O que é o servidor Secured-core?
Secured-core é um conjunto de funcionalidades que oferece características de segurança integradas de hardware, firmware, driver e sistema operativo. A proteção fornecida pelos sistemas Secured-core começa antes da inicialização do sistema operacional e continua durante a execução. O servidor Secured-core foi projetado para fornecer uma plataforma segura para dados e aplicativos críticos.
O servidor Secured-core baseia-se em três pilares de segurança fundamentais:
Criação de uma raiz de confiança apoiada por hardware.
Defesa contra ataques ao nível de firmware.
Proteger o SO da execução de código não verificado.
O que torna um servidor Secured-core
A iniciativa Secured-core começou com PCs Windows através de uma colaboração profunda entre a Microsoft e parceiros de fabricação de PCs para fornecer a segurança Windows mais elevada de todos os tempos. A Microsoft expandiu ainda mais a parceria com parceiros de fabricação de servidores para ajudar a garantir que o Windows Server ofereça um ambiente de sistema operacional seguro.
O Windows Server integra-se estreitamente com o hardware para fornecer níveis crescentes de segurança:
Linha de base recomendada: O mínimo recomendado para todos os sistemas fornecerem integridade fundamental do sistema usando TPM 2.0 para uma raiz de hardware de confiança e Inicialização Segura. O TPM2.0 e a inicialização segura são necessários para a certificação de hardware do Windows Server. Para saber mais, consulte a Microsoft aumenta o padrão de segurança para a próxima versão principal do Windows Server
Servidor núcleo seguro: Recomendado para sistemas e indústrias que exigem níveis mais altos de garantia. O servidor Secured-core baseia-se nos recursos anteriores e usa recursos avançados do processador para fornecer proteção contra ataques de firmware.
A tabela a seguir mostra como cada conceito e recurso de segurança são usados para criar um servidor Secured-core.
| Conceito | Funcionalidade | Exigência | Linha de base recomendada | Secured-Core servidor |
|---|---|---|---|---|
| Crie uma raiz de confiança apoiada por hardware | ||||
| Arranque Seguro | A Inicialização Segura está ativada no BIOS UEFI (Unified Extensible Firmware Interface) por padrão. | ✓ | ✓ | |
| Módulo de plataforma confiável (TPM) 2.0 | Atenda aos requisitos mais recentes da Microsoft para a especificação TCG (Trusted Computing Group). | ✓ | ✓ | |
| Certificado para Windows Server | Demonstra que um sistema de servidor atende à mais alta barra técnica da Microsoft em termos de segurança, confiabilidade e capacidade de gerenciamento. | ✓ | ✓ | |
| Proteção DMA na inicialização | Suporte em dispositivos que possuem a Unidade de Gerenciamento de Memória de Entrada/Saída (IOMMU). Por exemplo, Intel VT-D ou AMD-Vi. | ✓ | ||
| Defenda-se contra ataques de nível de firmware | ||||
| Lançamento seguro do System Guard | Ativado no sistema operativo com hardware Intel e AMD compatível com Dynamic Root of Trust for Measurement (DRTM). | ✓ | ||
| Proteja o SO da execução de código não verificado | ||||
| Segurança baseada em virtualização (VBS) | Requer o hipervisor do Windows, que só é suportado em processadores de 64 bits com extensões de virtualização, incluindo Intel VT-X e AMD-v. | ✓ | ✓ | |
| Integridade de código aprimorada do hipervisor (HVCI) | Drivers compatíveis com HVCI (Hypervisor Code Integrity) e os requisitos de VBS. | ✓ | ✓ |
Criar uma raiz de confiança apoiada por hardware
UEFI Inicialização Segura é um padrão de segurança que protege os seus servidores contra rootkits mal-intencionados, verificando os componentes de inicialização do sistema. A inicialização segura verifica se o firmware, os drivers e as aplicações UEFI foram assinados digitalmente por um autor confiável. Quando o servidor é iniciado, o firmware verifica a assinatura de cada componente de arranque, incluindo os drivers de firmware e o sistema operativo. Se as assinaturas forem válidas, o servidor inicializa e o firmware dá controle ao sistema operacional.
Para saber mais sobre o processo de inicialização, consulte Proteger o processo de inicialização do Windows.
O TPM 2.0 fornece um armazenamento seguro e baseado em hardware para chaves e dados confidenciais. Cada componente carregado durante o processo de inicialização é medido e as medições armazenadas no TPM. Ao verificar a raiz de confiança do hardware, ele eleva a proteção fornecida por recursos como o BitLocker, que usa o TPM 2.0 e facilita a criação de fluxos de trabalho baseados em atestado. Esses fluxos de trabalho baseados em atestado podem ser incorporados em estratégias de segurança de confiança zero.
Saiba mais sobre Trusted Platform Modules e como o Windows usa o TPM.
Juntamente com a Segurança de Inicialização e o TPM 2.0, o Windows Server Secured-core utiliza proteção DMA de inicialização em processadores compatíveis que possuem a Unidade de Gestão de Memória de Entrada/Saída (IOMMU). Por exemplo, Intel VT-D ou AMD-Vi. Com a proteção DMA de inicialização, os sistemas são protegidos contra ataques de acesso direto à memória (DMA) durante a inicialização e durante o tempo de execução do sistema operacional.
Defenda-se contra ataques ao nível de firmware
As soluções de deteção e proteção de terminais geralmente têm visibilidade limitada do firmware, dado que o firmware é executado por baixo do sistema operacional. O firmware tem um nível mais alto de acesso e privilégio do que o sistema operacional e o kernel do hipervisor, tornando-o um alvo atraente para os invasores. Os ataques direcionados ao firmware prejudicam outras medidas de segurança implementadas pelo sistema operacional, tornando mais difícil identificar quando um sistema ou usuário foi comprometido.
A partir do Windows Server 2022, o System Guard Secure Launch protege o processo de inicialização contra ataques de firmware usando recursos de hardware da AMD e da Intel. Com o suporte do processador para a tecnologia Dynamic Root of Trust for Measurement (DRTM), os servidores Secured-core colocam o firmware num ambiente isolado apoiado por hardware, limitando os efeitos de vulnerabilidades em código de firmware altamente privilegiado. O System Guard usa os recursos DRTM que são incorporados em processadores compatíveis para iniciar o sistema operacional, garantindo que o sistema seja iniciado em um estado confiável usando código verificado.
Proteja o SO da execução de código não verificado
O servidor Secured-core usa a Segurança Baseada em Virtualização (VBS) e a integridade de código protegida por hipervisor (HVCI) para criar e isolar uma região segura de memória do sistema operacional normal. O VBS usa o hipervisor do Windows para criar um Modo Virtual Seguro (VSM) para oferecer limites de segurança dentro do sistema operativo, que podem ser usados para outras soluções de segurança.
HVCI, comumente referido como proteção de integridade de memória, é uma solução de segurança que ajuda a garantir que apenas código assinado e confiável tenha permissão para ser executado no kernel. Usar apenas código assinado e confiável evita ataques que tentam modificar o código do modo kernel. Por exemplo, ataques que modificam drivers ou exploits como o WannaCry que tentam injetar código malicioso no kernel.
Para saber mais sobre o VBS e os requisitos de hardware, consulte Segurança Baseada em Virtualização.
Gestão simplificada
Você pode exibir e configurar os recursos de segurança do sistema operacional de sistemas Secured-core usando o Windows PowerShell ou a extensão de segurança no Windows Admin Center. Com os sistemas integrados do Azure Local, os parceiros de fabrico simplificaram ainda mais a experiência de configuração para os clientes, para que a melhor segurança de servidor da Microsoft esteja disponível imediatamente.
Saiba mais sobre Windows Admin Center.
Defesa preventiva
Você pode se defender proativamente e interromper muitos dos caminhos que os invasores usam para explorar sistemas, habilitando a funcionalidade Secured-core. O servidor Secured-core permite recursos avançados de segurança nas camadas inferiores da pilha de tecnologia, protegendo as áreas mais privilegiadas do sistema antes que muitas ferramentas de segurança estejam cientes de exploits. Também ocorre sem a necessidade de tarefas extras ou monitoramento por equipes de TI e SecOps.
Comece sua jornada Secured-core
Você pode encontrar hardware certificado para servidores com núcleo seguro no Catálogo do Windows Server , e servidores do Azure Local no Catálogo Local do Azure . Esses servidores certificados vêm totalmente equipados com mitigações de segurança líderes do setor incorporadas ao hardware, firmware e sistema operacional para ajudar a impedir alguns dos vetores de ataque mais avançados.
Próximos passos
Agora que você entende o que é o servidor Secured-core, aqui estão alguns recursos para você começar. Saiba como:
- Configurar o servidor Secured-core.
- a Microsoft traz segurança de hardware avançada para Server e Edge com Secured-core no Blog de Segurança da Microsoft.
- Novos servidores Secured-core agora estão disponíveis no ecossistema da Microsoft para ajudar a proteger seus de infraestrutura no Blog de Segurança da Microsoft.
- Desenvolvimento de dispositivos, sistemas e drivers de filtro compatíveis com o Windows em todas as plataformas Windows de acordo com as Especificações e Políticas do Programa de Compatibilidade de Hardware do Windows .