什麼是安全核心伺服器?

適用于: Windows Server 2022

安全核心的伺服器結合了硬體、固件和驅動程式功能,可進一步保護作業環境-從開機程式到記憶體中的資料。 它建置於三個主要要素:簡化的安全性、先進的保護和預防性防禦。

簡化安全性

適用于安全核心伺服器的經認證 OEM 硬體可讓您保證硬體、固件和驅動程式都符合安全核心伺服器功能的需求。 您可以輕鬆地在 Windows Admin Center 中設定 Windows 伺服器系統來啟用這些功能。

進階防護

受安全核心伺服器啟用的保護,是針對該伺服器上使用的重要應用程式和資料建立安全的平臺。 安全核心功能橫跨下列領域:

  • 硬體根目錄信任

    (TPM) 的可信賴平臺模組是硬體晶片 (內嵌于主機板或新增至) ,或較新的處理器具有以 TPM 為基礎的 TPM。 TPM 可以建立和儲存加密金鑰,並儲存其他秘密(例如憑證)。 此晶片存放裝置與作業系統和應用程式所使用的傳統磁片或記憶體儲存體不同,因此會與軟體型攻擊隔離。

    TPM 2.0 晶片可以檢查裝置 BIOS 和固件的完整性,並將其與裝置製造商燒錄到晶片的資訊進行比較。 這項安全開機功能可確認作業系統之前沒有任何未授權的固件或軟體,並可讓作業系統載入。 這可提供硬體 “ 層級的信任硬體 ”– 層級驗證,讓作業系統和應用程式的其餘部分可以依賴。

    深入瞭解信賴平臺模組,以及Windows 10 如何使用 TPM

  • 使用動態的根信任目錄進行安全開機,以進行度量 (DRTM)

    (RTM) 的測量根信任目錄不會完全存留在 TPM 晶片內。 它是 TPM 可協助的軟體功能。 進行開機的環境會進行測量並比較,以確認它並未遭到篡改。 開機 (有許多不同的專案,稱為開機鏈) ,而且這些專案可能會隨著時間而改變,並變更載入的順序。 動態的測量根信任目錄可讓元件先載入,然後再進行測量。 這個根信任目錄是另一項安全性檢查,也就是系統元件 (開機鏈) 尚未遭到篡改。

  • 系統防護具有核心直接記憶體存取 (DMA) 保護

    PCI 裝置(例如高效能的圖形配接器)只會用來連接到 PCI 插槽中的主機板,或是已焊接到主機板上。 這些裝置可以直接存取使用系統處理器的讀取和寫入系統記憶體,因此它們最適合用於高效能工作。 您現在可以使用可從外部存取的 PCIe 埠來插入特定的 PCI 裝置,就像使用 USB 金鑰一樣。 可惜的是,這表示自動裝置現在可以將惡意的 PCI 裝置插入其中,它可以讀取系統記憶體或在其中載入惡意程式碼,而不會受到保護。 這就是所謂的磁片磁碟機攻擊。

    除非該裝置的驅動程式支援記憶體隔離(例如 DMA 重新對應),否則KERNEL DMA 保護會使用輸入/輸出記憶體管理單位 (IOMMU) 來封鎖 PCI 裝置。 DMA 重新對應會將裝置限制為預先指派的網域或實體記憶體區域) (特定的記憶體位置。 這樣可確保裝置配置了明確的記憶體空間來執行其功能,但 ’ 無法存取儲存在系統記憶體中的任何其他資訊。 如果設備磁碟機 ’ 不支援 DMA 重新對應,它就無法 ’ 在安全核心的伺服器上執行。

  • 虛擬化安全性 (VBS) 和以基礎程式為基礎的程式碼完整性 (HVCI)

    以虛擬化為基礎的安全性。 (VBS) 使用以硬體為基礎的虛擬化功能,從作業系統建立和隔離安全的記憶體區域。 安全核心的伺服器可以使用此功能來保護已驗證的使用者認證,並執行其他安全性功能,而不受惡意程式碼存取作業系統核心的危害。

    以程式碼為基礎的程式碼完整性。 (HVCI) 使用 VBS 來檢查核心模式驅動程式和二進位檔在啟動之前的完整性,並防止未簽署的驅動程式或系統檔案載入系統記憶體。 使用者模式可設定的程式碼完整性原則會在應用程式載入之前先檢查應用程式,而且只會啟動由已知的核准簽署者簽署的可執行檔。 當 VBS 在隔離的環境中執行這些檢查時,程式碼在 VBS 環境內經過檢查並驗證之後,才會取得虛擬程式或系統記憶體的存取權。

預防性防禦

啟用安全核心功能有助於主動防禦及中斷攻擊者可能用來利用系統的許多途徑。 安全核心伺服器在技術堆疊的底層提供先進的安全性功能,可保護系統中最具特殊許可權的區域,而許多安全性工具都不需要其他工作或 IT 和 SecOps 團隊所需的監視功能。