觀點

市場觀察,3個D的安全承諾

2008 / 09 / 05
編輯部
市場觀察,3個D的安全承諾

拆解Windows Server 2008- 第一個在高可信度電腦運算要求下開發改版的產品。微軟承諾其在設計(Design)、預載(Default)與佈署(Deployment)上的安全。

自從6年前微軟的高可信度電腦運算(Trustworthy Computing)開跑,Windows Server 2008(別名Longhorn)反映出來自Redmond3個D的安全承諾,透過安全設計、預載的安全設定與安全佈署,給用戶安全的產品。
Convergent Computing的 CEO Rand Morimoto表示,不容置疑地,這是第一個Windows Server在高可信度電腦運算下誕生,從核心開始就建構許多安全功能,該公司負責Windows Server 2008內部與客戶小規模試驗。
判定Server 2008系統程式是否安全的評量方法,就是自正式發行之後他會出現多少個系統弱點,微軟極力鼓吹安全是Windows Server 2008的首要設計考量,經過了安全系統發展生命週期(SDLC)。重新訓練員工寫出安全的程式碼與建構威脅模型,針對這些模型實施廣泛的安全測試。其目標在於減少軟體弱點的數量,舉例來說,你可以完全不需要擔心Windows Server 2008發生緩衝區溢位的問題。
這樣的理由足以讓你升級嗎?也許,除了在程式碼設計上的安全之外,Windows Server 2008提供許多新的資料與網路保護措施特色的強化,讓你可以更輕易地符合法規的需求。本文將在這個方向下,帶領大家來看這些保護您目錄服務、資料與網路環境的新特色。

全副武裝的作業系統
您可能聽過 BitLocker Drive Encryption,加密整個OS磁碟而且可以保護系統開機過程的完整性,對於系統磁區機加密可以避免軟體攻擊與電腦遺失造成資料外洩。
這是Windows Server 2008提供的安全機制之一。BitLocker透過磁碟加密與安全的開機驗證程序,轉移資料遭未授權存取的風險。
對於多數的安全科技而言,相應所產生的易於管理的權衡(tradeoff)是很重要的。系統的升級必須要求您把磁碟解密是不方便的,但是非微軟系列的軟體要安裝或升級,會要求您把BitLocker整個關閉,否則系統會進入回復模式(recovery mode) 而且會請您提供金鑰或密碼才讓您繼續動作。
當然,加密動作會影響效能,微軟宣稱對於伺服器而言影響不大,可能只有個位數的百分比的資源需求,加密動作是在背景執行,每分鐘約可以處理1GB的資料量。
安全的開機啟動必須配合TPM 1.2晶片,保護系統開機功能不會在離線時被竄改。如果受到竄改,系統可能會開不了機,而且在開機完成之前不會有任何網路埠被開啟,以保障開機過程的安全。
Windows Server 2008繼續延伸這項安全功能,使用數位簽章以阻止駭客或惡意程式替換作業系統的底層檔案,所有系統的執行檔與DLL檔均做數位簽章認證,在執行或載入記憶體之前必須被檢驗其完整性與身分。
更進一步,Windows Server 2008亦採用ASLR(Address Space Layout Randomization)以預防緩衝區溢位及其他針對系統已知記憶體位置的攻擊方式。早期微軟的OS採用固定的系統記憶體位址,攻擊難度相對低。這項技術在每次開機之後,主要的資料區域位址會做亂數化,以防禦惡意程式或自動化的攻擊程式。Windows Server 2008對於攻擊失敗的系統錯誤有一定的容許次數,如果惡意程式自動化地探測目標區域超過十次失敗,系統便會提醒要除重新開機,而系統管理者便會警覺到系統的不尋常問題,再從LOG或管理工具中加以解決。

Firewall:雙向交通大管制
主機型的Windows Firewall已經加強了進階的安全功能,對於內向外的連線也納入管控範圍,規則的設定可以指定來源與目的位址、連接埠等。當然在設定的方法上也更為簡化易於使用。應用層的規則還是以執行檔的路徑為主,而非使用雜湊值,不過她可以設定服務名稱作為規則的標的物。並且將IPsec整合到同一個設定介面中,不像前一版要分開設定。

Service:一個蘿蔔一個坑
系統中的服務,通常具備很高的執行權限,而請經常是被開啟執行的,所以是熱門的惡意攻擊目標,可以利用系統服務(system services)權限進行幾乎所有工作,包含資料格式化、安裝木馬或是透過網路散播。前一版的Windows作業系統在預設上執行很多服務,布論用戶是否有需要。Windows Server 2008為了將攻擊的損失最小化,減少攻擊成功的機會,配合Windows Service Hardening採用最小權限原則,將預設值執行的服務署兩檢島最少。當然,可以配攻擊的地方也隨之減少。
Windows Server 2003 與 Windows XP採用三種服務帳號(NetworkService、LocalService 與 LocalSystem),如果有哪個服務被感染,這樣就會取個這些帳戶的個別完整權限,非常危險。Windows Server 2008將這些帳號擴增為六個,每個服務帳號都有特定的權限與範圍,以提供更有效的控制。舉例來說,某個服務會先在LocalSystem的環境下啟動,然後再使用更低權限的帳號如LocalService或 NetworkService繼續執行。重要的服務也被限制其操作上的功能參數與能力,例如RPC(Remote Procedure Call)現在已經不能替換任何系統檔案或註冊機碼(registry)。
接著,服務的啟動還需要唯一的安全識別 (SID),以往可以匿名地在LocalSystem的權限中在權取控制表(ACL)動手腳,現在,想都別想了!

AD: 看得到 碰不到
主動目錄服務(AD)是安全架構的核心,一切的權限與存取授權就在這裡,如果被攻陷就是最高的風險事件。
Windows Server 2008推出了只能讀取的網域控制器(RODC),提供只能讀取的AD 目錄服務,以降低上述風險的發生機會,而且,帳號的密碼與密碼複製政策(Password Replication Policy)也不存放在RODC上。當然,你還可以給予IT人員可維護AD主機的帳號,去做更新或安裝,但不是AD最高權限喔。RODC的確解決了很多頭痛的安全問題,IT人員不再是擁有最高權限者。加上新的監控與稽核功能,前一版作業系統在這方面不夠強,現在可以記錄下是誰、做了什麼、原來的參數與被修改之後的參數。Windows Server 2008將稽核功能分成4個子類別,提供更強大的稽核功能。

網路存取保護(NAP)
Windows Server 2008真正地實現了NAP,微軟在回應網路存取(NAC)上,從Vista開始,可以檢驗用戶端是否符合安全政策(防毒更新、修補等),透過隔離與矯正措施來執行,現在提供了健康度政策(Health Policies)、NAP管理伺服器(NAP Administration Server)、系統健康度檢驗(System Health Validators)與NAP強制元件(給IPsec、802.1x、VPN與DHCP使用)。

把LOG通通收進來
在一般資安事件中,你必須要看完很多LOG檔案才能知道在你的網路中有哪些被入侵或其他的問題原因,這是一個大工程。然而,以必須一台一台去收集資料的噩夢,終於在這系統功能中被解決,等於是一個簡單的SIEM工具,在Windows Server 2008中,事件檢視器被大改寫,提供事件記錄與追蹤的功能,透過訂閱(Subscription)方式,你現在可以收集遠端電腦的LOG並且以XML方式儲存在本地電腦。還有交叉比對的功能,關聯分析特別的事件或來自不同系統的LOG檔案,例如:分析所有失敗的登入嘗試,來找出您網路上的內賊在哪。

Microsoft''s Windows Server 2008 網路資源

Home page (www.microsoft.com/windowsserver2008/default.mspx)
Release candidate evaluation software (www.microsoft.com/windowsserver2008/audsel.mspx)
Learning portal (www.microsoft.com/learning/windowsserver2008/default.mspx)
Webcasts, virtual labs, podcasts and chats (www.microsoft.com/events/series/windowsserver2008.aspx
安全第一
微軟將Windows Server 2008視為先進的作業系統,除了安全之外,還有網路的功能、遠端應用系統存取、集中化腳色管理、校能與可靠的監視工具,容錯叢集、佈署與檔案系統。Windows Server 2008提供現在商業環境中所需的不同功能,當然,安全為第一要務,安全事件的成本出乎您想像的高。採用新產品之前,一定要先評估您現有的基礎架構,商業需求、何時、如何佈署。當然,透過小範圍的測試計畫(pilot program),再決定他和您的命運吧!