压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

Windows服務(wù)器和客戶端的每個版本都較前一個版本更為安全。但是，就Windows 10和Windows Server 2016而言，微軟步子跨得更大，這兩款產(chǎn)品并非普通的增量改進和漏洞修復(fù)，而是為用戶提供工具，降低憑據(jù)釣魚、管理員權(quán)限過大和不可信二進制文件所帶來的風險。Windows Serve 2016旨在從三個主要方面提供更好的安全性： 保護身份和憑據(jù)、保護虛擬機、保護服務(wù)器和云端的操作系統(tǒng) 。

Jeff Woolsey（微軟的principal group program manager）說：“ 過去，安全是其他技術(shù)的一部分，我們需要將它抽離出來。 ”

他表示，微軟和客戶的每次交流都涉及安全與身份防護。企業(yè)云團隊和微軟Azure堆棧的首席架構(gòu)師Jeffrey Snover補充說，現(xiàn)在的攻擊規(guī)模意味著安全已經(jīng)不僅僅是IT團隊需要關(guān)注的問題，因為“當我們詢問客戶他們所關(guān)注的IT問題時，有些答案很相似。有太多的經(jīng)歷告訴我們，客戶常常被攻擊了好幾個月還被蒙在鼓中。”

Snover認為，自從塔吉特（Target）公司的CEO因為安全問題被解雇后，安全已經(jīng)成為CEO操心的問題。他說：“塔吉特公司一直將IT作為其商業(yè)價值主張的核心內(nèi)容。當IT受到攻擊時，其商業(yè)價值就受到威脅。因而，問題才會如此嚴重。”

保護管理員賬號

如今，對組織進行入侵幾乎都是通過內(nèi)部員工實現(xiàn)的，因為攻擊者會利用社會工程或者釣魚攻擊竊取這些人的憑據(jù)。

“壞蛋們的不法行為出現(xiàn)劇增。他們穿著睡衣從容地從海外發(fā)動攻擊，而不用擔心被引渡。一直以來，網(wǎng)絡(luò)被視為主要攻擊面。現(xiàn)在的情況是身份作為新的攻擊面，成為攻擊者進入基礎(chǔ)設(shè)施的途徑。將惡意軟件植入到基礎(chǔ)設(shè)施中并非難事，而騙取用戶點擊更不像人們想象的那么難。”

這并不意味著零日漏洞和高級攻擊已經(jīng)成為過去。就像Snover指出的那樣：“若國家層面現(xiàn)在可以做到，那么壞蛋和腳本小子們早晚也能做到。”但是，總的來說，攻擊者會采用最簡單的方法，目前來說是身份。

只要登錄過一次，攻擊者便會使用“哈希傳遞（pass the hash）”和“票證傳遞（pass the ticket）”等技術(shù)橫向移動到公司的其他業(yè)務(wù)系統(tǒng)。

根據(jù)Snover所說，若攻擊者登錄的第一個賬號沒有足夠的訪問權(quán)限，“他們會在機器上觸發(fā)問題，誘使支持人員登錄進行修復(fù)，而這些支持人員通常都有管理員憑據(jù)。”竊取這些憑據(jù)之后，攻擊者就會擁有更多的訪問權(quán)限。通常，攻擊者只需要24到48小時就能獲取域管理員賬號。若攻擊悄然進行，長達200天而不被發(fā)現(xiàn)，便會造成嚴重問題。他指出：“域管理員可以做任何事情，而且時長不限。”

“Windows Server 2016針對這個問題作了巨大改進。首先， 對哈希進行了加密處理 。Credential Guard采用了現(xiàn)代化硬件—其實它問世已經(jīng)有幾年，并不那么現(xiàn)代了；利用虛擬化技術(shù)，保護機器機密，使其免受“哈希傳遞”和“票證傳遞”攻擊。我們還有遠程 Credential Guard ：用戶訪問RDP時，我們并不發(fā)送憑據(jù)，而是采用單點登錄方式。”

Windows Server 2016的防護措施還包括之前作為選件的PowerShell。Snover表示，Just Enough Admi（JEA）/Just in Time（JIT）將通常不受限制的管理員權(quán)限削減到“最小的操作集合，執(zhí)行操作須遵照審批通過的工作流，并受時間限制”。此外，“有了JEA，當用戶作為管理員連接到機器時，僅能以動態(tài)產(chǎn)生的虛擬影子賬戶登錄。這樣，通過PowerShell，我們限制了用戶的權(quán)限，對其嚴加防范。至于JIT，我們的模式如下：進程為用戶發(fā)放安全令牌，令牌只在有限時間段內(nèi)對少數(shù)幾臺機器生效。”

“難題是不僅有通用安全，還有操作安全，后者是可以通過操作實現(xiàn)的安全。從操作角度說，用戶可以設(shè)置僅在工作時間訪問，在管理員非工作時間拒絕訪問。下一步，用戶須了解自己的工作內(nèi)容，以通過工單系統(tǒng)進行正確配置。之后，要考慮不同的管理員任務(wù)所適用的工作流，為管理員分配恰當?shù)臋?quán)限，在指定時間段內(nèi)操作指定的幾臺機器。”

對此，Woolsey進一步解釋如下：“比如，我是網(wǎng)絡(luò)管理員，我的工作是管理網(wǎng)絡(luò)防火墻。99%的時間內(nèi)我無須登錄管理員賬號，但是一般情況下還是會以網(wǎng)絡(luò)管理員賬號登錄系統(tǒng)，收發(fā)下郵件，瀏覽下網(wǎng)頁。如果防火墻配置需要修改，可能須多數(shù)人投票表示同意，并且，我還要在一小時之內(nèi)完成修改。若一小時后任務(wù)沒有完成，就要走審計流程，我需要回答‘出了什么問題？需要調(diào)查嗎？’等質(zhì)詢。”

Snover補充道：“我們對日志及審計進行了改進。新的思路是‘假設(shè)違規(guī)’，即假設(shè)壞蛋總會出現(xiàn)。所以，系統(tǒng)會記錄所有操作，以便日后追溯。日志內(nèi)容巨細靡遺，深入至引擎級數(shù)據(jù)。”

微軟還致力于開發(fā)模板，方便用戶為不同角色分配不同的JEA權(quán)限。此外還有一款工具正在研發(fā)中，用于掃描域服務(wù)器，查明管理員數(shù)量。“有個客戶有2000名域管理員，而實際上只需要20個。還有一個客戶發(fā)現(xiàn)一臺機器的管理員數(shù)量竟然高達18.7萬，”Dean Wells （principal program manager）接受CIO.com采訪時如是說。

目前，JEA已用于Windows Server。Snover承認：“這只在Windows環(huán)境有效，當用戶需要憑據(jù)離開Windows環(huán)境時，還是會有問題。”不過，因為JEA是PowerShell中的一個工具，所以微軟將PowerShell加入到Linux中，目的是在其他平臺上通過PowerShell支持JEA。“說到安全，Linux與Windows不同，但是我們有信心做好。”

保護虛擬機Shielded VM

Woolsey指出，雖然虛擬化有諸多優(yōu)勢，同時它還制造了很多大麻煩。其中最突出的一個問題是單點故障。

“雖然數(shù)十年前單點攻擊已為人所知，但并沒有人對其進行深挖細查。如果能夠進入用戶的虛擬化主機，我就可以訪問50臺或更多臺正在運行的虛擬機。這是一場災(zāi)難。數(shù)個系統(tǒng)封裝在一個簡單的文件中，而我只需竊取這個文件。我可以將虛擬機復(fù)制到U盤并到處運行，因為虛擬機無法哪些硬件和結(jié)構(gòu)是有效的，哪些無效。并且，本地管理員可以撤消guest賬戶的所有操作，進行自我防護。理論上，我可以撤消任何虛擬機加密操作。被俘獲或受感染的主機的管理員可以訪問guest虛擬機。如果可以獲取用戶的憑據(jù)并入侵虛擬域控制器，用戶就完蛋了，我就可以用戶的地盤上為所欲為了，因為我已經(jīng)有了他們地盤的鑰匙了。”

Snover表示：“ 虛擬機具備很強的敏捷性，但其安全配置卻不盡人意。 在原有的具備物理服務(wù)器的模型中，誰能夠訪問虛擬機？”答案是服務(wù)器管理員，但是存儲管理員和網(wǎng)絡(luò)管理員不能訪問虛擬機。有了虛擬機，突然會有更多不同角色的人可以訪問設(shè)備，并能夠復(fù)制和查看數(shù)據(jù)。這是一項真正的挑戰(zhàn)，特別是當托管環(huán)境中的人員來自不同公司時。基于這一點，我們設(shè)計了Shielded VM。因此， 只有虛擬機管理員可以訪問Shielded VM ，那些托管方，即使用戶不一定他們，他們也可以訪問Shielded VM。”

Windows Server 2016中新型的Shielded VM通過BootLocker加密 ，并運行在這樣一個硬件結(jié)構(gòu)中：新的主機防衛(wèi)服務(wù)（HGS）只有在證實了主機的健康狀態(tài)后才會用于運行（或遷移）虛擬機的秘鑰。“我們的目標是虛擬機可自行防御管理員和主機的入侵，包括在線和離線檢查，因為數(shù)據(jù)加密可動可靜。”Woolsey說道，“這些虛擬機只能運行在二進制程序、啟動路徑和內(nèi)核都是健康狀態(tài)的主機上。”

“數(shù)據(jù)和Shielded VM狀態(tài)應(yīng)受到保護，以免受到惡意軟件和數(shù)據(jù)中心管理員、Fabric管理員、存儲管理員和虛擬化管理員的檢測盜竊和篡改。”用戶可以將域管理員與IaaS管理員職責分離。Shielded VM只能運行在經(jīng)過認證的結(jié)構(gòu)上。這些結(jié)構(gòu)被指定為Shielded VM的宿主，負責防御本地流氓管理員的入侵。”

虛擬機在離開防護范圍的情況下，仍是一個加密的blob。即使您具有管理員的所有權(quán)限，也無法入侵它。如果我是一臺Shielded VM，這不是我的結(jié)構(gòu)，我不會啟動，也就不會被實時遷移。虛擬機運行時，管理員無法查看內(nèi)存內(nèi)容。他們無法啟動調(diào)試器，因為會受到主機防衛(wèi)服務(wù)的監(jiān)控。

Woolsey稱，很多場景下都會用到Shielded VM：“托管商可將之用于租戶管理。最終，企業(yè)可實現(xiàn)強大的職責分離。Shielded VM還可用于分支辦事處。之前，您可能無法在分支辦事處運行敏感的工作負載，因為服務(wù)器部署在接待員的辦公桌下。但現(xiàn)在，你可實現(xiàn)這已操作。”

加密虛擬機還有助于防范刪除服務(wù)器驅(qū)動時無意間造成的數(shù)據(jù)泄漏。“服務(wù)器驅(qū)動本應(yīng)被回收或銷毀，但往往情況并非如此。如果刪除服務(wù)器驅(qū)動，須確保數(shù)據(jù)已受保護。”

Shielded VM包括以下三部分：

• 虛擬安全模式 （VSM）運用硬件虛擬化保護虛擬機免受本地管理員控制。Windows 10和Windows Server 2016都使用這一技術(shù)來保護登錄憑據(jù)。“如果我是本地管理員，我可以查看所有內(nèi)存內(nèi)容。”Woolsey說，“有了虛擬安全模式，我們可以在Window內(nèi)核的旁邊創(chuàng)建一小塊“區(qū)域”，只用于與主機防衛(wèi)服務(wù)通信。因此，您在內(nèi)核或本地管理員上下文環(huán)境中看不到該“區(qū)域”。”這意味著，本地管理員無法通過窺測內(nèi)存來獲取加密虛擬機的憑據(jù)。
• 主機防衛(wèi)服務(wù) 是一項運行在鎖籠中的重要的基礎(chǔ)結(jié)構(gòu)，鎖籠配有2把掛鎖和1部對準它的照相機。它在獨立域中運行，不與架構(gòu)內(nèi)共享任何信任。”Woolsey說，它唯一的作用是證實運行虛擬機的物理結(jié)構(gòu)。“主機防衛(wèi)服務(wù)評估結(jié)構(gòu)中的服務(wù)器啟動過程，確保沒有惡意軟件入侵，并且啟動過程中且啟動過程未感染任何病毒。”主機防衛(wèi)服務(wù)還會監(jiān)控代碼完整性，因此，只有獲得許可的進程才能運行。”
• 虛擬機使用的 虛擬可信平臺模塊（vTPM） 并未與服務(wù)器的物理可信平臺模塊進行綁定,因為那會使虛擬機無法遷移。然而，服務(wù)器的可信平臺模塊不可或缺。“這段時間以來，我一直向我們的服務(wù)器合作伙伴強調(diào)，我們的服務(wù)器在發(fā)貨時需配備可信平臺模塊。”Snover說，“我們將非常熱衷于模塊。”

此外，用戶需采用第二代虛擬機。目前，僅主機操作系統(tǒng)為Windows 8、Windows Server 2012或更高版本的虛擬機能獲得保護，而主機系統(tǒng)為Windows 7和Windows Server 2008 R2的虛擬機不在保護之列。Wells表示， 微軟正在與Linux社區(qū)合作，將在2017年年中為Linux虛擬機提供防護。

攻擊者與業(yè)內(nèi)人士

Woolsey補充道，美國國務(wù)院和國防部以及英國國防部等政府機構(gòu)正著手采用Shielded VM。“我們在制定通用標準時常被問及的一個問題是‘如何對付流氓管理員？’。我們一般這么回答，這個問題的確存在，但很難解決。我們一直試圖在Azure和Windows Server中解決此問題。如下是我們具體的解決辦法。”

攻擊者在釣魚攻擊中將管理員作為攻擊目標。如果系統(tǒng)未采用Shielded VM，他們可提取虛擬機程序，然后在自己的硬件設(shè)備上運行。同樣，如果一位具備管理員訪問權(quán)限的員工感到不滿，也可能非法獲取虛擬機副本。“這種情況下，我們可采取以下緩解措施。”他說。

Windows Server 2016中還存在其他安全改進，例如， 活動目錄支持容器 ，這樣用戶就無需單獨管理這些容器的證書。此外還限制了可運行的代碼。Snover說：“這些主機操作系統(tǒng)的保護措施保證了系統(tǒng)按用戶要求運行。”

Device Guard提供新型代碼完整性，限制了可運行的二進制程序。Wells解釋說，“此限制不再只針對用戶，也會防止管理員進行濫用。

”如果管理員擅自修改代碼完整性策略并重啟服務(wù)器，可導(dǎo)致藍屏問題。他說，客戶曾反饋過此問題。“他們提出了這樣一個需求：如果設(shè)備存儲有敏感工作負載和數(shù)據(jù)，即使丟掉工作負載，也要保留數(shù)據(jù)。”Wells建議將Device Guard部署在審計模式下，觀察產(chǎn)生的影響。

此外， 控制流防護（CFG） 限制了為防護內(nèi)存破壞攻擊和 返回導(dǎo)向編程（ROP） 可執(zhí)行的應(yīng)用代碼。從Window 10開始采用了這一技術(shù)。Windows Server 2016中又新增了一個客戶端特性，即 Windows Defender反惡意軟件 。

“問題是當用戶在服務(wù)器上安裝反惡意軟件時，需對Hyper-V進行一些補充優(yōu)化，而（第三方工具）缺乏此類優(yōu)化。”Woolsey解釋道，“結(jié)果，客戶會打來的各種奇奇怪怪要求提供技術(shù)支持的電話，并且虛擬機也會出現(xiàn)非常奇怪的問題。 第三方工具并未慮及角色和服務(wù)。而我們的反惡意軟件卻可開箱即用。該軟件了解服務(wù)器的工作負載，且為適應(yīng)橫向擴展文件服務(wù)器角色而進行了優(yōu)化。”

Windows Server 2016中的軟件定義網(wǎng)絡(luò)（SDN）包括網(wǎng)絡(luò)安全組和在網(wǎng)絡(luò)中部署虛擬安全設(shè)備的分布式防火墻。Ravi Rao（微軟的principal lead program manager）說道，“如果我部署防火墻阻斷對我的數(shù)據(jù)中心的訪問，該防火墻就與我的關(guān)鍵工作負載距離太遠，無法對其進行防護。”

“一旦攻擊者入侵，會造成嚴重破壞。現(xiàn)在，我對前端服務(wù)器設(shè)置安全限制，僅允許互聯(lián)網(wǎng)用戶訪問網(wǎng)絡(luò)外層，而不允許其訪問網(wǎng)絡(luò)內(nèi)層。這樣，網(wǎng)絡(luò)內(nèi)層僅進行層級間的通信，而不會連接到互聯(lián)網(wǎng)。”Rao說道，“在這種情況下，即使攻擊者攻擊了前端，并利用漏洞控制了前端，也無法滲透到網(wǎng)絡(luò)內(nèi)層。這樣，用戶就可靈活地進行網(wǎng)絡(luò)隔離，滿足不斷變化的網(wǎng)絡(luò)需求。”

Windows Server 2016中新增的 Nano Server部署選項也 提升了安全性。Nano Server不具備圖形界面，僅提供更少的組件和服務(wù)，其攻擊面比Server Core還要小得多。Snover稱其為“一款極簡操作系統(tǒng)”。

使用Nano Server運行Hyper-V、集群、IIS、DNS、橫向擴展文件服務(wù)器以及在.NET Core和ASP.NET Core中運行的任何工作負載，可減少影響服務(wù)器的漏洞，這樣需要的安全補丁也就隨之減少。鑒于目前很多成功攻擊利用的漏洞均存在補丁，及時安裝補丁仍是個問題。

此外，Nano Server是一種切換到容器和云端應(yīng)用開發(fā)的邏輯方法，而且為微軟推出Azure Stack混合云產(chǎn)品包提供了基礎(chǔ)。如果用戶準備采用這種新的工作方式，Nano Server會提供基礎(chǔ)保護。另一方面，Windows Server 2016基于目前企業(yè)對服務(wù)器的使用方式，對安全進行了大量的改進，能夠?qū)ζ髽I(yè)面臨的關(guān)鍵攻擊方法進行防御。這是一個重大升級。

來源：安全加（http://toutiao.secjia.com/windows-server-2016-security-analysis）