VietNetwork.Vn

Có thể nói không có chủ đề nào nóng hơn trong công nghệ thông tin ngày nay hơn là bảo mật. Về cơ bản, bảo mật được thảo luận ở tất cả các cấp cơ sở hạ tầng và cấu trúc liên kết mạng trong toàn bộ ngăn xếp lớp OSI. Các nhà cung cấp ngày nay đang phải vật lộn để theo kịp nhu cầu bảo mật mà khách hàng cần trong môi trường của họ. Không có gì trung tâm hơn đối với hầu hết các cơ sở hạ tầng ngày nay hơn là hệ điều hành.


Microsoft Windows Server là một yếu tố chính trong trung tâm dữ liệu doanh nghiệp và với trình ảo hóa Hyper-V thu hút được nhiều sự chú ý trong nhiều không gian, nó đang trở thành một nhân tố chính trong không gian ảo hóa. Windows Server 2019 sẽ được phát hành vào cuối năm nay và chứa một số tính năng bảo mật mới thực sự tuyệt vời được xây dựng dựa trên các công nghệ mới hơn mà Microsoft đã giới thiệu trong Windows Server 2016 và Windows 10.

Trong bài đăng này, chúng ta sẽ xem xét các Tính năng bảo mật mới có trong Windows Server 2019 và cách các tính năng này được xây dựng dựa trên các khả năng hiện tại và tiến xa hơn một bước.

1. Phương pháp thỏa hiệp và tấn công

Có lẽ không có sự kiện nào gây thiệt hại nhiều hơn có thể xảy ra đối với một doanh nghiệp ngày nay hơn là việc đưa ra các tiêu đề về việc dữ liệu nhạy cảm bị vi phạm. Những kẻ tấn công ngày càng tinh vi hơn trong cách chúng xâm phạm môi trường. Tuy nhiên, thật không may, các cơ chế cũ đã được thử và đúng vẫn hoạt động quá tốt. Chúng bao gồm các tập lệnh trình duyệt có thể nhắm mục tiêu các lỗ hổng cũng như các email lừa đảo rất cổ xưa nhưng vẫn hiệu quả.

Mặc dù lừa đảo thực sự là một phương thức tấn công truyền thống, nhưng nó rất hiệu quả. Những kẻ tấn công ngày càng giỏi hơn trong việc làm cho các email lừa đảo có vẻ hợp pháp và từ các nguồn hợp pháp. Tất cả chỉ cần một người dùng không nghi ngờ và một lỗ hổng bị khai thác để đặt một tổ chức vào tình thế bị tổn hại nghiêm trọng.

Một trong những cách cực kỳ phổ biến mà kẻ tấn công có thể di chuyển theo chiều ngang và thậm chí theo chiều dọc qua mạng là lấy thông tin xác thực được lưu trong bộ nhớ cache. Điều này thường được gọi là cuộc tấn công "pass-the-hash". Trong các phiên bản cũ của Windows, thông tin xác thực được lưu trong bộ nhớ cache sẽ được lưu trữ trên hệ thống mà không có nhiều biện pháp bảo vệ.

Bằng cách sử dụng các công cụ có sẵn trên Internet, kẻ tấn công có thể dễ dàng kết xuất thông tin xác thực được lưu trong bộ nhớ cache từ máy trạm và sử dụng chúng để có khả năng truy cập vào cơ sở hạ tầng nhạy cảm. Nếu kẻ tấn công xảy ra với một máy trạm có thông tin đăng nhập được lưu trong bộ nhớ cache của quản trị viên miền hoặc SQL DBA, thì đây là "Chén thánh" thông tin đăng nhập cho phép truy cập không giới hạn vào toàn bộ hệ thống phụ trợ, cho dù đó là Active Directory hay Máy chủ SQL.

Với mỗi phiên bản Windows Server, Microsoft ngày càng nhận ra rằng các đặc quyền quản trị là một điều thực sự tồi tệ để kẻ tấn công có thể chiếm đoạt vì những lý do rõ ràng. Với Windows Server 2016 và Windows 10, Microsoft đã giới thiệu một cơ chế có tên là bộ bảo vệ thông tin xác thực cho phép Windows đặt các thông tin xác thực đã băm này vào một bộ nhớ được bảo vệ không tiếp xúc với hệ điều hành.

Nó thực hiện điều này bằng cách tận dụng công nghệ Hyper-V để chạy hệ điều hành và sau đó bảo vệ thông tin đăng nhập được lưu trong bộ nhớ cache khỏi hệ điều hành khách bằng cách hình thành một bong bóng bảo mật ảo cho phép các quy trình được bảo vệ và an toàn nằm bên ngoài ngữ cảnh mà một máy chủ có thể truy cập được. kẻ tấn công. Microsoft cũng gọi chức năng này là bảo mật dựa trên ảo hóa. Để hiểu rõ hơn về chức năng này, hãy xem bài đăng blog chính thức này từ Microsoft.

Với Windows Server 2019, Microsoft đã mở rộng các tính năng bảo mật có trong hệ điều hành Windows Server và các cơ chế đã được giới thiệu trong Windows Server 2016. Chúng ta hãy xem xét cụ thể các khả năng mới này.

2. Các tính năng bảo mật mới trong Windows Server 2019

Microsoft đã nâng cao lập trường bảo mật hơn nữa với các cơ chế mới có trong Windows Server 2019. Windows Server 2019 chứa các tính năng mới hoặc nâng cao sau khi so sánh với Windows Server 2016.

• Cải tiến máy ảo được bảo vệ mới
• Cập nhật chính sách bảo vệ thiết bị mà không cần khởi động lại
• Kernel Control Flow Guard (CFG)
• Giám sát thời gian chạy bảo vệ hệ thống
• Mã hóa mạng ảo
• Đại lý ATP của Bộ bảo vệ Windows Bao gồm OOB

2.1. Cải tiến máy ảo được bảo vệ mới

Với Windows Server 2019, có những cải tiến mới về Máy ảo được bảo vệ liên quan đến Chứng thực khóa máy chủ đơn giản hơn. Thật thú vị, Microsoft không dùng chứng thực chế độ Active Directory trong Windows Server 2019 để ủng hộ quy trình chứng thực khóa máy chủ. Chế độ chứng thực khóa máy chủ về cơ bản cung cấp chức năng tương tự liên quan đến chứng thực với Active Directory nhưng thậm chí còn đơn giản hơn để cấu hình.

Hãy phác thảo quy trình sử dụng phương pháp mới này : Để sử dụng quy trình mới, trước tiên hãy tạo một nhóm bảo mật và thêm các máy chủ Hyper-V sẽ chạy các máy ảo được bảo vệ. Khởi động lại máy chủ của bạn để cho phép cập nhật tư cách thành viên nhóm. Nhận SID cho nhóm bảo mật bằng cách sử dụng PowerShell. Sau đó, sử dụng lại PowerShell, đăng ký SID của nhóm bảo mật với HGS.

• Tạo nhóm bảo mật
• Nhận SID bằng lệnh ghép ngắn Get-ADGroup
• Đăng ký SID với HGS – Lệnh ghép ngắn Add-HgsAttestationHostGroup

2.2. Cập nhật chính sách bảo vệ thiết bị mà không cần khởi động lại

Trước đây, các bản cập nhật chính sách bảo vệ thiết bị yêu cầu khởi động lại để có hiệu lực. Tuy nhiên, giờ đây với Windows Server 2019, các bản cập nhật chính sách bảo vệ thiết bị này được áp dụng mà không cần khởi động lại và các chính sách mặc định mới sẽ được cung cấp ngay lập tức.

2.3. Kernel Control Flow Guard (CFG)

Bạn có thể nhớ rằng Control Flow Guard hoặc CFG cung cấp bảo mật nền tảng tích hợp được thiết kế để ngăn chặn các lỗ hổng làm hỏng bộ nhớ có chủ ý bằng cách đặt các hạn chế về nơi ứng dụng có thể thực thi mã. Điều này khiến phần mềm độc hại khó thực thi mã tùy ý hơn để cố gắng lợi dụng các lỗ hổng. Với Windows Server 2019, chức năng này đã được mở rộng để bao gồm cả hỗ trợ cho CFG ở chế độ nhân, giúp tăng cường hơn nữa khả năng của CFG bảo vệ Windows Server khỏi mã độc.

2.4. Giám sát thời gian chạy bảo vệ hệ thống

System Guard Runtime Monitor là một loại "theo dõi người theo dõi" cung cấp quy trình cảnh báo trên toàn hệ thống để đảm bảo rằng các cơ chế bảo mật khác được sử dụng trên hệ thống đang chạy như mong đợi. Một phần lớn bảo mật đang đạt được khả năng hiển thị hiệu quả khi có điều gì đó không đúng. System Guard Runtime Monitor cho phép đưa ra các xác nhận về tình trạng mà các bên thứ ba cũng có thể sử dụng để thực hiện.

2.5. Mã hóa mạng ảo

Microsoft đã liên tục cải thiện khả năng cung cấp SDN và mạng ảo của họ với nền tảng Hyper-V. Với các máy ảo được bảo vệ, Microsoft đã giới thiệu một cơ chế cho phép dữ liệu lưu trữ được bảo mật. Tuy nhiên, còn dữ liệu đang bay thì sao? Lưu lượng truy cập mạng đi ra từ máy chủ VM có thể bị theo dõi và/hoặc thao túng bởi bất kỳ ai có quyền truy cập vào cơ sở hạ tầng mạng vật lý phục vụ máy chủ VM.

Điểm mới với Windows Server 2019 là khả năng có các mạng con được mã hóa cho phép mã hóa lưu lượng mạng khi nó đi qua dây. Điều này giúp tăng cường bảo mật đáng kể với nền tảng ảo hóa mạng của Microsoft, cho phép dữ liệu được mã hóa toàn diện, cả khi nghỉ ngơi và trên máy bay.

2.6. Windows Defender ATP Agent bao gồm OOB

Tính năng Chống Mối đe dọa Nâng cao của Bộ bảo vệ Windows hoặc ATP là các hành động phản hồi và cảm biến nền tảng sâu mới nhất và lớn nhất do Microsoft cung cấp. Nó cung cấp khả năng hiển thị các hoạt động của kẻ tấn công cấp bộ nhớ và nhân, cũng như khả năng thực hiện các hành động trên các máy bị xâm nhập để đối phó với các sự cố như thu thập dữ liệu pháp y bổ sung từ xa, khắc phục các tệp độc hại, chấm dứt các quy trình độc hại, v.v. Tất cả các chức năng này giờ đây đã có trong Windows Server 2019 được bao gồm theo mặc định trong hộp.

Ngày nay, bảo mật không còn là vấn đề được cân nhắc đối với các tổ chức muốn thành công trong việc bảo vệ các hệ thống và dữ liệu quan trọng trong kinh doanh. Bảo mật phải là thứ mà các tổ chức nghĩ đến như một phần trong thiết kế của bất kỳ hệ thống nào trong tương lai. Mọi khía cạnh của cơ sở hạ tầng cần phải là một phần của hệ sinh thái bảo mật tổng thể. Điều này bao gồm hệ điều hành. Hệ điều hành Windows Server của Microsoft ngày nay hỗ trợ phần lớn các trung tâm dữ liệu doanh nghiệp. Với mỗi bản phát hành Windows Server mới, Microsoft đã thể hiện cam kết mạnh mẽ trong việc cung cấp các khả năng và công cụ mà các doanh nghiệp cần để tăng cường tình trạng bảo mật tổng thể của họ. Điều này cũng không ngoại lệ với Windows Server 2019.

Hệ điều hành mới nhất của Microsoft được xây dựng dựa trên các tính năng và chức năng mới đã được giới thiệu trong Windows Server 2016 và tiến xa hơn một số bước. Điều thực sự tuyệt vời về hệ điều hành Windows Server 2019 mới là Microsoft đã có những bước tiến để giúp bảo mật dễ dàng hơn với nhiều tính năng được bao gồm trong hộp và dễ dàng tận dụng bằng các lệnh ghép ngắn đơn giản và các quy trình trực quan hơn.