¿Qué es el servidor de núcleo protegido?
Se aplica a: Windows Server 2022
El servidor de núcleo protegido combina las funcionalidades de hardware, firmware y controlador para proteger aún más el entorno operativo, desde el proceso de arranque hasta los datos en memoria. Se basa en tres pilares clave: seguridad simplificada, protección avanzada y defensa preventiva.
Seguridad simplificada
El hardware OEM certificado para el servidor de núcleo protegido le ofrece la garantía de que el hardware, el firmware y los controladores cumplen los requisitos de las funcionalidades de servidor de núcleo protegido. Windows los sistemas de servidor se pueden configurar fácilmente en Windows Admin Center para habilitar estas funcionalidades.
Protección avanzada
Las protecciones habilitadas por un servidor con núcleo protegido están destinadas a crear una plataforma segura para las aplicaciones críticas y los datos usados en ese servidor. La funcionalidad de núcleo protegido abarca las siguientes áreas:
Raíz de confianza de hardware
Los módulos de plataforma segura (TPM) son chips de hardware (insertados en la placa base o agregados) o procesadores más recientes tienen un TPM basado en firmware. Un TPM puede crear y almacenar claves de cifrado y almacenar otros secretos, como certificados. Este almacenamiento de chip es independiente del almacenamiento de memoria o disco tradicional que usan el sistema operativo y las aplicaciones, por lo que está aislado de ataques basados en software.
Un chip TPM 2.0 puede comprobar la integridad del BIOS y el firmware del dispositivo, comparándolo con la información que el fabricante del dispositivo ha incorporado al chip. Esta funcionalidad de arranque seguro confirma que no se ha cargado ningún firmware o software no autorizado antes que el sistema operativo y permite que el sistema operativo se cargue. Esto proporciona una "raíz de confianza de hardware": una comprobación de nivel de hardware en la que pueden confiar el resto del sistema operativo y las aplicaciones.
Obtenga más información sobre los módulos de plataforma segura y Windows 10 usa el TPM.
Arranque seguro con raíz dinámica de confianza para la medida (DRTM)
La raíz de confianza para la medición (RTM) no se encuentra solo dentro del chip TPM. Es una funcionalidad de software con la que el TPM ayuda. El entorno que arranca se mide y se compara para comprobar que no se ha alterado. Hay muchas cosas diferentes que suceden durante el arranque (conocidas como cadena de arranque) y pueden cambiar con el tiempo y cambiar el orden en que se cargan. La raíz dinámica de confianza para measurement permite que los componentes se carguen primero y, a continuación, se miden. Esta raíz de confianza es otra comprobación de seguridad de que los componentes del sistema (la cadena de arranque) no se han alterado.
Protección del sistema protección con acceso directo a memoria (DMA) del kernel
Los dispositivos PCI, como las tarjetas gráficas de alto rendimiento, solían estar conectados solo a la placa base en ranuras PCI o se encontraban en la placa base. Estos dispositivos tienen acceso directo a la memoria del sistema de lectura y escritura mediante el procesador del sistema, por lo que son perfectos para tareas de alto rendimiento. Con los puertos PCIe accesibles externamente, ahora puede conectar determinados dispositivos PCI como lo haría con una clave USB. Desafortunadamente, esto significa que un dispositivo desatendido podría tener ahora un dispositivo PCI malintencionado conectado, que podría leer la memoria del sistema o cargar código malintencionado en él, sin protección. Esto se conoce como ataque de unidad por unidad.
La protección de kernel DMA usa la unidad de administración de memoria de entrada/salida (IOMMU) para bloquear los dispositivos PCI a menos que los controladores de ese dispositivo admitan el aislamiento de memoria, como la nueva asignación de DMA. La nueva asignación de DMA restringe el dispositivo a una determinada ubicación de memoria (un dominio asignado previamente o una región de memoria física). Esto garantiza que al dispositivo se le asigna un espacio libre de memoria para realizar sus funciones y no tiene acceso a ninguna otra información almacenada en la memoria del sistema. Si el controlador de dispositivo no admite la reapping de DMA, no podrá ejecutarse en un servidor de núcleo protegido.
Seguridad basada en virtualización (VBS) e integridad de código basada en hipervisor (HVCI)
Seguridad basada en virtualización. (VBS) usa características de virtualización basadas en hardware para crear y aislar una región segura de memoria fuera del sistema operativo. Un servidor de núcleo protegido puede usarlo para proteger las credenciales de usuario autenticadas y ejecutar otras características de seguridad, lejos del alcance del malware que obtiene acceso al kernel del sistema operativo.
Integridad de código basada en hipervisor. (HVCI) usa VBS para comprobar la integridad de los controladores y archivos binarios en modo kernel antes de que se inician y evita que los controladores sin signo o los archivos del sistema se carguen en la memoria del sistema. La directiva de integridad de código configurable en modo de usuario comprueba las aplicaciones antes de que se carguen y solo iniciará los ejecutables firmados por firmantes conocidos y aprobados. Como VBS ejecuta estas comprobaciones en un entorno aislado, el código no obtiene acceso al hipervisor o a la memoria del sistema hasta que se ha comprobado y comprobado dentro del entorno de VBS.
Defensa preventiva
Habilitar la funcionalidad de núcleo protegido ayuda a defenderse de forma proactiva y a interrumpir muchas de las rutas de acceso que los atacantes pueden usar para vulnerar un sistema. El servidor de núcleo protegido habilita características de seguridad avanzadas en las capas inferiores de la pila de tecnología, lo que protege las áreas con más privilegios del sistema antes de que muchas herramientas de seguridad sean conscientes de las vulnerabilidades sin que los equipos de IT y SecOps necesiten realizar tareas ni supervisión adicionales.