¿Qué es el servidor de núcleo protegido?

Se aplica a: Windows Server 2022

El servidor de núcleo protegido combina las funcionalidades de hardware, firmware y controlador para proteger aún más el entorno operativo, desde el proceso de arranque hasta los datos en memoria. Se basa en tres pilares clave: seguridad simplificada, protección avanzada y defensa preventiva.

Seguridad simplificada

El hardware OEM certificado para el servidor de núcleo protegido le ofrece la garantía de que el hardware, el firmware y los controladores cumplen los requisitos de las funcionalidades de servidor de núcleo protegido. Windows server server se pueden configurar fácilmente en Windows Admin Center para habilitar estas funcionalidades.

Protección avanzada

Las protecciones habilitadas por un servidor con núcleo protegido están destinadas a crear una plataforma segura para las aplicaciones críticas y los datos usados en ese servidor. La funcionalidad de núcleo protegido abarca las siguientes áreas:

  • Raíz de confianza de hardware

    Los módulos de plataforma segura (TPM) son chips de hardware (insertados en la placa base o agregados) o procesadores más recientes tienen un TPM basado en firmware. Un TPM puede crear y almacenar claves de cifrado y almacenar otros secretos, como certificados. Este almacenamiento de chip es independiente del almacenamiento de memoria o disco tradicional que usan el sistema operativo y las aplicaciones, por lo que está aislado de ataques basados en software.

    Un chip TPM 2.0 puede comprobar la integridad del BIOS y el firmware del dispositivo, comparándolo con la información que el fabricante del dispositivo ha incorporado al chip. Esta funcionalidad de arranque seguro confirma que no se ha cargado ningún firmware o software no autorizado antes del sistema operativo y permite que el sistema operativo se cargue. Esto proporciona una raíz de confianza de hardware una comprobación de nivel de hardware en la que pueden confiar el resto del sistema operativo y “”– las aplicaciones.

    Obtenga más información sobre los módulos de plataforma segura y cómo Windows 10 el TPM.

  • Arranque seguro con raíz dinámica de confianza para la medición (DRTM)

    La raíz de confianza para la medición (RTM) no se encuentra solo dentro del chip TPM. Es una funcionalidad de software con la que el TPM ayuda. El entorno que arranca se mide y se compara para comprobar que no se ha alterado. Hay muchas cosas diferentes que suceden durante el arranque (conocida como cadena de arranque) y pueden cambiar con el tiempo y cambiar el orden en el que se cargan. Raíz dinámica de confianza para measurement permite que los componentes se carguen primero y, a continuación, se miden. Esta raíz de confianza es otra comprobación de seguridad de que los componentes del sistema (la cadena de arranque) no se han alterado.

  • Protección del sistema protección con acceso directo a memoria (DMA) del kernel

    Los dispositivos PCI, como las tarjetas gráficas de alto rendimiento, solían conectarse solo a la placa base en ranuras PCI o se encontraban en la placa base. Estos dispositivos tienen acceso directo a la memoria del sistema de lectura y escritura mediante el procesador del sistema, por lo que son perfectos para tareas de alto rendimiento. Con los puertos PCIe accesibles externamente, ahora puede conectar determinados dispositivos PCI como lo haría con una clave USB. Desafortunadamente, esto significa que un dispositivo desatendido podría tener ahora un dispositivo PCI malintencionado conectado a él, que podría leer la memoria del sistema o cargar código malintencionado en él, sin protección. Esto se conoce como ataque de unidad por unidad.

    La protección de DMA de kernel usa la unidad de administración de memoria de entrada/salida (IOMMU) para bloquear los dispositivos PCI a menos que los controladores de ese dispositivo admitan el aislamiento de memoria, como el remapping de DMA. La nueva asignación de DMA restringe el dispositivo a una ubicación de memoria determinada (un dominio asignado previamente o una región de memoria física). Esto garantiza que al dispositivo se le asigna un espacio libre de memoria para realizar sus funciones y no tiene acceso a ninguna otra información almacenada ’ en la memoria del sistema. Si el controlador de dispositivo ’ no admite el remapping de DMA, no podrá ’ ejecutarse en un servidor de núcleo protegido.

  • Seguridad basada en virtualización (VBS) e integridad de código basada en hipervisor (HVCI)

    Seguridad basada en virtualización. (VBS) usa características de virtualización basadas en hardware para crear y aislar una región segura de memoria fuera del sistema operativo. Un servidor de núcleo protegido puede usarlo para proteger las credenciales de usuario autenticadas y ejecutar otras características de seguridad, lejos del alcance del malware que obtiene acceso al kernel del sistema operativo.

    Integridad de código basada en hipervisor. (HVCI) usa VBS para comprobar la integridad de los controladores y binarios en modo kernel antes de iniciarse y evita que los controladores sin signo o los archivos del sistema se carguen en la memoria del sistema. La directiva de integridad de código configurable en modo de usuario comprueba las aplicaciones antes de cargarse y solo iniciará los ejecutables firmados por firmantes conocidos y aprobados. Dado que VBS ejecuta estas comprobaciones en un entorno aislado, el código no obtiene acceso al hipervisor o a la memoria del sistema hasta que se haya comprobado y comprobado dentro del entorno de VBS.

Defensa preventiva

Habilitar la funcionalidad de núcleo protegido ayuda a defenderse de forma proactiva y a interrumpir muchas de las rutas de acceso que los atacantes pueden usar para vulnerar un sistema. El servidor de núcleo protegido habilita características de seguridad avanzada en las capas inferiores de la pila de tecnología, lo que protege las áreas con más privilegios del sistema antes de que muchas herramientas de seguridad conozcan las vulnerabilidades de seguridad sin que los equipos de IT y SecOps necesiten realizar tareas ni supervisión adicionales.