软件的攻击。 例如,Windows Defender AV 使用受保护的进程,可以防止不受信任的进程尝试篡改 Windows Defender AV 组件、其注册表项等。
企业级功能可为 IT 专业人员提供使 Windows Defender AV 成为企业级反恶意软件解决方案所需的工具和配置选项。
增强的安全审核
Windows Server 2016 通过增强的安全审核功能主动向管理员发出潜在违规尝试警报,该功能提供更详细的信息,可用于加快攻击检测和取证分析的速度。 它将来自控制流防护、Windows Defender Device Guard 和其他安全功能的事件记录在一个位置,使管理员能够更轻松地确定哪些系统可能面临风险。
新的事件类别包括:
审核组成员资格。 允许审核用户登录令牌中的组成员身份信息。 当枚举组成员身份或在创建登录会话的电脑上查询时,将生成事件。
审核 PnP 活动。 允许在即插即用检测到可能包含恶意软件的外部设备时进行审核。 PnP 事件可用于跟踪系统硬件中的更改。 该事件包括硬件供应商 ID 列表。
Windows Server 2016 与安全事件管理 (SIEM) 系统(如 Microsoft Operations Management Suite (OMS))轻松集成,可将信息合并到有关潜在漏洞的情报报告中。 增强型审核提供的深度信息使安全团队能够更快、更有效地发现和响应潜在的漏洞。
安全虚拟化
如今,企业可以虚拟化一切,从 SQL Server 到 SharePoint,再到 Active Directory 域控制器。 借助虚拟机 (VM) 可以更轻松地部署、管理、服务和自动化基础结构。 但在安全性方面,遭到入侵的虚拟化结构已成为一种新的攻击途径,而且到目前为止,这种攻击途径是难以防御的。 从 GDPR 的角度来看,你应考虑保护 VM,就像保护物理服务器一样,包括使用 VM TPM 技术。
Windows Server 2016 从根本上改变了企业保护虚拟化的方式,包括采用多种技术,让你可以创建仅在自己的结构上运行的虚拟机,帮助在它们运行的存储、网络和主机设备中提供保护。
受防护的虚拟机
让虚拟机易于迁移、备份和复制的特性,同样也使它们更易于修改和复制。 虚拟机只是一个文件,因此它在网络、存储、备份或其他位置不受保护。 另一个问题是结构管理员(无论是存储管理员还是网络管理员)有权访问所有虚拟机。
被盗用的构造管理员可以很容易地跨虚拟机泄露数据。 攻击者必须执行的所有操作就是使用盗用的凭据将他们喜欢的任何 VM 文件复制到 U 盘上,并带出组织,然后从其他任何系统都可以访问这些 VM 文件。 例如,如果其中任何一个被盗的 VM 是 Active Directory 域控制器,则攻击者可以轻松查看内容,并使用现成的暴力破解技术破解 Active Directory 数据库中的密码,最终成功访问基础结构中的其他所有内容。
Windows Server 2016 引入了受防护的虚拟机(受防护的 VM),以帮助防范如前所述的情况。 受防护的 VM 包括虚拟 TPM 设备,它使组织能够将 BitLocker 加密应用于虚拟机,并确保它们仅在受信任的主机上运行,以帮助防止存储、网络和主机管理员被盗用。 受防护的 VM 是使用第 2 代 VM 创建的,这些 VM 支持统一可扩展固件接口 (UEFI) 固件,并且具有虚拟 TPM。
主机保护者服务
除了受防护的 VM 外,主机保护者服务也是创建安全虚拟化结构的重要组件。 其工作是在允许受防护的 VM 启动或迁移到该主机之前,证实 Hyper-V 主机的运行状况。 它保存受防护的 VM 的密钥,在确保安全运行状况之前不会释放这些密钥。 要求 Hyper-V 主机证明主机保护者服务有两种方法。
第一种(也是最安全的一种)是硬件信任的证明。 此解决方案要求受防护的 VM 在具有 TPM 2.0 芯片和 UEFI 2.3.1 的主机上运行。 此硬件需要提供主机保护者服务所需的测量启动和操作系统内核完整性信息,以确保 Hyper-V 主机未被篡改。
IT 组织的备选方案是使用管理员信任的证明,如果组织中未使用 TPM 2.0 硬件,则可能需要这种证明。 此证明模型易于部署,因为主机只是放置在安全组中,并且主机保护者服务配置为允许受防护的 VM 在属于安全组成员的主机上运行。 使用此方法时,无需复杂的措施即可确保确保主机未被篡改。 但你确实消除了未加密 VM 通过 U 盘带出门的可能性,也消除了 VM 将在未经授权的主机上运行的可能性。 这是因为 VM 文件不会在指定组中的计算机以外的任何计算机上运行。 如果还没有 TPM 2.0 硬件,可以先使用管理员信任的证明,然后在升级硬件时切换到硬件信任的证明。
虚拟机受信任的平台模块
Windows Server 2016 支持虚拟机的 TPM,因此你可以支持虚拟机中的 BitLocker® 驱动器加密等高级安全技术。 你可以使用 Hyper-V 管理器或 Enable-VMTPM Windows PowerShell cmdlet 在任何第 2 代 Hyper-V 虚拟机上启用 TPM 支持。
可以使用存储在主机上或存储在主机保护者服务中的本地加密密钥来保护虚拟 TPM (vTPM)。 因此,虽然主机保护者服务需要更多的基础结构,但它也提供了更多的保护。
使用软件定义网络的分布式网络防火墙
在虚拟化环境中改进保护的一种方法是将网络分段,使 VM 只能与运行所需的特定系统通信。 例如,如果应用程序不需要与 Internet 连接,则可以将其分区,从而避免这些系统成为外部攻击者的目标。 Windows Server 2016 中的软件定义网络 (SDN) 包括分布式网络防火墙,利用该防火墙可以动态创建安全策略,以保护应用程序免受来自网络内部或外部的攻击。 此分布式网络防火墙使你能够隔离网络中的应用程序,从而添加了多层安全措施。 策略可以应用于虚拟网络基础结构中的任意位置,隔离 VM 到 VM 流量、VM 到主机流量或 VM 到 Internet 流量(如有必要),既可以针对可能已遭到入侵的单个系统,也可以跨多个子网以编程方式应用。 Windows Server 2016 软件定义网络功能还可以将传入流量路由或镜像到非 Microsoft 虚拟设备。 例如,可以选择通过 Barracuda 虚拟设备发送所有电子邮件流量,以获取额外的垃圾邮件筛选保护。 这允许在本地或云中轻松实现额外的安全性分层。
服务器的其他 GDPR 注意事项
GDPR 明确要求针对个人数据泄露发出泄露通知,它将个人数据泄露定义为:“在传输、存储或以其他方式处理个人数据时安全问题引发的个人数据被意外或非法破坏、丢失、更改或者未经授权的披露或访问的情形。” 显然,如果一开始就无法检测到漏洞,则无法在 72 小时内行动以满足严格的 GDPR 通知要求。
如 Windows 安全中心中心白皮书《入侵后:处理高级威胁》中所述
“与攻破前检测不同,攻破后检测假设已经发生了攻击 — 扮演飞行记录器和犯罪现场调查员 (CSI) 的角色。攻破后检测为安全团队提供识别、调查和应对攻击所需的信息和工具集,否则这些攻击将保持未被检测和未被发现的状态。”
在本部分中,我们将了解 Windows Server 如何帮助你履行 GDPR 漏洞通知义务。 首先,了解提供给 Microsoft 的基础威胁数据是为了你的利益而进行收集和分析的,以及这些数据如何通过 Windows Defender 高级威胁防护 (ATP) 变得对你至关重要。
富有洞察力的安全诊断数据
近二十年来,Microsoft 一直将威胁转化为有用的情报,这有助于强化平台和保护客户。 如今,凭借云提供的巨大计算优势,我们正在寻找新的方法来使用由威胁情报驱动的丰富分析引擎保护我们的客户。
通过将自动化和手动流程、机器学习和人类专家相结合,我们可以创建一个智能安全图,该图可以自我学习并实时演变,从而缩短我们检测和响应产品中新事件的集体时间。
Microsoft 的威胁情报范围跨越数十亿个数据点:每月扫描 350 亿条消息,企业和消费者群体中有 10 亿客户访问 200 多个云服务,每天执行 140 亿次身份验证。 Microsoft 将代表你将所有数据汇聚在一起以便创建 Intelligent Security Graph,它可以帮助你动态保护你的前门,以便保持安全和高效并满足 GDPR 的要求。
检测攻击和取证调查
随着网络攻击变得越来越复杂和有针对性,即使是最好的终结点防御最终也可能遭到破坏。 可以使用两种功能来帮助检测潜在的漏洞:Windows Defender 高级威胁防护 (ATP) 和 Microsoft 高级威胁分析 (ATA)。
Windows Defender 高级威胁防护 (ATP) 可帮助你检测、调查和响应网络上的高级攻击和数据泄露。 GDPR 要求你通过技术安全措施防范各种类型的数据泄露,以确保个人数据和处理系统的持续机密性、完整性和可用性。
以下是 Windows Defender ATP 的主要优势:
检测无法检测到的威胁。 深入操作系统内核的传感器、Windows 安全专家以及来自超过 10 亿台计算机的独特视野和所有 Microsoft 服务的信号。
内置而不是事后扩充。 无代理,具有高性能和极低影响,云支持;可轻松管理且无需部署。
Windows 安全的单一管理平台。 浏览 6 个月内的丰富计算机时间线,统一整合来自 Windows Defender ATP、Windows Defender 防病毒和 Windows Defender Device Guard 的安全事件。
Microsoft Graph 的强大功能。 利用 Microsoft Intelligence Security Graph 将检测和浏览功能与 Office 365 ATP 订阅相集成,以便跟踪和应对攻击。
在 Windows Defender ATP 创意者更新预览版的新增功能中阅读详细信息。
ATA 是一种本地产品,可帮助检测组织中的标识泄露。 ATA 可以捕获和分析身份验证、授权和信息收集协议(例如 Kerberos、DNS、RPC、NTLM 和其他协议)的网络流量。 ATA 使用此数据来生成有关网络上的用户和其他实体的行为配置文件,以便它可以检测异常和已知的攻击模式。 下表列出了 ATA 检测到的攻击类型。
| 攻击类型 | 说明 |
|---|---|
| 恶意攻击 | 检测这些攻击的方式是查找已知攻击类型列表中的攻击,其中包括:
|
| 异常行为 | 检测这些攻击的方式是使用行为分析检测,并使用机器学习来识别可疑活动,包括:
|
| 安全问题和风险 | 检测这些攻击的方式是检查当前网络和系统配置,包括:
|
可以使用 ATA 来帮助检测试图盗用特权标识的攻击者。 有关部署 ATA 的详细信息,请参阅高级威胁分析文档中的计划、设计和部署主题。
关联 Windows Server 2016 解决方案的相关内容
Windows Defender 防病毒:
Windows Defender 高级威胁防护:
Windows Defender Device Guard:
Windows Defender Credential Guard:Windows Defender Credential Guard (YouTube 视频)
控制流防护:
安全和保障:
免责声明
本文是截至发布之日对 GDPR 的评论(按照 Microsoft 的解释)。 我们花了很多时间来研究 GDPR,并且我们一直在思考它的意图和意义。 但是,GDPR 的应用在很大程度上取决于具体情况,而且并非 GDPR 的所有方面和解释都有明确规定。
因此,本文仅供参考,不应作为法律建议或确定 GDPR 如何适用于你和你的组织的依据。 我们建议你与具有法律资格的专业人员合作,讨论 GDPR、它如何具体适用于你的组织,以及如何最好地确保合规性。
MICROSOFT 不对本文中的信息做出任何明示、默示或法定的保证。 本文按“原样”提供。 本文中表达的信息和视图(包括 URL 和其他 Internet 网站参考)如有更改,恕不另行通知。
本文未向你提供针对任何 Microsoft 产品的任何知识产权的任何法律权限。 可以复制并使用本文,但仅用于内部参考。
2017 年 9 月发布
版本 1.0
© 2017 Microsoft。 保留所有权利。