Microsoft在Windows Server 2019中的重大改进

在Windows Server 2019中,Microsoft为其屏蔽虚拟机安全控制改进了弹性和冗余的问题,该Shielded VMs于Windows Server 2016提出。

Shielded VMs最初提供了一种保护虚拟机资产的方法,将它与虚拟机管理程序基础设施隔离开来,这也有助于向审计人员证明系统已被充分隔离和控制。现在,Window Server 2019中的Shielded VM增强功能提供了实时故障恢复配置以及基于主机和策略的安全性改进。

主机密钥证明

在Windows Server 2016下,密钥身份验证基于可信平台模块(TPM)密码处理器和Microsoft Active Directory身份验证。这两者都是很好的解决方案,但在扩展性和冗余方面受到了限制。

Windows Server 2019中新添加的的主机密钥证明提供了基于证书的解决方案,允许组织使用标准证书存储机制存储密钥。将Shielded VMs与基于TPM的系统隔离的组织可以继续使用基于TPM的证明。

主机密钥证明为Shielded VMs开辟了新的方案,无需再受Active Directory或基于TPM环境的限制,包括扩展Shielded VMs以及改善冗余。

故障恢复配置

Windows Server 2016中的主机监护服务(HGS)用于配置保护主机和Shielded VMs,并提供运行Shielded VMs所需的认证和密钥保护。当HGS无法访问,Shielded VMs系统需要启动时,Windows Server 2019中的故障恢复配置为HGS冗余提供了一个附加层。Shielded VMs环境可以配置主HGS服务器和辅助HGS服务器,以便如果主服务器中断,Shielded VMs可以连接到辅助HGS服务器以验证启动过程。

这可以解决远程/分支机构问题,如果重大中断导致服务器关闭,重新启动后,本地HGS服务器尚未联机或可能处于严重故障状态,但远程办公室需要启动其系统并且运行。

通过故障恢复配置,当分支机构系统尝试向本地HGS服务器进行身份验证并失败时,系统将通过WAN到达主数据中心HGS服务器进行身份验证,以便启动可以继续。这种弹性是可选配置。

改进了Shielded VMs的工具和策略

Windows Server 2019中的Shielded VMs在工具和策略的可用性方面有许多改进。其中包括:

  • VMConnect和PS Direct:Windows Server 2016中的Shielded VMs阻止来自主机系统控制台(使用VMConnect)的Shielded VMs访问或从控制台到Shielded VMs(使用PS Direct)的远程访问。虽然这种保护的目的是防止恶意主机管理员访问Shielded VMs,但有时候主机管理员确实需要与Shielded VMs系统和应用程序所有者一起工作,例如在Shielded VMs和主机基础设施之间进行网络或通信控制时需要审查。 Windows Server 2019中增加了通过VMConnect和PS Direct可以访问Shielded VMs的功能,以便对解决问题和调试时可能需要的Shielded VMs的组件进行外部访问。
  • Shielded VM PowerShell Cmdlets:Microsoft发布了一个可与Windows Server 2019和Windows Server 2016配合使用的Guarded Fabric Tools模块。它引入了像New-ShieldedVM和New-ShieldingDataAnswerFile这样的新的cmdlet用于Shielded VM部署PowerShell控件。由于企业正在利用PowerShell创建标准部署模板,这些新的cmdlet大大提高了在企业中创建Shielded VMs的一致性。
  • 代码完整性策略:从Windows Server1709版(2017年9月对Windows Server 2016的更新)开始,微软的Device Guard增强功能提供了示例策略,可帮助组织评估并最终锁定系统,并查找“已知有效”代码。这可以确保恶意软件不会在系统不能识别并发送非标准、不支持或未识别代码的警报的情况下,进入系统并在系统上运行。代码完整性策略将帮助运行Shielded VM保护系统的组织从内到外评估其安全风险。

原文发布于微信公众号 - SDNLAB(SDNLAB)

原文发表时间:2018-06-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序你好

SignalR介绍简单示例教程入门版

1694
来自专栏静晴轩

Mac必备软件集之Brew

Brew~安装开发工具链的神器:brew 又叫Homebrew,是Mac OSX上的软件包管理工具,能在Mac中方便的 安装/查询/卸载 软件, 只需要一个命令...

4693
来自专栏腾讯开源的专栏

【开源公告】业界首创iOS自动内存泄露检测工具MLeaksFinder开源

MLeaksFinder ? MLeaksFinder 是 iOS 平台的自动内存泄漏检测工具,引进 MLeaksFinder 后,就可以在日常的开发,调试业...

4355
来自专栏逸鹏说道

Win10 UWP应用发布流程

简介 Win10 UWP应用作为和Win8.1 UAP应用不同的一种新应用形式,其上传至Windows应用商店的流程也有了一些改变。 这篇博文记录了我们发布一款...

2625
来自专栏SDNLAB

LINC switch系列之架构分析与源码探索

前言 LINC switch是一个由flowforwarding. org主导开发的一款纯openflow交换机,目的是发展和评估openflow协议1.2,1...

3126
来自专栏jessetalks

C#移动跨平台开发(1)环境准备

  C#依托于mono平台可以实现Unix平台服务器端开发已经不是什么新鲜事了,而Xarmain公司(初始成员大多来自原Mono、MonoTouch、Mono ...

3147
来自专栏.NET后端开发

ADO.NET入门教程(二)了解.NET数据提供程序

摘要       在上一篇文章《你必须知道的ADO.NET(一) 初识ADO.NET》中,我们知道ADO.NET的两大核心组件分别是Data Provider和...

43211
来自专栏FreeBuf

微软Office曝存在17年之久的“全版本影响”老洞,无需用户交互实现恶意程序远程植入

当人们仍在着急处理“没有补丁”的微软MS Office内置DDE功能威胁时,有研究人员又发现了Office的另一个严重漏洞,攻击者可以利用该漏洞,无需受害者用户...

2128
来自专栏小白课代表

软件分享 | VC++ 6.0 (WIN10可用)安装教程

Microsoft Visual C++(简称Visual C++、MSVC、VC++或VC)是Microsoft公司推出的以C++语言为基础的开发Window...

1473
来自专栏晓晨的专栏

ABP从入门到精通(1):aspnet-zero-core项目启动及各项目源码说明

1974

扫码关注云+社区

领取腾讯云代金券