微软表示,首个经过 Secured-core 认证的 Windows Server 和 Microsoft Azure Stack HCI 设备现在可用于保护客户的网络免受安全威胁,包括勒索软件攻击。
安全核心设备作为解决方案销售,以解决越来越多的固件漏洞,攻击者可以利用这些漏洞绕过 Windows 机器的安全启动,以及当今端点安全解决方案在固件级别缺乏可见性。
自2019年10 月以来,所有Secured-core 设备都针对滥用固件和驱动程序安全漏洞的威胁提供内置保护。它们可以帮助防御旨在利用驱动程序安全漏洞禁用安全解决方案的恶意软件。
凭据盗窃阻止功能
新认证的安全核心服务器使用 安全启动 和 可信平台模块 2.0 来确保只有可信才能在启动时加载。
他们还利用动态信任根测量 (DRTM) 将操作系统启动到受信任状态,阻止恶意软件试图篡改系统。
安全核心服务器还使用管理程序保护的代码完整性(HVCI) 来阻止所有未由已知和批准的授权机构签名的可执行文件和驱动程序(例如 Mimikatz)启动。
“此外,由于基于虚拟化的安全性(VBS) 是开箱即用的,因此 IT 管理员可以轻松启用诸如Credential Guard 之类的功能,这些功能可以在攻击者看不到的隔离环境中保护凭证,”微软表示。
通过阻止凭据盗窃尝试,Secured-core 服务器可以帮助威胁行为者(包括勒索软件团伙,如 REvil)更难在网络中横向移动,从而在他们获得持久性并部署其有效负载之前阻止他们的攻击。
例如,安全核心服务器可以阻止 RobbinHood Ransomware 运营商 利用易受攻击的 GIGABYTE 驱动程序 来提升权限和安装恶意的未签名 Windows 驱动程序。
这使得终止受感染系统上的防病毒和安全软件进程成为可能,以绕过反勒索软件防御并在受害者的网络中部署其有效负载。
运行 Azure Stack HCI 和 Windows Server 的服务器
Azure Stack HCI 目录 和Windows Server 目录列表中现在提供了数十种具有安全核心服务器功能的模型。
您可以通过本地部署和基于浏览器的 Windows Admin Center 应用程序与网络上的所有 Windows 客户端一起管理服务器的配置和状态。
“Windows Admin Center UI 允许您轻松配置包含安全核心服务器的六项功能:管理程序强制代码完整性、引导直接内存访问 (DMA) 保护、系统保护、安全引导、基于虚拟化的安全性和可信平台模块2.0,”微软补充道。
Redmond 首次宣布Windows Server 2022 将在 3 月份新版本进入预览版时将 Secured-core 扩展到 Windows Server 平台。