windows server 2016安全性解讀
責編:mhshi |2016-11-04 14:06:37Windows服務器和客戶端的每個版本都較前一個版本更為安全。但是,就Windows 10和Windows Server 2016而言,微軟步子跨得更大,這兩款產品并非普通的增量改進和漏洞修復,而是為用戶提供工具,降低憑據釣魚、管理員權限過大和不可信二進制文件所帶來的風險。Windows Serve 2016旨在從三個主要方面提供更好的安全性: 保護身份和憑據、保護虛擬機、保護服務器和云端的操作系統 。
Jeff Woolsey(微軟的principal group program manager)說:“ 過去,安全是其他技術的一部分,我們需要將它抽離出來。 ”
他表示,微軟和客戶的每次交流都涉及安全與身份防護。企業云團隊和微軟Azure堆棧的首席架構師Jeffrey Snover補充說,現在的攻擊規模意味著安全已經不僅僅是IT團隊需要關注的問題,因為“當我們詢問客戶他們所關注的IT問題時,有些答案很相似。有太多的經歷告訴我們,客戶常常被攻擊了好幾個月還被蒙在鼓中。”
Snover認為,自從塔吉特(Target)公司的CEO因為安全問題被解雇后,安全已經成為CEO操心的問題。他說:“塔吉特公司一直將IT作為其商業價值主張的核心內容。當IT受到攻擊時,其商業價值就受到威脅。因而,問題才會如此嚴重。”
保護管理員賬號
如今,對組織進行入侵幾乎都是通過內部員工實現的,因為攻擊者會利用社會工程或者釣魚攻擊竊取這些人的憑據。
“壞蛋們的不法行為出現劇增。他們穿著睡衣從容地從海外發動攻擊,而不用擔心被引渡。一直以來,網絡被視為主要攻擊面。現在的情況是身份作為新的攻擊面,成為攻擊者進入基礎設施的途徑。將惡意軟件植入到基礎設施中并非難事,而騙取用戶點擊更不像人們想象的那么難。”
這并不意味著零日漏洞和高級攻擊已經成為過去。就像Snover指出的那樣:“若國家層面現在可以做到,那么壞蛋和腳本小子們早晚也能做到。”但是,總的來說,攻擊者會采用最簡單的方法,目前來說是身份。
只要登錄過一次,攻擊者便會使用“哈希傳遞(pass the hash)”和“票證傳遞(pass the ticket)”等技術橫向移動到公司的其他業務系統。
根據Snover所說,若攻擊者登錄的第一個賬號沒有足夠的訪問權限,“他們會在機器上觸發問題,誘使支持人員登錄進行修復,而這些支持人員通常都有管理員憑據。”竊取這些憑據之后,攻擊者就會擁有更多的訪問權限。通常,攻擊者只需要24到48小時就能獲取域管理員賬號。若攻擊悄然進行,長達200天而不被發現,便會造成嚴重問題。他指出:“域管理員可以做任何事情,而且時長不限。”
“Windows Server 2016針對這個問題作了巨大改進。首先, 對哈希進行了加密處理 。Credential Guard采用了現代化硬件—其實它問世已經有幾年,并不那么現代了;利用虛擬化技術,保護機器機密,使其免受“哈希傳遞”和“票證傳遞”攻擊。我們還有遠程 Credential Guard :用戶訪問RDP時,我們并不發送憑據,而是采用單點登錄方式。”
Windows Server 2016的防護措施還包括之前作為選件的PowerShell。Snover表示,Just Enough Admi(JEA)/Just in Time(JIT)將通常不受限制的管理員權限削減到“最小的操作集合,執行操作須遵照審批通過的工作流,并受時間限制”。此外,“有了JEA,當用戶作為管理員連接到機器時,僅能以動態產生的虛擬影子賬戶登錄。這樣,通過PowerShell,我們限制了用戶的權限,對其嚴加防范。至于JIT,我們的模式如下:進程為用戶發放安全令牌,令牌只在有限時間段內對少數幾臺機器生效。”
“難題是不僅有通用安全,還有操作安全,后者是可以通過操作實現的安全。從操作角度說,用戶可以設置僅在工作時間訪問,在管理員非工作時間拒絕訪問。下一步,用戶須了解自己的工作內容,以通過工單系統進行正確配置。之后,要考慮不同的管理員任務所適用的工作流,為管理員分配恰當的權限,在指定時間段內操作指定的幾臺機器。”
對此,Woolsey進一步解釋如下:“比如,我是網絡管理員,我的工作是管理網絡防火墻。99%的時間內我無須登錄管理員賬號,但是一般情況下還是會以網絡管理員賬號登錄系統,收發下郵件,瀏覽下網頁。如果防火墻配置需要修改,可能須多數人投票表示同意,并且,我還要在一小時之內完成修改。若一小時后任務沒有完成,就要走審計流程,我需要回答‘出了什么問題?需要調查嗎?’等質詢。”
Snover補充道:“我們對日志及審計進行了改進。新的思路是‘假設違規’,即假設壞蛋總會出現。所以,系統會記錄所有操作,以便日后追溯。日志內容巨細靡遺,深入至引擎級數據。”
微軟還致力于開發模板,方便用戶為不同角色分配不同的JEA權限。此外還有一款工具正在研發中,用于掃描域服務器,查明管理員數量。“有個客戶有2000名域管理員,而實際上只需要20個。還有一個客戶發現一臺機器的管理員數量竟然高達18.7萬,”Dean Wells (principal program manager)接受CIO.com采訪時如是說。
目前,JEA已用于Windows Server。Snover承認:“這只在Windows環境有效,當用戶需要憑據離開Windows環境時,還是會有問題。”不過,因為JEA是PowerShell中的一個工具,所以微軟將PowerShell加入到Linux中,目的是在其他平臺上通過PowerShell支持JEA。“說到安全,Linux與Windows不同,但是我們有信心做好。”
保護虛擬機Shielded VM
Woolsey指出,雖然虛擬化有諸多優勢,同時它還制造了很多大麻煩。其中最突出的一個問題是單點故障。
“雖然數十年前單點攻擊已為人所知,但并沒有人對其進行深挖細查。如果能夠進入用戶的虛擬化主機,我就可以訪問50臺或更多臺正在運行的虛擬機。這是一場災難。數個系統封裝在一個簡單的文件中,而我只需竊取這個文件。我可以將虛擬機復制到U盤并到處運行,因為虛擬機無法哪些硬件和結構是有效的,哪些無效。并且,本地管理員可以撤消guest賬戶的所有操作,進行自我防護。理論上,我可以撤消任何虛擬機加密操作。被俘獲或受感染的主機的管理員可以訪問guest虛擬機。如果可以獲取用戶的憑據并入侵虛擬域控制器,用戶就完蛋了,我就可以用戶的地盤上為所欲為了,因為我已經有了他們地盤的鑰匙了。”
Snover表示:“ 虛擬機具備很強的敏捷性,但其安全配置卻不盡人意。 在原有的具備物理服務器的模型中,誰能夠訪問虛擬機?”答案是服務器管理員,但是存儲管理員和網絡管理員不能訪問虛擬機。有了虛擬機,突然會有更多不同角色的人可以訪問設備,并能夠復制和查看數據。這是一項真正的挑戰,特別是當托管環境中的人員來自不同公司時。基于這一點,我們設計了Shielded VM。因此, 只有虛擬機管理員可以訪問Shielded VM ,那些托管方,即使用戶不一定他們,他們也可以訪問Shielded VM。”
Windows Server 2016中新型的Shielded VM通過BootLocker加密 ,并運行在這樣一個硬件結構中:新的主機防衛服務(HGS)只有在證實了主機的健康狀態后才會用于運行(或遷移)虛擬機的秘鑰。“我們的目標是虛擬機可自行防御管理員和主機的入侵,包括在線和離線檢查,因為數據加密可動可靜。”Woolsey說道,“這些虛擬機只能運行在二進制程序、啟動路徑和內核都是健康狀態的主機上。”
“數據和Shielded VM狀態應受到保護,以免受到惡意軟件和數據中心管理員、Fabric管理員、存儲管理員和虛擬化管理員的檢測盜竊和篡改。”用戶可以將域管理員與IaaS管理員職責分離。Shielded VM只能運行在經過認證的結構上。這些結構被指定為Shielded VM的宿主,負責防御本地流氓管理員的入侵。”
虛擬機在離開防護范圍的情況下,仍是一個加密的blob。即使您具有管理員的所有權限,也無法入侵它。如果我是一臺Shielded VM,這不是我的結構,我不會啟動,也就不會被實時遷移。虛擬機運行時,管理員無法查看內存內容。他們無法啟動調試器,因為會受到主機防衛服務的監控。
Woolsey稱,很多場景下都會用到Shielded VM:“托管商可將之用于租戶管理。最終,企業可實現強大的職責分離。Shielded VM還可用于分支辦事處。之前,您可能無法在分支辦事處運行敏感的工作負載,因為服務器部署在接待員的辦公桌下。但現在,你可實現這已操作。”
加密虛擬機還有助于防范刪除服務器驅動時無意間造成的數據泄漏。“服務器驅動本應被回收或銷毀,但往往情況并非如此。如果刪除服務器驅動,須確保數據已受保護。”
Shielded VM包括以下三部分:
- 虛擬安全模式 (VSM)運用硬件虛擬化保護虛擬機免受本地管理員控制。Windows 10和Windows Server 2016都使用這一技術來保護登錄憑據。“如果我是本地管理員,我可以查看所有內存內容。”Woolsey說,“有了虛擬安全模式,我們可以在Window內核的旁邊創建一小塊“區域”,只用于與主機防衛服務通信。因此,您在內核或本地管理員上下文環境中看不到該“區域”。”這意味著,本地管理員無法通過窺測內存來獲取加密虛擬機的憑據。
- 主機防衛服務 是一項運行在鎖籠中的重要的基礎結構,鎖籠配有2把掛鎖和1部對準它的照相機。它在獨立域中運行,不與架構內共享任何信任。”Woolsey說,它唯一的作用是證實運行虛擬機的物理結構。“主機防衛服務評估結構中的服務器啟動過程,確保沒有惡意軟件入侵,并且啟動過程中且啟動過程未感染任何病毒。”主機防衛服務還會監控代碼完整性,因此,只有獲得許可的進程才能運行。”
- 虛擬機使用的 虛擬可信平臺模塊(vTPM) 并未與服務器的物理可信平臺模塊進行綁定,因為那會使虛擬機無法遷移。然而,服務器的可信平臺模塊不可或缺。“這段時間以來,我一直向我們的服務器合作伙伴強調,我們的服務器在發貨時需配備可信平臺模塊。”Snover說,“我們將非常熱衷于模塊。”
此外,用戶需采用第二代虛擬機。目前,僅主機操作系統為Windows 8、Windows Server 2012或更高版本的虛擬機能獲得保護,而主機系統為Windows 7和Windows Server 2008 R2的虛擬機不在保護之列。Wells表示, 微軟正在與Linux社區合作,將在2017年年中為Linux虛擬機提供防護。
攻擊者與業內人士
Woolsey補充道,美國國務院和國防部以及英國國防部等政府機構正著手采用Shielded VM。“我們在制定通用標準時常被問及的一個問題是‘如何對付流氓管理員?’。我們一般這么回答,這個問題的確存在,但很難解決。我們一直試圖在Azure和Windows Server中解決此問題。如下是我們具體的解決辦法。”
攻擊者在釣魚攻擊中將管理員作為攻擊目標。如果系統未采用Shielded VM,他們可提取虛擬機程序,然后在自己的硬件設備上運行。同樣,如果一位具備管理員訪問權限的員工感到不滿,也可能非法獲取虛擬機副本。“這種情況下,我們可采取以下緩解措施。”他說。
Windows Server 2016中還存在其他安全改進,例如, 活動目錄支持容器 ,這樣用戶就無需單獨管理這些容器的證書。此外還限制了可運行的代碼。Snover說:“這些主機操作系統的保護措施保證了系統按用戶要求運行。”
Device Guard提供新型代碼完整性,限制了可運行的二進制程序。Wells解釋說,“此限制不再只針對用戶,也會防止管理員進行濫用。
”如果管理員擅自修改代碼完整性策略并重啟服務器,可導致藍屏問題。他說,客戶曾反饋過此問題。“他們提出了這樣一個需求:如果設備存儲有敏感工作負載和數據,即使丟掉工作負載,也要保留數據。”Wells建議將Device Guard部署在審計模式下,觀察產生的影響。
此外, 控制流防護(CFG) 限制了為防護內存破壞攻擊和 返回導向編程(ROP) 可執行的應用代碼。從Window 10開始采用了這一技術。Windows Server 2016中又新增了一個客戶端特性,即 Windows Defender反惡意軟件 。
“問題是當用戶在服務器上安裝反惡意軟件時,需對Hyper-V進行一些補充優化,而(第三方工具)缺乏此類優化。”Woolsey解釋道,“結果,客戶會打來的各種奇奇怪怪要求提供技術支持的電話,并且虛擬機也會出現非常奇怪的問題。 第三方工具并未慮及角色和服務。而我們的反惡意軟件卻可開箱即用。該軟件了解服務器的工作負載,且為適應橫向擴展文件服務器角色而進行了優化。”
Windows Server 2016中的軟件定義網絡(SDN)包括網絡安全組和在網絡中部署虛擬安全設備的分布式防火墻。Ravi Rao(微軟的principal lead program manager)說道,“如果我部署防火墻阻斷對我的數據中心的訪問,該防火墻就與我的關鍵工作負載距離太遠,無法對其進行防護。”
“一旦攻擊者入侵,會造成嚴重破壞。現在,我對前端服務器設置安全限制,僅允許互聯網用戶訪問網絡外層,而不允許其訪問網絡內層。這樣,網絡內層僅進行層級間的通信,而不會連接到互聯網。”Rao說道,“在這種情況下,即使攻擊者攻擊了前端,并利用漏洞控制了前端,也無法滲透到網絡內層。這樣,用戶就可靈活地進行網絡隔離,滿足不斷變化的網絡需求。”
Windows Server 2016中新增的 Nano Server部署選項也 提升了安全性。Nano Server不具備圖形界面,僅提供更少的組件和服務,其攻擊面比Server Core還要小得多。Snover稱其為“一款極簡操作系統”。
使用Nano Server運行Hyper-V、集群、IIS、DNS、橫向擴展文件服務器以及在.NET Core和ASP.NET Core中運行的任何工作負載,可減少影響服務器的漏洞,這樣需要的安全補丁也就隨之減少。鑒于目前很多成功攻擊利用的漏洞均存在補丁,及時安裝補丁仍是個問題。
此外,Nano Server是一種切換到容器和云端應用開發的邏輯方法,而且為微軟推出Azure Stack混合云產品包提供了基礎。如果用戶準備采用這種新的工作方式,Nano Server會提供基礎保護。另一方面,Windows Server 2016基于目前企業對服務器的使用方式,對安全進行了大量的改進,能夠對企業面臨的關鍵攻擊方法進行防御。這是一個重大升級。
來源:安全加(http://toutiao.secjia.com/windows-server-2016-security-analysis)