Serveur d'impression

Dean Wells sur les nouveautés de la sécurité de Windows Server 2019 – Serveur d’impression

Le 12 février 2020 - 12 minutes de lecture

Windows Server 2019 a apporté de nombreuses améliorations à leur posture de sécurité ainsi qu'un tout nouvel ensemble de fonctionnalités. Dans l'une des sessions intitulée «  Améliorer votre posture de sécurité avec Windows Server 2019 '' à Microsoft Ignite 2018, Dean Wells, un gestionnaire de programme au sein de l'équipe Windows Server, a fourni une riche vue d'ensemble de nombreuses capacités de sécurité intégrées à Windows. Serveur avec un accent particulier sur les nouveautés de Windows Server 2019.

Vous souhaitez développer les compétences nécessaires pour concevoir et implémenter Microsoft Server 2019? Si vous cherchez également à soutenir votre moyenne / grande entreprise en tirant parti de votre expérience dans l'administration de Microsoft Server 2019, nous vous recommandons de consulter notre livre "Maîtriser Windows Server 2019 – Deuxième édition»Écrit par Jordan Krause.

Wells a commencé par expliquer la plate-forme SGX pour expliquer davantage les enclaves SGX et son importance. SGX est une technologie de plate-forme d'Intel qui fournit un environnement d'exécution fiable sur une machine qui pourrait être jonchée de logiciels malveillants et pourtant l'environnement d'exécution fiable est capable de se défendre contre l'inspection, les modifications de droits, etc.

Microsoft a tenté de construire une technologie similaire à SGX, mais pas aussi puissante que l'Enclave SGX, appelée l'Enclave VBS (virtualisation basée sur la sécurité).

Wells affirme que les menaces de sécurité sont l'un des principaux points de stress informatique. Ces menaces se divisent en trois domaines:

  • Gérer les identités privilégiées
  • Sécurisation du système d'exploitation
  • Sécurisation de la virtualisation de structure (VM) et de la sécurité basée sur la virtualisation

Wells a présenté des données datant de 18 mois qui ont souligné que plus de trois billions de dollars sont touchés chaque année par des cyberattaques; et ça grandit tout le temps.

La source: Youtube

Il a également présenté une chronologie d'attaque pour montrer combien de temps il faut pour découvrir pour découvrir l'attaque. Depuis le premier point d'entrée, il faut environ 24 à 48 heures en moyenne pour passer de l'entrée à l'administrateur du domaine. Ces attaquants habitent votre réseau pendant environ 146 jours, ce qui est alarmant. Le facteur commun à toutes les attaques est que les attaquants cherchent d'abord à exploiter des comptes privilégiés. Cependant, on ne peut pas réellement déprécier ces pouvoirs administratifs pour éviter les attaques.

La source: Youtube

Comment sécuriser les identités privilégiées, les systèmes d'exploitation et les machines virtuelles Fabric dans Windows Server 2019

Wells a souligné certaines initiatives pour lutter contre les menaces avec Windows Server et / ou Windows 10.

Gérer les identités privilégiées

Juste à temps: Wells a déclaré que les gens devraient s'assurer d'avoir des postes de travail à accès privilégié car il s'agit d'une autre initiative de l'industrie qui conseille d'utiliser des postes de travail dont la santé est attestée et s'ils ne sont pas en bonne santé, ils ne seront pas en mesure d'administrer la charge de travail attribuée.

Liste des mots de passe interdits par AAD: Ceci est écrit par l'équipe Azure Active Directory. Cela prend l'IA et les techniques de correspondance intelligentes qu'Azure AD utilise dans le cloud et les apporte à Windows Server AD.

Il existe de nombreuses identités sur la plateforme mais tout n'est pas pour tout le monde. Il faut faire des efforts proactifs pour activer ces fonctionnalités.

Sécurisation du système d'exploitation

C'est le domaine où l'on investit le plus. Dans le passé, le noyau était utilisé pour infuser l'intégrité du code; cependant, avec Hypervisor, le système d'exploitation ne peut pas communiquer directement avec le matériel. C’est là que l’on peut établir de nouvelles politiques politique d'intégrité du code. L'hyperviseur peut bloquer les choses qu'un noyau malveillant essaie d'insérer dans le matériel. On peut également sécuriser le système d'exploitation à l'aide d'un Control Flow Guard, du Defender ATP et du moniteur d'exécution System Guard.

Sécurisation de la virtualisation de structure (VM) et de la sécurité basée sur la virtualisation

Il s'agit notamment des machines virtuelles blindées qui sont résistantes aux logiciels malveillants et aux attaques de l'administrateur hôte sur l'hôte Hyper-V même où elles s'exécutent. Les utilisateurs peuvent également sécuriser la virtualisation à l'aide de conteneurs Hyper-V, de micro-segmentation, de commutateurs de prise en charge 802.1x, etc.

Pour en savoir plus sur chaque section en détail, rendez-vous sur la vidéo «Élever votre posture de sécurité avec Windows Server 2019».

Nouveautés de Windows Server 2019

Microsoft a largement utilisé Sécurité basée sur la virtualisation (VBS) dans Windows Server 2019 car cela jette les bases de la protection des secrets du système d'exploitation / de la charge de travail. Les autres fonctionnalités comprennent:

  • Améliorations des VM blindées qui incluent la prise en charge des succursales, des attestations simples compatibles avec le cloud, des systèmes d'exploitation Linux et un dépannage avancé.
  • Les mises à jour de la politique Device Guard peuvent désormais être appliquées sans redémarrage car de nouvelles politiques par défaut sont livrées dans la boîte et également que deux politiques ou plus peuvent être empilées pour créer une politique efficace combinée.
  • Kernel Control Flow Guard (CFG) garantit que les binaires utilisateur et en mode noyau s'exécutent comme prévu.
  • Moniteur d'exécution System Guard s'exécute à l'intérieur de l'enclave VBS garde un œil sur tout le reste et émet des affirmations de santé.
  • Cryptage de réseau virtuel via SDN, qui est un chiffrement transparent pour les machines virtuelles.
  • Windows Defender ATP est maintenant dans la boîte par conséquent, aucun téléchargement supplémentaire n'est requis.

Cloud privé sécurisé pour Windows

Mike Bartok du NIST (National Institute of Standards and Technology) a parlé du cloud de confiance et de la façon dont le NIST essaie de s'appuyer sur les capacités mentionnées par Dean. Bartok a présenté un document de la série 1800 de la publication spéciale du NIST qui se compose de trois volumes:

Volume A: Inclut un résumé exécutif de haut niveau qui peut être envoyé à la suite C pour leur parler de l'adoption du cloud et de la manière dont vous le ferez de manière fiable. Il comprend également un aperçu de haut niveau du projet, des défis, des solutions, des avantages, etc.

Volume B: Approfondit les défis et les solutions. Il comprend également une architecture de référence de diverses solutions aux problèmes, une cartographie des contrôles de sécurité dans le cadre de cybersécurité du NIST et la famille 853.

Volume C est un guide technique qui montre chaque étape mise en œuvre pour atteindre la solution via des captures d'écran, ou inclura des pointeurs vers le guide d'installation de Microsoft. On peut prendre le guide et reproduire le projet.

Objectifs de sécurité dans Trusted Cloud

Les résultats de sécurité de Trusted Cloud sont classés en fondations et en cours. Les résultats de sécurité fondamentaux incluent le balisage d'actifs basé sur la racine de confiance et la géolocalisation; déployer et migrer des charges de travail vers des plates-formes de confiance avec des balises spécifiques. Cependant, les autres qui sont en cours comprennent:

  • Assurez-vous que les charges de travail sont déchiffrées sur un serveur qui respecte les stratégies d'approbation et de limite.
  • Assurez-vous que les charges de travail respectent le principe du moindre privilège pour le flux réseau.
  • Assurer la conformité spécifique au secteur de l'industrie.
  • Déployez et migrez les charges de travail vers des plates-formes de confiance dans des environnements hybrides.

Chacun de ces résultats est pris en charge par différents partenaires, notamment Intel, Dell-EMC, Microsoft, Docker et Twistlock.

Sécurité de l'infrastructure de virtualisation

Plusieurs utilisateurs ont leurs hôtes dans la machine virtuelle. Ils peuvent dire que l'hôte est en bonne santé car il fonctionne bien. De la même manière, un hôte ne peut aucunement s'exécuter sans recevoir de clé. C'est ainsi qu'il est programmé.

Dean explique qu'une solution au problème de sécurité est une structure Guarded exécutant des VMs blindées. Voici quelques objectifs d'assurance de la sécurité pour ces machines virtuelles protégées:

Cryptage des données au repos et en vol

Ici, le TPM virtuel permet l'utilisation du chiffrement de disque dans une machine virtuelle (par exemple, BitLocker). De plus, la migration en direct et l'état de la machine virtuelle sont cryptés.

Administrateurs de tissus verrouillés

Ici, les administrateurs de l'hôte ne peuvent pas accéder aux secrets des machines virtuelles invitées (par exemple: ne peuvent pas voir les disques, les vidéos, etc.). En outre, ils ne peuvent pas exécuter de code arbitraire en mode noyau.

Malware bloqué: attestation de l'hôte requise

Ici, les charges de travail VM ne peuvent s'exécuter que sur des hôtes sains désignés par le propriétaire de la machine virtuelle.

Cependant, le blindage n'est pas conçu comme une défense contre les attaques DoS.

VM protégées dans Windows Server 2019

La VM blindée est une fonctionnalité de sécurité unique introduite par Microsoft dans Windows Server 2016. Dans la dernière édition de Windows Server 2019, elle a subi de nombreuses améliorations.

Inclut la prise en charge du système d'exploitation invité Linux

La prise en charge du système d'exploitation invité Linux dans Windows Server 2019 prend en charge Ubuntu, Red Hat (RHEL) et SUSE Linux Enterprise Server dans les machines virtuelles blindées. Ici, l'hôte doit s'exécuter sur Windows Server 2019. En outre, ces machines virtuelles protégées prendront entièrement en charge le provisionnement sécurisé pour garantir que le disque modèle est sûr et approuvé.

Attestation de clé d'hôte

Dans cette amélioration de machine virtuelle blindée, les machines virtuelles utilisent des paires de clés asymétriques pour autoriser un hôte à exécuter des machines virtuelles blindées. Ce sera similaire à la façon dont SSH fonctionne; plus de confiance AD ​​et aucune certification ne sera requise. Cela permettra un processus d'intégration plus facile avec moins d'exigences et moins de fragilité. Cela contribuera en outre à mettre rapidement en place un tissu protégé.

L'attestation de clé d'hôte a des garanties similaires à l'attestation Active Directory, c'est-à-dire qu'elle vérifie uniquement l'identité de l'hôte et non sa longueur. De plus, ses meilleures pratiques recommandent l'utilisation de l'attestation TPM pour la plupart des charges de travail sécurisées.

Prise en charge des succursales

Ici, les hôtes Hyper-V peuvent être configurés avec HGS principal et de secours. Cela serait utile dans les cas où il existe un HGS local pour une utilisation quotidienne et un HGS distant si le HGS local est en panne ou indisponible. Cette prise en charge permet également le déploiement de HGS dans une machine virtuelle protégée.

Pour les applications complètement hors ligne, vous pouvez désormais autoriser les hôtes à mettre en cache les clés des VM et à démarrer les VM même lorsque HGS ne peut pas être atteint. En effet, le cache est lié au dernier événement d'attestation de sécurité / d'intégrité réussi. Par conséquent, une modification de la configuration de l'hôte qui affecte sa posture de sécurité invalide le cache.

Dépannage amélioré

Les VMs blindées incluent VMConnect amélioré, qui permet des VMs «entièrement blindées». Cela facilitera le dépannage et peut également être désactivé dans la machine virtuelle protégée.

PowerShell Direct est également autorisé pour les machines virtuelles blindées. Ici, on peut combiner avec JEA pour permettre à l'administrateur hôte de résoudre uniquement des problèmes spécifiques sur les machines virtuelles sans leur donner les privilèges d'administrateur complets. Cela peut également être désactivé dans les machines virtuelles blindées.

Windows Server 2019 Hyper-V vswitch et EAPOL

Dean a également souligné que Windows Server 2019 aura une prise en charge complète du contrôle d'accès réseau basé sur le port IEEE 802.1x dans les commutateurs Hyper-V. Cette prise en charge serait destinée aux machines virtuelles dont les cartes réseau virtuelles sont connectées à des vSwitches.

Wells a expliqué un tas de raisons d'essayer et d'utiliser Windows Server 2019 avec de nouvelles fonctionnalités. Si vous avez besoin de quelques exemples pratiques pour administrer efficacement Windows Server 2019 et que vous souhaitez durcir vos serveurs Windows pour éloigner les méchants, vous pouvez explorer Maîtriser Windows Server 2019 – Deuxième édition écrit par Jordan Krause.

Lire Suivant

Adobe confirme une vulnérabilité de sécurité dans l'un de leurs serveurs Elasticsearch qui a exposé 7,5 millions de comptes Creative Cloud

Le serveur Web de PEAR (PHP Extension and Application Repository) est désactivé en raison d'une faille de sécurité

Windows Server 2019 est livré avec la sécurité, le stockage et d'autres modifications

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.