什麼是安全核心伺服器?

適用于:Windows Server 2022、Azure Stack HCI 版本 21H2

安全核心伺服器為作業環境提供較高層級的保護。 這包括從開機進程,直接到記憶體中的資料。 其可藉由提升硬體、韌體和驅動程式功能的組合來達到更高的保護。 安全核心伺服器建置在三個主要要素上:簡化的安全性、進階保護及預防防禦。

1.簡化的安全性

安全核心伺服器的認證 OEM 硬體可讓您保證硬體、韌體和驅動程式符合安全核心伺服器功能的需求。 您可以在 Windows Admin Center 中設定 Windows 伺服器系統,輕鬆地啟用這些功能。

2.進階保護

安全核心伺服器保護的設計目的是要為重要資料和應用程式提供安全的平臺。 安全核心功能涵蓋下列領域:

  • 硬體根信任目錄

    信賴平臺模組 (TPM) 是內嵌在主機板或新增至其中的硬體晶片。 較新的處理器具有韌體型 TPM。 TPM 可以建立和儲存加密金鑰,並儲存其他秘密,例如憑證。 此晶片儲存體與應用程式和作業系統所使用的傳統磁片或記憶體儲存體不同。 這會將其與以軟體為基礎的攻擊隔離。

    TPM 2.0 晶片可以檢查裝置 BIOS 和韌體的完整性。 它可以將它們與裝置製造商將它所消耗到晶片的資訊進行比較。 此安全開機功能會檢查作業系統之前未載入未經授權的韌體或軟體。 然後,它可讓作業系統載入。 這會建立「硬體根信任目錄」。 這是作業系統和應用程式其餘部分可以依賴的硬體層級驗證。

    深入瞭解信賴平臺模組,以及如何Windows 10使用 TPM

  • 使用動態根信任進行測量的安全開機, (DRTM)

測量 (RTM) 的根信任是安全性檢查,可確保系統元件尚未遭到竄改。 這項軟體功能是由 TPM 所協助,但不會只存在於 TPM 晶片內。 開機期間發生許多不同的進程。 這稱為開機鏈結。 RTM 會測量並比較開機環境,以確認它尚未遭到竄改。 開機鏈結可能會隨著時間變更,包括元件載入的順序。 測量的動態信賴根目錄可讓元件先載入,然後再測量。

  • 具有核心直接記憶體存取的系統防護 (DMA) 保護

    PCI 裝置過去已連線到主機板 PCI 插槽,例如高效能圖形卡。 它們有時也會被壓到主機板上。 這些裝置可以直接存取使用系統處理器讀取和寫入系統記憶體,因此它們非常適合高效能工作。 您現在可以將特定 PCI 裝置插入外部可存取的 PCIe 埠,就像是 USB 金鑰一樣。 不幸的是,這表示自動裝置現在可以插入惡意 PCI 裝置。 這可讓他們讀取系統記憶體,或載入惡意程式碼,而不需要任何防禦。 這稱為「逐向攻擊」。

    核心 DMA 保護 會使用輸入/輸出記憶體管理單位 (IOMMU) 封鎖 PCI 裝置,除非這些裝置的驅動程式支援記憶體隔離,例如 DMA 重新對應。 DMA 重新對應會將裝置限制在特定記憶體位置, (預先指派的網域或實體記憶體區域) 。 這可確保裝置會配置清楚的記憶體空間來執行函式。 它們無法存取儲存在系統記憶體中的任何其他資訊。 如果設備磁碟機不支援 DMA 重新對應,則不允許在安全核心伺服器上執行。

  • 以虛擬化為基礎的安全性 (VBS) 和 Hypervisor 型程式碼完整性 (HVCI)

    虛擬化型安全性。 (VBS) 使用硬體式虛擬化功能,來建立並隔離與作業系統的安全記憶體區域。 安全核心伺服器可以使用此功能來保護已驗證的使用者認證。 它也可以執行其他安全性功能,使其無法存取任何可存取作業系統核心的惡意程式碼。

    Hypervisor 型程式碼完整性。 (HVCI) 會使用 VBS 在啟動之前檢查核心模式驅動程式和二進位檔的完整性。 它也可防止未簽署的驅動程式或系統檔案載入系統記憶體。 使用者模式可設定的程式碼完整性原則會在應用程式載入之前檢查應用程式。 它只會啟動由已知、核准的簽署者簽署的可執行檔。 VBS 會在隔離的環境中執行這些檢查。 因此,程式碼在從 VBS 環境內檢查和驗證 Hypervisor 或系統記憶體之後,才能存取 Hypervisor 或系統記憶體。

3.預防防禦

您可以藉由啟用安全核心功能,主動防禦並中斷攻擊者用來惡意探索系統的許多路徑。 安全核心伺服器可在技術堆疊的底層啟用進階安全性功能。 這可在許多安全性工具知道惡意探索之前,保護系統最特殊許可權的區域。 它也會發生,而不需要 IT 和 SecOps 小組進行其他工作或監視。