Как Windows Server 2016 управляет безопасностью — для ИТ-директоров

Опубликовано: 5 Апреля, 2023
Как Windows Server 2016 управляет безопасностью — для ИТ-директоров

Запуск каждой новой версии Windows, будь то серверная или клиентская, сопровождается обещанием усиленных мер безопасности. Иногда эти обещания оказываются пустыми.

Но с Windows Server 2016 Microsoft предприняла настоящую попытку ответить на опасения и вопросы ИТ-директоров, связанные с безопасностью. Кроме того, Windows Server 2016 хорошо справляется с опасностями администраторов с чрезмерными привилегиями, фишинговых учетных данных и ненадежных двоичных файлов.

Для этих дополнений есть веская причина. Растущий масштаб и изощренность взломов и атак указывает на то, что проблемы безопасности больше не являются исключительной прерогативой ИТ-специалистов. Windows Server 2016 стремится управлять безопасностью по трем основным направлениям: защита виртуальных машин, защита учетных данных и удостоверений пользователей, а также защита ОС в облаке и на серверах. Читайте дальше, чтобы узнать об улучшенных методах обеспечения безопасности и о том, какие преимущества дает ИТ-директорам Windows Server 2016.

Какие новости?

Функции безопасности, доступные в Windows Server 2016, имеют большой смысл, и странно, что Microsoft так долго не включала их. Впрочем, лучше поздно, чем никогда, как говорится.

  • Базовый нано-сервер

Что касается Nano Server в Windows Server 2016, минимализм — это название игры. Вы получаете очень упрощенную, но мощную версию, в которой отсутствует графический интерфейс, что обеспечивает наименьшую возможную поверхность для атаки.

Nano Server занимает очень мало места на жестком диске и еще меньше памяти для работы, а это означает, что вы наслаждаетесь невероятно быстрой загрузкой. Однако это никоим образом не означает, что Nano Server лишен каких-либо важных серверных ролей; Напротив, серверы приложений, такие как веб-хостинг IIS и Hyper-V, добавляют ценность.

  • JEA (достаточно администрирования)

Концепция наименьших привилегий, наконец, вступает в игру с PowerShell. Подход, получивший название JEA, является частью Management Framework 5.0. Это означает, что более детализированные роли теперь ограничены конкретными ситуациями, предоставляя больше возможностей для уменьшения доступа администратора, чем это было возможно ранее.

Однако необходимо понимать, что JEA может быть взломана хакерами и киберпреступниками, которые хотят использовать ее уязвимости с точки зрения ролевых возможностей. Таким образом, JEA не следует рассматривать как барьер безопасности. Вместо этого его необходимо отслеживать и контролировать таким же образом, как и при традиционном доступе администратора.

  • Инновационные услуги по управлению идентификацией

В Windows Server 2016 представлено множество новых служб управления идентификацией, которые улучшают аппаратные расширения, обеспечивая более безопасные домены и сертификаты Active Directory. Это основано на концепции бастионного леса. Нет, это не имеет ничего общего с секвойями! Также называемый красным лесом, это место, где находятся учетные записи администратора. Можно изолировать бастионные леса для защиты учетных записей.

Обновления и разработки

Не все функции безопасности в Windows Server 2016 являются новыми. Некоторые существовали и в более старых версиях ОС. Разница лишь в том, что они прошли доработку, чтобы сделать их более актуальными и соответствующими требованиям ИТ-директоров.

  • Безголовая версия Защитника Windows

Защитник Windows, собственная версия программы защиты от вредоносных программ от Microsoft, демонстрирует резкое увеличение своих функций безопасности в новейшей версии Windows Server 2016. Это стало возможным благодаря отсутствию графического интерфейса, как уже упоминалось.

Что побудило серверные системы пересмотреть GUI? Ответ двоякий: графический пользовательский интерфейс использует системные ресурсы, которые сервер может лучше использовать в других областях, а графический пользовательский интерфейс содержит ненужные биты ОС с возможными рисками безопасности, которые снижают общий уровень безопасности сервера.

Вместо графического интерфейса большая часть управления теперь осуществляется с помощью подсказок командной строки PowerShell.

  • Необходимые аппаратные расширения

Прошивка UEFI уже давно используется на всех ПК вместе с аппаратными виртуальными расширениями центрального процессора (ЦП) и чипами доверенных платформенных модулей (TPM). Наконец-то они используются в Windows Server 2016 благодаря инновационной функции, известной как Device Guard.

Это блокирует все ваши серверы, чтобы вы могли запускать только те приложения, которые были подписаны цифровой подписью и получили разрешение от определенных политик безопасности. Такой шаг был предпринят с намерением защитить целостность серверов, чтобы лучше сдерживать вредоносное ПО.

  • Шифрование виртуальной машины

Виртуальные машины часто сталкиваются с угрозами со стороны пользователей с административным доступом к гипервизору. Они могут безудержно работать в виртуальной инфраструктуре. Однако Windows Server 2016 позволяет запускать виртуальные машины с зашифрованных файлов на жестком диске, что затрудняет внесение любых изменений. Виртуальное общее продуктивное обслуживание (TPM) теперь используется виртуальными машинами для защиты дисков.

  • Хозяин опекун

Тенденция к виртуализации серверов в настоящее время стала обычным явлением в отрасли, и многие ИТ-директора хотят перейти на цифровые технологии. Несмотря на то, что этот метод считается умеренно безопасным, он всегда страдал от проблемы переносимости виртуальных машин. Ничто не препятствует копированию виртуального жесткого диска виртуальной машины на съемный носитель.

Host Guardian Server — один из наиболее важных инструментов, доступных в Windows Server 2016. Это расширенная служба безопасности ключа и аттестации, которая позволяет настроить хост-гипервизор таким образом, чтобы он действовал аналогично охраняемому хосту. Крайне важно правильно идентифицировать защищенные узлы в сети и подтвердить уровень TPM и/или Active Directory.

Если в настоящее время используется аттестация TPM, Windows Server 2016 может даже проверить работоспособность хоста путем тщательного сравнения его конфигурации с надежной базовой конфигурацией.

Windows Server 2016 предполагает, что ИТ-инфраструктура организации постоянно находится под угрозой атак, и предлагает ИТ-директорам улучшенные методы и функции для защиты критически важных серверов от угроз. Системная безопасность является приоритетом для нового сервера, и команда разработчиков Microsoft постоянно придумывает новые контрмеры, исходя из предположений, что число системных нарушений будет расти. К некоторым новым мерам нужно время, чтобы привыкнуть. Тем не менее, это определенно направление будущего, и это понимание необходимо всем ИТ-директорам.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023