Windows服务器和客户端的每个版本都较前一个版本更为安全。但是，就Windows 10和Windows Server 2016而言，微软步子跨得更大，这两款产品并非普通的增量改进和漏洞修复，而是为用户提供工具，降低凭据钓鱼、管理员权限过大和不可信二进制文件所带来的风险。Windows Serve 2016旨在从三个主要方面提供更好的安全性： 保护身份和凭据、保护虚拟机、保护服务器和云端的操作系统 。

Jeff Woolsey（微软的principal group program manager）说：“ 过去，安全是其他技术的一部分，我们需要将它抽离出来。 ”

他表示，微软和客户的每次交流都涉及安全与身份防护。企业云团队和微软Azure堆栈的首席架构师Jeffrey Snover补充说，现在的攻击规模意味着安全已经不仅仅是IT团队需要关注的问题，因为“当我们询问客户他们所关注的IT问题时，有些答案很相似。有太多的经历告诉我们，客户常常被攻击了好几个月还被蒙在鼓中。”

Snover认为，自从塔吉特（Target）公司的CEO因为安全问题被解雇后，安全已经成为CEO操心的问题。他说：“塔吉特公司一直将IT作为其商业价值主张的核心内容。当IT受到攻击时，其商业价值就受到威胁。因而，问题才会如此严重。”

保护管理员账号

如今，对组织进行入侵几乎都是通过内部员工实现的，因为攻击者会利用社会工程或者钓鱼攻击窃取这些人的凭据。

“坏蛋们的不法行为出现剧增。他们穿着睡衣从容地从海外发动攻击，而不用担心被引渡。一直以来，网络被视为主要攻击面。现在的情况是身份作为新的攻击面，成为攻击者进入基础设施的途径。将恶意软件植入到基础设施中并非难事，而骗取用户点击更不像人们想象的那么难。”

这并不意味着零日漏洞和高级攻击已经成为过去。就像Snover指出的那样：“若国家层面现在可以做到，那么坏蛋和脚本小子们早晚也能做到。”但是，总的来说，攻击者会采用最简单的方法，目前来说是身份。

只要登录过一次，攻击者便会使用“哈希传递（pass the hash）”和“票证传递（pass the ticket）”等技术横向移动到公司的其他业务系统。

根据Snover所说，若攻击者登录的第一个账号没有足够的访问权限，“他们会在机器上触发问题，诱使支持人员登录进行修复，而这些支持人员通常都有管理员凭据。”窃取这些凭据之后，攻击者就会拥有更多的访问权限。通常，攻击者只需要24到48小时就能获取域管理员账号。若攻击悄然进行，长达200天而不被发现，便会造成严重问题。他指出：“域管理员可以做任何事情，而且时长不限。”

“Windows Server 2016针对这个问题作了巨大改进。首先， 对哈希进行了加密处理 。Credential Guard采用了现代化硬件—其实它问世已经有几年，并不那么现代了；利用虚拟化技术，保护机器机密，使其免受“哈希传递”和“票证传递”攻击。我们还有远程 Credential Guard ：用户访问RDP时，我们并不发送凭据，而是采用单点登录方式。”

Windows Server 2016的防护措施还包括之前作为选件的PowerShell。Snover表示，Just Enough Admi（JEA）/Just in Time（JIT）将通常不受限制的管理员权限削减到“最小的操作集合，执行操作须遵照审批通过的工作流，并受时间限制”。此外，“有了JEA，当用户作为管理员连接到机器时，仅能以动态产生的虚拟影子账户登录。这样，通过PowerShell，我们限制了用户的权限，对其严加防范。至于JIT，我们的模式如下：进程为用户发放安全令牌，令牌只在有限时间段内对少数几台机器生效。”

“难题是不仅有通用安全，还有操作安全，后者是可以通过操作实现的安全。从操作角度说，用户可以设置仅在工作时间访问，在管理员非工作时间拒绝访问。下一步，用户须了解自己的工作内容，以通过工单系统进行正确配置。之后，要考虑不同的管理员任务所适用的工作流，为管理员分配恰当的权限，在指定时间段内操作指定的几台机器。”

对此，Woolsey进一步解释如下：“比如，我是网络管理员，我的工作是管理网络防火墙。99%的时间内我无须登录管理员账号，但是一般情况下还是会以网络管理员账号登录系统，收发下邮件，浏览下网页。如果防火墙配置需要修改，可能须多数人投票表示同意，并且，我还要在一小时之内完成修改。若一小时后任务没有完成，就要走审计流程，我需要回答‘出了什么问题？需要调查吗？’等质询。”

Snover补充道：“我们对日志及审计进行了改进。新的思路是‘假设违规’，即假设坏蛋总会出现。所以，系统会记录所有操作，以便日后追溯。日志内容巨细靡遗，深入至引擎级数据。”

微软还致力于开发模板，方便用户为不同角色分配不同的JEA权限。此外还有一款工具正在研发中，用于扫描域服务器，查明管理员数量。“有个客户有2000名域管理员，而实际上只需要20个。还有一个客户发现一台机器的管理员数量竟然高达18.7万，”Dean Wells （principal program manager）接受CIO.com采访时如是说。

目前，JEA已用于Windows Server。Snover承认：“这只在Windows环境有效，当用户需要凭据离开Windows环境时，还是会有问题。”不过，因为JEA是PowerShell中的一个工具，所以微软将PowerShell加入到Linux中，目的是在其他平台上通过PowerShell支持JEA。“说到安全，Linux与Windows不同，但是我们有信心做好。”

保护虚拟机Shielded VM

Woolsey指出，虽然虚拟化有诸多优势，同时它还制造了很多大麻烦。其中最突出的一个问题是单点故障。

“虽然数十年前单点攻击已为人所知，但并没有人对其进行深挖细查。如果能够进入用户的虚拟化主机，我就可以访问50台或更多台正在运行的虚拟机。这是一场灾难。数个系统封装在一个简单的文件中，而我只需窃取这个文件。我可以将虚拟机复制到U盘并到处运行，因为虚拟机无法哪些硬件和结构是有效的，哪些无效。并且，本地管理员可以撤消guest账户的所有操作，进行自我防护。理论上，我可以撤消任何虚拟机加密操作。被俘获或受感染的主机的管理员可以访问guest虚拟机。如果可以获取用户的凭据并入侵虚拟域控制器，用户就完蛋了，我就可以用户的地盘上为所欲为了，因为我已经有了他们地盘的钥匙了。”

Snover表示：“ 虚拟机具备很强的敏捷性，但其安全配置却不尽人意。 在原有的具备物理服务器的模型中，谁能够访问虚拟机？”答案是服务器管理员，但是存储管理员和网络管理员不能访问虚拟机。有了虚拟机，突然会有更多不同角色的人可以访问设备，并能够复制和查看数据。这是一项真正的挑战，特别是当托管环境中的人员来自不同公司时。基于这一点，我们设计了Shielded VM。因此， 只有虚拟机管理员可以访问Shielded VM ，那些托管方，即使用户不一定他们，他们也可以访问Shielded VM。”

Windows Server 2016中新型的Shielded VM通过BootLocker加密 ，并运行在这样一个硬件结构中：新的主机防卫服务（HGS）只有在证实了主机的健康状态后才会用于运行（或迁移）虚拟机的秘钥。“我们的目标是虚拟机可自行防御管理员和主机的入侵，包括在线和离线检查，因为数据加密可动可静。”Woolsey说道，“这些虚拟机只能运行在二进制程序、启动路径和内核都是健康状态的主机上。”

“数据和Shielded VM状态应受到保护，以免受到恶意软件和数据中心管理员、Fabric管理员、存储管理员和虚拟化管理员的检测盗窃和篡改。”用户可以将域管理员与IaaS管理员职责分离。Shielded VM只能运行在经过认证的结构上。这些结构被指定为Shielded VM的宿主，负责防御本地流氓管理员的入侵。”

虚拟机在离开防护范围的情况下，仍是一个加密的blob。即使您具有管理员的所有权限，也无法入侵它。如果我是一台Shielded VM，这不是我的结构，我不会启动，也就不会被实时迁移。虚拟机运行时，管理员无法查看内存内容。他们无法启动调试器，因为会受到主机防卫服务的监控。

Woolsey称，很多场景下都会用到Shielded VM：“托管商可将之用于租户管理。最终，企业可实现强大的职责分离。Shielded VM还可用于分支办事处。之前，您可能无法在分支办事处运行敏感的工作负载，因为服务器部署在接待员的办公桌下。但现在，你可实现这已操作。”

加密虚拟机还有助于防范删除服务器驱动时无意间造成的数据泄漏。“服务器驱动本应被回收或销毁，但往往情况并非如此。如果删除服务器驱动，须确保数据已受保护。”

Shielded VM包括以下三部分：

• 虚拟安全模式 （VSM）运用硬件虚拟化保护虚拟机免受本地管理员控制。Windows 10和Windows Server 2016都使用这一技术来保护登录凭据。“如果我是本地管理员，我可以查看所有内存内容。”Woolsey说，“有了虚拟安全模式，我们可以在Window内核的旁边创建一小块“区域”，只用于与主机防卫服务通信。因此，您在内核或本地管理员上下文环境中看不到该“区域”。”这意味着，本地管理员无法通过窥测内存来获取加密虚拟机的凭据。
• 主机防卫服务 是一项运行在锁笼中的重要的基础结构，锁笼配有2把挂锁和1部对准它的照相机。它在独立域中运行，不与架构内共享任何信任。”Woolsey说，它唯一的作用是证实运行虚拟机的物理结构。“主机防卫服务评估结构中的服务器启动过程，确保没有恶意软件入侵，并且启动过程中且启动过程未感染任何病毒。”主机防卫服务还会监控代码完整性，因此，只有获得许可的进程才能运行。”
• 虚拟机使用的 虚拟可信平台模块（vTPM） 并未与服务器的物理可信平台模块进行绑定,因为那会使虚拟机无法迁移。然而，服务器的可信平台模块不可或缺。“这段时间以来，我一直向我们的服务器合作伙伴强调，我们的服务器在发货时需配备可信平台模块。”Snover说，“我们将非常热衷于模块。”

此外，用户需采用第二代虚拟机。目前，仅主机操作系统为Windows 8、Windows Server 2012或更高版本的虚拟机能获得保护，而主机系统为Windows 7和Windows Server 2008 R2的虚拟机不在保护之列。Wells表示， 微软正在与Linux社区合作，将在2017年年中为Linux虚拟机提供防护。

攻击者与业内人士

Woolsey补充道，美国国务院和国防部以及英国国防部等政府机构正着手采用Shielded VM。“我们在制定通用标准时常被问及的一个问题是‘如何对付流氓管理员？’。我们一般这么回答，这个问题的确存在，但很难解决。我们一直试图在Azure和Windows Server中解决此问题。如下是我们具体的解决办法。”

攻击者在钓鱼攻击中将管理员作为攻击目标。如果系统未采用Shielded VM，他们可提取虚拟机程序，然后在自己的硬件设备上运行。同样，如果一位具备管理员访问权限的员工感到不满，也可能非法获取虚拟机副本。“这种情况下，我们可采取以下缓解措施。”他说。

Windows Server 2016中还存在其他安全改进，例如， 活动目录支持容器 ，这样用户就无需单独管理这些容器的证书。此外还限制了可运行的代码。Snover说：“这些主机操作系统的保护措施保证了系统按用户要求运行。”

Device Guard提供新型代码完整性，限制了可运行的二进制程序。Wells解释说，“此限制不再只针对用户，也会防止管理员进行滥用。

”如果管理员擅自修改代码完整性策略并重启服务器，可导致蓝屏问题。他说，客户曾反馈过此问题。“他们提出了这样一个需求：如果设备存储有敏感工作负载和数据，即使丢掉工作负载，也要保留数据。”Wells建议将Device Guard部署在审计模式下，观察产生的影响。

此外， 控制流防护（CFG） 限制了为防护内存破坏攻击和 返回导向编程（ROP） 可执行的应用代码。从Window 10开始采用了这一技术。Windows Server 2016中又新增了一个客户端特性，即 Windows Defender反恶意软件 。

“问题是当用户在服务器上安装反恶意软件时，需对Hyper-V进行一些补充优化，而（第三方工具）缺乏此类优化。”Woolsey解释道，“结果，客户会打来的各种奇奇怪怪要求提供技术支持的电话，并且虚拟机也会出现非常奇怪的问题。 第三方工具并未虑及角色和服务。而我们的反恶意软件却可开箱即用。该软件了解服务器的工作负载，且为适应横向扩展文件服务器角色而进行了优化。”

Windows Server 2016中的软件定义网络（SDN）包括网络安全组和在网络中部署虚拟安全设备的分布式防火墙。Ravi Rao（微软的principal lead program manager）说道，“如果我部署防火墙阻断对我的数据中心的访问，该防火墙就与我的关键工作负载距离太远，无法对其进行防护。”

“一旦攻击者入侵，会造成严重破坏。现在，我对前端服务器设置安全限制，仅允许互联网用户访问网络外层，而不允许其访问网络内层。这样，网络内层仅进行层级间的通信，而不会连接到互联网。”Rao说道，“在这种情况下，即使攻击者攻击了前端，并利用漏洞控制了前端，也无法渗透到网络内层。这样，用户就可灵活地进行网络隔离，满足不断变化的网络需求。”

Windows Server 2016中新增的 Nano Server部署选项也 提升了安全性。Nano Server不具备图形界面，仅提供更少的组件和服务，其攻击面比Server Core还要小得多。Snover称其为“一款极简操作系统”。

使用Nano Server运行Hyper-V、集群、IIS、DNS、横向扩展文件服务器以及在.NET Core和ASP.NET Core中运行的任何工作负载，可减少影响服务器的漏洞，这样需要的安全补丁也就随之减少。鉴于目前很多成功攻击利用的漏洞均存在补丁，及时安装补丁仍是个问题。

此外，Nano Server是一种切换到容器和云端应用开发的逻辑方法，而且为微软推出Azure Stack混合云产品包提供了基础。如果用户准备采用这种新的工作方式，Nano Server会提供基础保护。另一方面，Windows Server 2016基于目前企业对服务器的使用方式，对安全进行了大量的改进，能够对企业面临的关键攻击方法进行防御。这是一个重大升级。

来源：安全加（http://toutiao.secjia.com/windows-server-2016-security-analysis）