Was ist ein Server mit gesicherten Kernen?

Gilt für: Windows Server 2022

Der Server mit gesicherten Kernen kombiniert Hardware-, Firmware- und Treiberfunktionen, um die Betriebsumgebung weiter zu schützen – vom Startprozess bis hin zu Daten im Arbeitsspeicher. Es basiert auf drei Hauptpfeilern: vereinfachte Sicherheit, erweiterter Schutz und vorbeugende Verteidigung.

Vereinfachte Sicherheit

Zertifizierte OEM-Hardware für Server mit gesicherten Kernen bietet Ihnen die Gewissheit, dass die Hardware, Firmware und Treiber die Anforderungen für Die Serverfunktionen mit gesicherten Kernen erfüllen. Windows Serversysteme können problemlos in Windows Admin Center konfiguriert werden, um diese Funktionen zu aktivieren.

Erweiterter Schutz

Die von einem Secured-Core-Server aktivierten Schutzmaßnahmen dienen zur Schaffung einer sicheren Plattform für wichtige Anwendungen und Daten, die auf diesem Server verwendet werden. Die Secured-Core-Funktionalität deckt die folgenden Bereiche ab:

  • Stamm mit hardwaregestützter Vertrauenswürdigkeit

    Trusted Platform Modules (TPM) sind entweder Hardwarechips (eingebettet in der Hauptplatine oder hinzugefügt auf), oder neuere Prozessoren verfügen über ein firmwarebasiertes TPM. Ein TPM kann Verschlüsselungsschlüssel erstellen und speichern sowie andere Geheimnisse wie Zertifikate speichern. Dieser Chipspeicher ist vom herkömmlichen Datenträger- oder Arbeitsspeicherspeicher getrennt, der vom Betriebssystem und den Anwendungen verwendet wird, sodass er von softwarebasierten Angriffen isoliert ist.

    Ein TPM 2.0-Chip kann die Integrität des BIOS und der Firmware des Geräts überprüfen und mit Informationen vergleichen, die vom Gerätehersteller in den Chip eingebrochen wurden. Diese Funktion für den sicheren Start bestätigt, dass vor dem Betriebssystem keine nicht autorisierte Firmware oder Software geladen wurde, und ermöglicht das anschließende Laden des Betriebssystems. Dies bietet einen “ Hardwarevertrauensstamm ”– für eine Überprüfung auf Hardwareebene, auf die sich der Rest des Betriebssystems und der Anwendungen verlassen kann.

    Erfahren Sie mehr über vertrauenswürdige Plattformmodule und wie Windows 10 tpm verwendet.

  • Sicherer Start mit dynamischem Vertrauensstamm für messungen (DRTM)

    Root of Trust for Measurement (RTM) befindet sich nicht ausschließlich im TPM-Chip. Dabei handelt es sich um eine Softwarefunktion, die das TPM unterstützt. Die Umgebung, die gestartet wird, wird gemessen und verglichen, um sicherzustellen, dass sie nicht manipuliert wurde. Es gibt viele verschiedene Dinge, die während des Starts (als Startkette bezeichnet) auftreten, und diese können sich im Laufe der Zeit ändern und die Reihenfolge ändern, in der sie geladen werden. Mit dem dynamischen Vertrauensstamm für die Messung können die Komponenten zuerst geladen und dann gemessen werden. Dieser Vertrauensstamm ist eine weitere Sicherheitsüberprüfung, dass Systemkomponenten (die Startkette) nicht manipuliert wurden.

  • Systemüberwachung mit DMA-Schutz (Kernel Direct Memory Access)

    PCI-Geräte wie Hochleistungsgrafikkarten waren bisher nur in PCI-Slots mit der Hauptplatine verbunden, oder sie wurden auf die Hauptplatine gelöt. Diese Geräte haben direkten Zugriff auf lese- und schreibgeschützten Systemarbeitsspeicher mithilfe des Systemprozessors. Daher eignen sie sich perfekt für Hochleistungsaufgaben. Mit extern zugänglichen PCIe-Anschlüssen können Sie nun bestimmte PCI-Geräte wie einen USB-Schlüssel anschließen. Leider bedeutet dies, dass ein unbeaufsichtigtes Gerät jetzt über ein schädliches PCI-Gerät verfügen könnte, das den Systemspeicher lesen oder schädlichen Code ohne Schutz darin laden könnte. Dies wird als Drive-by-Angriff bezeichnet.

    Der Kernel-DMA-Schutz verwendet die IOMMU (Input/Output Memory Management Unit), um PCI-Geräte zu blockieren, es sei denn, die Treiber für dieses Gerät unterstützen die Speicherisolation, z. B. DMA-Neuzuordnung. DMA-Neuzuordnung beschränkt das Gerät auf einen bestimmten Speicherort (eine vorab zugewiesene Domäne oder einen physischen Speicherbereich). Dadurch wird sichergestellt, dass dem Gerät ein leerer Speicherplatz zugewiesen wird, um seine Funktionen auszuführen, und dass ’ es keinen Zugriff auf andere im Systemspeicher gespeicherte Informationen hat. Wenn der Gerätetreiber ’ die DMA-Neuzuordnung nicht unterstützt, kann er nicht auf einem Server mit ’ gesicherten Kernen ausgeführt werden.

  • Virtualisierungsbasierte Sicherheit (VBS) und Hypervisor-basierte Codeintegrität (HVCI)

    Virtualisierungsbasierte Sicherheit. (VBS) verwendet hardwarebasierte Virtualisierungsfeatures, um eine sichere Speicherregion außerhalb des Betriebssystems zu erstellen und zu isolieren. Ein Server mit gesicherten Kernen kann dies verwenden, um authentifizierte Benutzeranmeldeinformationen zu schützen und andere Sicherheitsfeatures auszuführen. Dies ist nicht die Reichweite von Schadsoftware, die Zugriff auf den Betriebssystemkernel erhält.

    Hypervisorbasierte Codeintegrität. (HVCI) verwendet VBS, um die Integrität von Kernelmodustreibern und Binärdateien zu überprüfen, bevor sie gestartet werden, und verhindert, dass nicht signierte Treiber oder Systemdateien in den Systemspeicher geladen werden. Die konfigurierbare Codeintegritätsrichtlinie im Benutzermodus überprüft Anwendungen vor dem Laden und startet nur ausführbare Dateien, die von bekannten, genehmigten Signaturgebern signiert wurden. Da VBS diese Überprüfungen in einer isolierten Umgebung ausführt, erhält der Code erst dann Zugriff auf den Hypervisor oder Systemspeicher, wenn er in der VBS-Umgebung überprüft und überprüft wurde.

Vorbeugende Verteidigung

Die Aktivierung der Secured-Core-Funktionalität trägt dazu bei, dass viele der Wege, die Angreifer zur Ausnutzung eines Systems nutzen können, proaktiv abgewehrt und unterbrochen werden. Der Server mit geschützten Kernen ermöglicht erweiterte Sicherheitsfeatures auf den unteren Ebenen des Technologiestapels und schützt die privilegiertesten Bereiche des Systems, bevor viele Sicherheitstools Exploits ohne zusätzliche Aufgaben oder Überwachung erkennen würden, die von den IT- und SecOps-Teams benötigt werden.