微軟

相隔3年,微軟今年終於再度推出Windows Server新版,第一主打特色就是資安,事實上,不論是作為應用系統平臺、伺服器虛擬化平臺、容器,或是承載超融合基礎架構平臺、雲端服務,關於整體安全性的確保與持續提升,無疑是Windows Server繼續立足於IT領域的最重要價值,有了它,微軟更能在企業IT、雲端服務等領域發揮所長。

不過,要做好資安,無論是廠商或用戶,都必須從方方面面去設想與照應,要能綜觀全局,也需自小處著手,諸多細節皆需注意,雖然諸事繁瑣,但又不能有所遺漏,對於IT產品而言,若要強化安全性,也面臨這樣的挑戰。

因此,基本上,Windows Server每次發布重大改版,都會著墨在微軟當時在資安方面的最重要考量,以最新出爐的Windows Server 2022而言,改版所強調的安全性防護,則是「進階」、「多層次」作為主要的號召,希望能夠打造惡意軟體或駭客難以入侵的平臺。

所謂的多層次,簡而言之,是指系統與網路等兩大層級,其中,系統的部分,主要是安全核心伺服器(Secured-core server),至於網路的部分,則是採用安全性層級更高的加密傳輸協定,以保護網頁存取與內部網路檔案存取。

與處理器廠商、伺服器廠商合作,推動安全核心伺服器

2019年10月,微軟號召晶片廠商、個人電腦製造商,推出名為「安全核心個人電腦(Secured-core PC)」的計畫,目的是透過這樣的系統設計特色,對抗鎖定韌體與作業系統層級的資安威脅。

他們希望,這些個人電腦設備在Windows作業系統底層的韌體層級當中,能夠套用隔離存取,以及最低程度的信任──應指最小權限原則(Principle of Least Privilege)等資安最佳實務。而基於這樣的安全設計,此種採用專屬設計的個人電腦,能夠符合多種產業的專屬需求,像是金融服務、政府、醫療照護,以及處理高度敏感智慧財產、顧客或個人資料的從業人員,因這些對象都是國家級駭客鎖定的高獲利目標。

而在微軟Windows Server 2022推出之際,也將這樣的概念導入了伺服器生態圈,於是,形成了「安全核心伺服器(Secured-core Server)」的計畫,並在今年3月舉行Ignite全球用戶大會期間,宣布這項消息。

微軟表示,他們將Secured-core擴展到伺服器與物聯網生態系當中,涵蓋範圍包括:Windows Server、Azure Stack HCI,以及Azure認證的物聯網設備。前兩者應該可歸類於Secured-core Server,著重在簡化安全、進階防護、預防性防禦(preventive defense),這些產品需具備安全性擔保,由製造商置入的硬體與韌體,需能滿足作業系統安全性功能的要求。

至於物聯網設備,對應的計畫是「邊緣安全核心設備Edge Secured-core」,微軟希望針對執行完整作業系統的物聯網設備,能夠提供內建安全防護,而在作業系統的部分,將包含Linux與Windows。

關於安全核心伺服器,微軟著重的層面,主要是硬體、韌體、作業系統的功能,透過這樣具備足夠保護力的平臺,期盼能夠針對關鍵應用系統,以及存放在此種伺服器的資料,提供額外的安全保障。

圖片來源/微軟

向「安全核心個人電腦」計畫借鏡

為了從硬體、韌體、虛擬層確保安全性,微軟在2019年10月宣布推動「安全核心個人電腦」的計畫,而在今年3月,他們宣布將推動「安全核心伺服器」,而在9月Windows Server 2022發表之後,此計畫也正式成軍。圖片來源/微軟

師法先前安全核心個人電腦採行的作法,這個安全核心伺服器實際上應用了哪些保護?

硬體防護:TPM 2.0

在安全核心伺服器的產品當中,TPM 2.0安全加密處理器晶片是標準配備,提供了硬體信任根,以此作為伺服器系統的安全基礎。

這樣的裝置具備受保護的硬體存放區,可放置敏感的加密金鑰與資料,在伺服器執行開機程序的過程當中,也能用來量測系統的完整性。

關於這方面的安全性功能執行需求,微軟作業系統,如Windows 10與Windows Server 2016當中,主要透過內建的System Guard安全啟動(Secure Launch)提供。它能協助驗證系統是否以合法程式碼啟動、評估載入的諸多元件,以及核對伺服器韌體的簽章,確認是由合法的持有者所簽署,協助用戶了解韌體是否遭到竄改,而能驗證與確保伺服器供應鏈安全。同時,還能確認系統能否被後續執行的程式碼所信任。事實上,相關的保護技術,可追溯至微軟先前發展的另一個功能:Windows Defender System Guard執行時期驗證(runtime attestation)。

韌體防護:DRTM

由於韌體的執行權限層級較高,傳統的防毒軟體往往很難了解裡面是否出現異狀,而在安全核心伺服器當中,Windows Servers內建的System Guard安全啟動功能,會運用處理器來驗證裝置,以便安全地完成系統開機程序,預防進階的韌體攻擊。

這項安全設計,將會運用處理器本身支援的動態信任根量測(Dynamic Root of Trust of Measurement,DRTM)技術,提供相關的防護──韌體會放置在硬體型態的沙箱,一旦高權限韌體程式碼出現安全漏洞,可透過這樣的機制來限縮其造成的衝擊。

微軟表示,英特爾、AMD、Qualcomm這三大處理器平臺,均可支援DRTM的應用,以目前來看,英特爾能憑藉可信賴執行技術(TXT)、虛擬化技術(VT)、主動式管理技術(AMT);AMD則是提出SKINIT、Secure Loader、AMD Secure Processor、AMD-V with GMET等技術。由此來看,英特爾Xeon與AMD EPYC等兩大處理器平臺,應該都符合使用的資格。

在這樣的保護機制之下,微軟作業系統可以運用韌體來啟動硬體,也就是透過作業系統開機引導程式(OS boot loader)與處理器的相關功能,將所要起動的系統,送至已知、可驗證的程式碼執行路徑,讓系統很快完成重新初始化的程序,之後進入可信賴狀態(trusted state)。

微軟認為,這種方式可預防系統層級的竄改,以及韌體層級的攻擊,對於原本指派給韌體的信任能設下限制,並提供更有力的緩解方式,對抗不斷演化的韌體資安威脅。

除了運用DRTM來測量與驗證開機過程,微軟近期版本的作業系統也針對直接記憶體存取(Direct Memory Access,DMA)提供保護功能,稱為Kernel DMA Protection。這項技術是針對電腦外接即插即用PCIe裝置的一種防範措施,所要預防的資安威脅,是透過PCIe埠(Thunderbolt、CFexpress、M.2)接取硬碟或記憶卡等儲存裝置,而進行的偷渡式(Drive-by)DMA攻擊,這類可躍過網路閘道防護措施、直抵內部網路電腦的手法,若不幸中招,可能導致電腦存放的敏感資訊外洩。

虛擬化防護:VBS

在伺服器領域,虛擬化應用由於承載大量虛擬機器,如何確保平臺的安全性,一直是各廠商相當重視的。而在微軟提出的安全核心伺服器中,對於這個層級的防護,主要是虛擬化安全性(Virtualization-Based Security,VBS),以及虛擬層程式碼完整性驗證(Hypervisor-Based Code Integrity,HVCI),這些都是從Windows 10與Windows Server 2016,就開始支援的。

透過這兩種技術,可針對作業系統具有高權限的部分,像是系統核心,進行隔離,使其與系統的其他部分區隔開來,以此防護被濫用於數位貨幣挖礦的資安漏洞,能協助確保伺服器持續執行關鍵工作負載,並且保護相關應用程式與資料,使其免於遭到攻擊與外洩。

VBS會運用硬體虛擬化的功能,從作業系統的層級到伺服器的記憶體當中,建立安全隔離區,同時也可搭配運用Credential Guard的功能,將使用者的帳號密碼、金鑰、憑證等機密資料,存放在作業系統無法直接存取的虛擬容器,因此,可保護網域使用者的帳號安全。

對於實作於Hypervisor層的VBS本身,也必須具備足夠的保護,因為它可用於搭建IT基礎架構,是重要的作業系統安全功能,而上述的DRTM也能予以保護VBS功能的完整性,使其免於受到韌體攻擊所影響。
VBS本身也仰賴Hypervisor對作業系統的敏感功能進行隔離,使其與系統其他部分不能互通,這能保護VBS的功能免於受到惡意軟體的侵犯,因為惡意軟體可能會感染作業系統,而透過提升權限以滲透到其他部分。

 

至於HVCI,則是運用VBS來強化程式碼完整性的保護機制,可透過強制實施嚴格的程式碼完整性政策,確保所有系統核心層級的程式碼,都是經過簽署與驗證的。

這當中包含了系統核心模式完整性驗證,在所有的核心模式驅動程式與二進位碼開始執行之前,能於虛擬化環境當中進行檢查,以此預防未經簽署的驅動程式或系統檔案載入系統記憶體。

在Windows Server 2022於9月上市之際,微軟宣布正式推出安全核心伺服器的計畫,而這是Windows Server 2022所標榜的重大特色之一,6月發布公開預覽版本的Azure Stack HCI 21H2,也將具備這項安全性特色。

目前響應安全核心伺服器計畫的IT廠商,除了上述兩大x86處理器平臺,在伺服器的部份,有DataOn、Dell、Fujitsu、HPE、聯想5個品牌,微軟也特別公布支援的機型。

圖片來源/微軟

檢視伺服器是否符合安全核心的要求

安全核心伺服器不只是微軟推動資安產品的研發計畫,同時,也是一種功能,用戶可透過Windows Admin Center這樣的管理主控臺,實際去檢視目前所掌管的Windows Server,是否具備與啟用從硬體、韌體、虛擬層保護系統的能力。

提升連線安全性,強化HTTPS/TLS、DNS、SMB協定加密傳輸

最初Windows Server之所以受到許多企業用戶歡迎,在於僅需透過圖形操作介面,就能輕鬆地架設各種網路服務,像是網站伺服器、檔案伺服器,因此,直到現在,基於微軟平臺的這些伺服器,仍在企業網路環境占有一席之地。

而在最新發表的Windows Server 2022,也把連線安全性相關規格的強化,作為主打的重點特色。

TLS 1.3

今年1月,美國國安局建議各界淘汰舊版TLS,改用1.2或1.3版TLS,而且要注意勿用安全性較弱的加密演算法,以及使用這些加密演算法的套件。截至目前為止,2018年8月推出的TLS 1.3,已經有幾個網站伺服器平臺支援,像是Nginx 1.13、Apache HTTP Server 2.4,而現在Windows Server 2022也宣布支援TLS 1.3(即將上市的Windows 11也確定支援TLS 1.3),無論本身是作為個人端或伺服器端透過HTTPS進行存取時,系統均預設啟用,能夠保護個人端連至伺服器所存取的資料。

目前在TLS 1.3的應用上,Windows Server 2012支援3種加密套件,包含:TLS_AES_256_GCM_SHA384、TLS_AES_128_GCM_SHA256、TLS_CHACHA20_POLY1305_SHA256。

使用TLS 1.3之後,可獲得比舊版TLS更高的安全性,而且,在交握的溝通上,僅需1次來回,通訊過程可縮短至幾毫秒,為了建立連線僅需1次來回,網路封包往返時間(RTT)僅有1到2個(TLS 1.2需2次來回,網路封包往返時間則為2到3個);若是個人端曾經連至該網站,TLS 1.3的交握甚至不需要來回。如此一來,TLS 1.3的採用,將可大大提升HTTPS連線速度、降低反應延遲,進而提升網站用戶體驗。此外,TLS 1.3的加密處理能夠比TLS 1.2更早啟動,具有更好的傳輸機密性。

值得注意的是,在網站伺服器的應用上,Windows Server 2022原生支援HTTP/3服務。基本上,這個新一代HTTP協定將同時考量到效能與安全性需求,採用QUIC作為傳輸協定,能夠避免傳輸層的隊頭阻塞(Head-of-line blocking),而且,QUIC需搭配TLS 1.3一起使用。

圖片來源/微軟

支援TLS 1.3,能加快建立網路連線的速度

在2018年定案的TLS 1.3版當中,提供更精簡的連線交握程序,Windows Server 2022支援這項協定之後,可縮短伺服器與個人端電腦加密連線建立的時間,進而提升網路存取速度。

DNS-over-HTTPS

在網域名稱服務(DNS)解析(查詢)應用上,Windows Server內建的DNS個人端程式,現在支援DNS-over-HTTPS(DOH)協定。這意味著,DNS解析可運用HTTPS協定來進行,可讓相關的網路流量保有隱密性,可預防有人從旁竊聽,以及DNS資料遭到竄改操弄(Windows 11應該也會支援DOH,已有IT媒體報導此事,但微軟尚未正式宣布)。

目前微軟預設提供DOH伺服器清單,當中包含Cloudflare、Google、Quad 9這三大免費公用DNS服務,用戶也可以自行增添DOH伺服器的IP位址。

 

SMB AES-256加密

在檔案伺服器的存取上,微軟伺服器訊息區塊(SMB)協定的資安漏洞屢屢被盯上,因此,Windows Server 2022也特別在網路安全的部分,增添更多相關的防護機制。

首先,是新增SMB AES-256加密。微軟在最新推出的Windows Server 2022,以及Windows 11,針對SMB(3.1.1)的網路傳輸加密處理上,增加兩個加密套件,分別是:AES-256-GCM、AES-256-CCM。當電腦連至另一臺支援此項機制的電腦時,微軟作業系統會自動交涉處理這套進階加密方式;同時,上述的加密方式,也可經由群組原則強制指派,套用到電腦與伺服器。

在此之前,微軟是在Windows 2016與Windows 10(1607版)的SMB 3.1.1,提供AES-128-CCM與AES-128-GCM,如今Windows Server 2022推出之後,也將繼續支援這兩組加密套件,預設使用AES-128-GCM。

SMB Direct加密

針對微軟伺服器面臨的大量檔案存取的工作負載,如Storage Spaces Direct、Storage Replica、Hyper-V、Scale-out File Server、SQL Server,微軟從Windows Server 2012,就提供SMB直接傳輸機制,稱為SMB Direct,它能運用支援RDMA功能的網路卡,提供低延遲、全速、且僅占用少量處理器資源的網路傳輸能力,能讓存取遠端檔案伺服器,近似在本機伺服器存取。

而在Windows Server 2022提供的SMB Direct,開始支援加密傳輸保護。在此之前。若啟用SMB加密,就會停用資料直接置放機制,使得RDMA的傳輸效能如同使用TCP傳輸般緩慢,而現在之所以不會發生上述狀況,主要是因為資料會在置放之前就予以加密,因此,若使用AES-128與AES-256加密來保護封包隱密性時,不會導致存取效能大幅降級的狀況。

SMB over QUIC

在既有的標準版與資料中心版之外,Windows Server 2022增加了另一個版本,名為Datacenter: Azure Edition,而這個版本與資料中心版唯一的差異,也是Windows Server 2022新增的功能之一:SMB over QUIC。

顧名思義,支援這項機制的Windows電腦,可運用QUIC協定來進行SMB檔案傳輸,而不再經由傳輸效率差的TCP協定。若以這種方式搭配TLS 1.3加密傳輸,使用者與應用程式可以透過安全、可靠的方式,存取在Azure雲端環境執行的邊緣檔案伺服器。

基於這樣的架構,行動工作者與遠距工作者不再需要透過VPN的加密連線,也能憑藉Windows電腦、SMB協定,安全、快速存取檔案伺服器。

圖片來源/微軟

新增SMB over QUIC,可實現無需VPN的安全檔案存取

QUIC是多家IT廠商相當看好的傳輸層網路協定,微軟現在將這項技術引入SMB檔案存取當中,結合TLS 1.3加密協定之後,希望能夠提供兼具高速傳輸、安全特性的遠端檔案存取服務,而不需繼續仰賴TCP與VPN加密連線來實現。

熱門新聞

Advertisement