Windows Server 2022: Protección de servidores con seguridad basada en hardware

Microsoft se ha centrado recientemente en la seguridad basada en hardware, con Windows 11 que requiere el uso de TPM y otros sistemas de seguridad para garantizar que su software esté seguro y su sistema operativo no haya sido comprometido. Este enfoque basado en hardware para la seguridad no se limita solo a los sistemas de escritorio y personales; Windows Server 2022 lleva muchas de esas herramientas a su centro de datos.

Índice de Contenido
  1. ¿Qué es Secured-core en servidores de Windows?
  2. Utilizando seguridad basada en virtualización
  3. Gestión de secured-core

¿Qué es Secured-core en servidores de Windows?

Es aquí donde entra en juego Secured-core Server, utilizando herramientas de seguridad basadas en hardware para proteger sus servidores desde el momento en que se inician. El objetivo es defender sus sistemas impidiendo que se ejecute código malicioso, ya sea verificando el código a medida que se ejecuta o utilizando firmas digitales para autenticar aplicaciones y controladores. Secured-core se basa en las características de seguridad del hardware incorporadas en los procesadores modernos, como el procesador seguro ASP de AMD, que ayuda a gestionar y proteger el entorno de ejecución de confianza utilizado para el arranque seguro.

Microsoft se centra en el uso de una raíz de confianza basada en hardware para gestionar su plataforma secured-core, comenzando con sistemas TPM. El Módulo de Plataforma de Confianza (TPM) es una solución basada en hardware o firmware que proporciona un entorno seguro para almacenar claves de cifrado, certificados y otras firmas digitales, y sumas de comprobación. No necesita ser especialmente grande, solo necesita ser seguro. Los sistemas secured-core requieren un TPM de segunda generación.

La primera y más obvia tarea es utilizar el TPM para asegurar la integridad de la BIOS y el firmware de un servidor, utilizando firmas precargadas. Estas se configuran cuando se construye el hardware y dependen del fabricante del servidor. Tener esto en su lugar incluso antes de la instalación del sistema operativo le permite verificar que su servidor no haya sido manipulado antes de que comience a arrancar. Esto luego conduce a un servicio de arranque seguro similar al utilizado por Windows.

Utilizando el TPM para gestionar las firmas, podemos utilizarlo como parte de lo que Microsoft describe como una raíz dinámica de confianza para la medición. La forma en que los sistemas arrancan cambia con el tiempo, a medida que se instalan actualizaciones de software y nuevos servicios. Esto significa medir cómo cargan los diversos componentes y almacenar y comprobar esas mediciones. DRTM ofrece otra forma de asegurarse de que su entorno se está iniciando correctamente, reduciendo el riesgo para sus servidores de rootkits y otros malware de bajo nivel.

Utilizando seguridad basada en virtualización

Un aspecto importante de secured-core es la seguridad basada en virtualización. Aquí, Windows Server aprovecha la funcionalidad del hipervisor incorporada en los procesadores modernos para aislar los procesos clave del resto de Windows. Por ejemplo, se ejecuta un entorno altamente enfocado durante el inicio de sesión que ayuda a proteger sus credenciales de administrador. Las aplicaciones en segundo plano no pueden interactuar con el entorno de inicio de sesión virtualizado, por lo que el malware no puede espiar sus pulsaciones de teclas y capturar contraseñas e identificaciones.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

VBS (Virtualization-Based Security) admite mucho más que los servicios de inicio de sesión de Windows. Proporciona una sección aislada y segura de la memoria que Windows puede utilizar para gestionar diversas herramientas de seguridad, manteniéndolas protegidas contra ataques. Utilizando este modo virtual seguro, es posible comprobar el código antes de ejecutarlo, gestionando cómo Windows crea nuevas páginas de memoria, comprobándolas antes de permitir que se ejecuten. Como precaución adicional, el código no puede escribir en una página ejecutable, reduciendo significativamente el riesgo de un desbordamiento de búfer.

Del mismo modo, la Integridad de Código Protegido por hipervisor agrega otra capa de protección al kernel de Windows. Conocido en la configuración de seguridad de Windows como Integridad de Memoria, se utiliza para verificar todo el código en modo del kernel, como controladores, antes de que se ejecute, permitiendo que Windows bloquee los controladores no firmados. Incluso si el malware llega al kernel, los distintos niveles de VBS reducen el riesgo de que pueda acceder a datos o a la plataforma de Windows subyacente. Esta característica es el corazón de las herramientas de controlador firmado que Microsoft está desarrollando, así como su recientemente anunciado servicio de control de aplicaciones inteligentes.

Una ventaja de estas técnicas es que no solo protegen los sistemas contra malware, sino que también pueden reducir el riesgo de que los errores afecten a sus servidores. Es una coincidencia útil que muchas de las técnicas utilizadas por el malware sean muy similares a las fallas comunes de los controladores y del modo del kernel. Mantener los sistemas confiables es un efecto secundario útil de herramientas como HVCI y VBS.

Gestión de secured-core

Puede gestionar la funcionalidad de secured-core desde Windows Admin Center, activándolo en hardware compatible sin tener que administrar cada máquina individualmente. Si bien se obtiene el mayor beneficio al ejecutar las herramientas secured-core server desde el inicio en un nuevo servidor, donde es posible medir todo en un sistema limpio, todavía existe valor en habilitar servicios como la Integridad de Memoria. Esto se debe a que aunque pueda haber malware oculto en sus servidores como parte de una amenaza persistente avanzada, estas técnicas brindan un mejor nivel de protección que un servidor no seguro.

Microsoft proporciona otras herramientas de gestión para sistemas secured-core, por ejemplo, utilizando políticas entregadas por MDM para restringir las configuraciones. Es muy fácil que cualquier persona con permisos de administrador desactive accidentalmente un servicio secured-core, por lo que debemos tener protecciones adicionales que reviertan los cambios tan pronto como se realicen. Por ejemplo, si es necesario que HVCI esté activado y se desactiva, se activará automáticamente nuevamente, lo que mantendrá los servidores siguiendo su línea base de seguridad aplicada centralmente.

Esto es solo la primera generación del enfoque secured-core de Microsoft. La segunda generación se basa en tecnologías como su coprocesador de seguridad Pluton, que proporciona un modelo de protección más proactivo que el TPM relativamente pasivo. Una ventaja de Pluton es que es fácil mantener actualizado el subsistema de seguridad, utilizando las mismas herramientas que Microsoft usa para su plataforma Azure Sphere de Internet de las cosas segura. Las actualizaciones se envían regularmente, similar a Patch Tuesday, pero a nivel de hardware. Por lo tanto, siempre ejecutará la última versión del firmware de seguridad de su procesador, sin necesidad de gestionar actualizaciones en todo un centro de datos de servidores.

Cómo proteger tu computadora de los virus: métodos y consejos

Es importante recordar que secured-core es solo una herramienta para ayudar a que sus sistemas sean más seguros. Incluso con su ejecución, no debe descartar sus modelos y herramientas de seguridad existentes. Un atacante dedicado todavía tiene oportunidades; simplemente ahora debe trabajar a un nivel por encima del kernel de Windows, atacando partes de la pila.

Aun así, no es una razón para ignorar la implementación de servidores secured-core en su red, por supuesto. Secured-core puede no ser una defensa universal, pero reduce significativamente el riesgo con muy poco trabajo requerido por su parte. Y eso siempre será una victoria.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Windows Server 2022: Protección de servidores con seguridad basada en hardware , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.