Imagen: Producción Perig/Shutterstock

Microsoft se ha centrado recientemente en la seguridad del hardware, con Windows 11 que requiere el uso de TPM y otros sistemas de seguridad para mantener su software y su sistema operativo seguros. Este enfoque de seguridad basado en hardware no es solo para computadoras de escritorio y sistemas personales; Windows Server 2022 trae muchas de estas herramientas a su centro de datos.

VER: Política de instalación de software (República Tecnológica)

La seguridad del hardware es una parte esencial de la protección de los sistemas modernos, ya que tecnologías como los contenedores y la virtualización alejan sus cargas de trabajo del sistema operativo host subyacente. Cuanto más ignoramos el sistema operativo host, más seguro debe ser, ya que es el controlador de todas sus aplicaciones y servicios. Todos pueden estar aislados unos de otros, pero todos son visibles para el anfitrión. Un compromiso a este nivel no pone en peligro una aplicación, sino todo lo que se ejecuta en el servidor, especialmente si está utilizando una nube privada o híbrida.

Índice

¿Qué es Secure Core en servidores Windows?

Ahí es donde entra en juego Secure Server, que utiliza herramientas de seguridad basadas en hardware para proteger sus servidores desde el momento en que comienzan a arrancar. La intención es defender sus sistemas evitando la ejecución de código malicioso, ya sea verificando el código en ejecución o usando firmas digitales para autenticar aplicaciones y controladores. El núcleo seguro se basa en las características de seguridad del hardware integradas en los procesadores modernos, como el procesador seguro ASP de AMD, que ayuda a administrar y bloquear el entorno de ejecución confiable que se usa para el arranque seguro.

Microsoft se enfoca en usar una raíz de confianza de hardware para administrar su plataforma segura, comenzando con sistemas familiares basados ​​en TPM. El módulo de plataforma segura se basa en hardware o firmware y proporciona un entorno seguro para almacenar claves de cifrado, certificados y otras firmas digitales, así como sumas de verificación y hash. No tiene que ser particularmente alto; solo necesita ser seguro. Los sistemas de núcleo seguro requieren un TPM de segunda generación.

La primera y más obvia tarea es usar el TPM para garantizar la integridad del BIOS y el firmware de un servidor, usando firmas pro-cargadas. Estos se configuran al construir el hardware y dependen del fabricante del servidor. Tenerlo en su lugar antes de que el sistema operativo esté instalado le permite verificar que su servidor no haya sido manipulado antes de que comience a arrancar. Esto luego conduce a un servicio de arranque seguro similar al que usa Windows.

Al usar el TPM para administrar las firmas, podemos usarlo como parte de lo que Microsoft describe como una raíz de confianza dinámica para la medición. La forma en que los sistemas arrancan cambia con el tiempo a medida que se instalan actualizaciones de software y nuevos servicios. Esto significa medir la carga de diferentes componentes y almacenar y verificar estas medidas. DRTM le brinda otra forma de asegurarse de que su entorno se inicie correctamente, lo que reduce el riesgo para sus servidores de rootkits y otro malware de bajo nivel.

Usar seguridad basada en virtualización

Un aspecto importante del núcleo seguro es la seguridad basada en la virtualización. Aquí, Windows Server aprovecha la funcionalidad de hipervisor integrada en los procesadores modernos para aislar los procesos clave del resto de Windows. Entonces, por ejemplo, ejecuta un entorno muy específico al iniciar sesión que ayuda a proteger sus credenciales de administrador. Las aplicaciones que se ejecutan en segundo plano no pueden interactuar con el entorno de inicio de sesión virtualizado, por lo que el malware no puede espiar sus pulsaciones de teclas y capturar contraseñas y credenciales.

VBS admite mucho más que los servicios de inicio de sesión de Windows. Proporciona una sección de memoria aislada y segura que Windows puede usar para administrar varias herramientas de seguridad, protegiéndolas contra vulnerabilidades. Usando este modo seguro virtual, es posible verificar el código antes de que se ejecute, administrando cómo Windows crea nuevas páginas de memoria, verificándolas antes de que se les permita ejecutar. Como precaución adicional, el código no puede escribir en una página ejecutable, lo que reduce en gran medida el riesgo de desbordamiento del búfer.

De manera similar, la integridad del código protegido por hipervisor agrega otra capa de protección al kernel de Windows. Conocido en la Configuración de seguridad de Windows como Integridad de la memoria, se usa para verificar todo el código del modo kernel, como los controladores, antes de que se ejecute, lo que permite que Windows bloquee los controladores no firmados. Incluso si el malware ingresa al kernel, los diferentes niveles de VBS reducen el riesgo de que pueda acceder a los datos o a la plataforma Windows subyacente. Esta funcionalidad está en el corazón de las herramientas de controladores firmados de Microsoft, así como su Servicio de Control de Aplicaciones Inteligentes recientemente anunciado.

Uno de los beneficios de estas técnicas es que no solo protegen los sistemas contra el malware, sino que también pueden reducir el riesgo de errores que afecten a sus servidores. Es una coincidencia útil que muchas de las técnicas utilizadas por el malware sean muy similares a las fallas comunes del controlador y del modo kernel. La confiabilidad del sistema es un efecto secundario útil de herramientas como HVCI y VBS.

Gestión segura del núcleo

Puede administrar la funcionalidad central segura desde Windows Admin Center, habilitándola en hardware compatible sin tener que administrar máquinas individuales. Si bien el mayor beneficio proviene de ejecutar herramientas de servidor seguras en el primer arranque en un servidor nuevo, donde todo se puede medir en un sistema limpio, sigue siendo útil para habilitar servicios como la integridad de la memoria. De hecho, aunque el malware puede estar oculto en sus servidores, como parte de una amenaza persistente avanzada, estas técnicas ofrecen un mejor nivel de protección que un servidor no seguro.

Microsoft proporciona otras herramientas de administración para sistemas de núcleo seguro, como su uso con políticas proporcionadas por MDM para bloquear configuraciones. Es muy fácil para cualquier persona con permisos de administrador desactivar accidentalmente un servicio seguro. Por lo tanto, necesitamos salvaguardas adicionales que reviertan los cambios tan pronto como se realicen. Entonces, por ejemplo, si se requiere HVCI y está deshabilitado, se volverá a habilitar automáticamente, manteniendo los servidores en cumplimiento con su línea de base de seguridad aplicada centralmente.

Esta es solo la primera generación del enfoque de núcleo seguro de Microsoft. La segunda generación se basa en tecnologías como su coprocesador de seguridad Pluto, que ofrece un modelo de protección más proactivo que el TPM relativamente pasivo. Uno de los beneficios de Pluto es que es simple mantener actualizado el subsistema de seguridad, usando las mismas herramientas que usa Microsoft para su plataforma segura Azure Sphere Internet of Things, las actualizaciones se envían regularmente, como Patch Tuesday, pero a nivel de hardware. . De esta manera, siempre estará ejecutando la última versión del firmware de seguridad de su procesador, sin tener que administrar las actualizaciones en todo un centro de datos de servidores.

Es importante recordar que Secure Kernel es solo una herramienta para ayudar a que sus sistemas sean más seguros. Incluso en ejecución, no debe abandonar sus modelos y herramientas de seguridad existentes. Un delantero dedicado siempre tiene oportunidades; es solo que ahora tienen que operar sobre el kernel de Windows, atacando partes de la pila.

Aun así, por supuesto, no es razón para omitir la implementación de servidores seguros en su red. Secure Core puede no ser una defensa universal, pero reduce significativamente el riesgo con muy poco trabajo requerido de su parte. Y siempre será una victoria.