Hardware- und Software-Security optimal mit dem Windows Admin Center steuern Secured Core-Server mit Windows Server 2022 verstehen

Von Thomas Joos

Mit Windows Server 2022 führt Microsoft den Secured-Core-Server ein. Dabei handelt es sich, einfach ausgedrückt, um den Sicherheitsstandard eines Windows-Servers, der auf Hardware- und Softwarekomponenten aufbaut. Wir zeigen die Möglichkeiten in der Praxis.

Anbieter zum Thema

Der Secured Core-Server kombiniert Hardware-, Firmware- und Treiberfunktionen unter Windows Server 2022, um die Betriebsumgebung weiter zu schützen – vom Startprozess bis hin zu Daten im Arbeitsspeicher.
Der Secured Core-Server kombiniert Hardware-, Firmware- und Treiberfunktionen unter Windows Server 2022, um die Betriebsumgebung weiter zu schützen – vom Startprozess bis hin zu Daten im Arbeitsspeicher.
(© Weissblick - stock.adobe.com)

Secured Core ist ein Sicherheitskonzept, das Microsoft aus Azure jetzt auch in lokale Rechenzentren auf Basis von Azure Stack HCI und Windows Server 2022 bringt. Mit Secured Core kann Windows Server 2022 beim Booten und auch im laufenden Betrieb vor einer Vielzahl von Angriffen geschützt werden, unabhängig vom Patchstand des Servers.

Dazu überwachen die Secured Core-Komponenten bereits beim Starten des Servers, dass kein Rootkit die Kontrolle über das Betriebssystem und den Server übernommen hat. Einfach ausgedrückt kombiniert Secured Core Sicherheitsfunktionen der Hardware und Firmware mit Sicherheitseinstellungen des Betriebssystems. Beim Einsatz von Secured Core stellt der Server folgende Bereiche für die Sicherheit bereit:

  • 1. Der Server wird sicher gebootet
  • 2. Schwachstellen der Firmware können nicht ausgenutzt werden
  • 3. Unberechtigter Zugriff auf Geräte und Daten wird zuverlässig blockiert.
Bildergalerie
Bildergalerie mit 5 Bildern

Secured Core ist auch mit einem virtuellen TPM möglich. Dadurch lassen sich auch virtuelle Server über Secured Core schützen, zum Beispiel in VMware vSphere-Umgebungen.

Secured Core besteht aus verschiedenen Komponenten

Bezüglich der Hardware sind eine CPU mit aktivierten Virtualisierungserweiterungen, UEFI und Secure Boot und ein TPM 2.0-Chip notwendig. Das TPM ist dabei das zentrale Elemente, das auch die einzelnen Schlüssel und Informationen der verbauten Hardware speichert und sicher auslesen kann. Die Funktionen müssen im UEFI auch aktiviert werden.

Damit Windows Server 2022 als Secured Core-Server zum Einsatz kommen kann, muss die Server-Hardware die Funktionen unterstützen. Damit das gewährleistet ist, muss die Hardware für Windows Server 2022 und Secured Core zertifiziert sein.

Mit Secured-Core-Server erhalten Unternehmen eine Kombination aus Hardware, Treiber, Software und Windows Server 2022. Generell sollte Windows Server 2022 nur auf Hardware installiert werden, die für Azure Stack HCI und Windows Server 2022 zertifiziert ist und die Secured Core-Funktionen auch umfassend unterstützt.

Secured Core-Server und das Windows Admin Center

Secured Core nutzt die Sicherheitsfunktionen HVCI, Boot DMA Protection, System Guard, Secure Boot, VBS und TPM 2.0. Damit ein Server als Secured Core-Server definiert ist, müssen alle diese Sicherheitsfunktionen von der Hardware und von der Software unterstützt und auch aktiviert sein. Die Aktivierung lässt sich mit dem Windows Admin Center durchführen und überprüfen.

Wir gehen in diesem Beitrag darauf ein, wie sich die einzelnen Komponenten zusammensetzen und aktiviert werden. Mit dem Windows Admin Center können alle Server im Netzwerk daraufhin überprüft werden, ob Sie einzelne oder alle Secured-Core-Funktionen unterstützen.

Um die Secured-Core-Funktionen zu überwachen und zu steuern ist die neue Version der Erweiterung „Security“ für das Windows Admin Center notwendig und natürlich die aktuellste Version des Windows Admin Centers. Die aktuelle Version der Security-Erweiterung verfügt über einen neuen Menüpunkt mit der Bezeichnung „Secured Core“. Hier ist zu sehen, ob die Hardware die einzelnen Funktionen unterstützt, und ob diese in Windows Server 2022 aktiviert sind. Es ist auch möglich die Funktionen an dieser Stelle zu aktivieren. Beim Überfahren mit der Maus zeigt das Windows Admin Center die genaue Bedeutung der Sicherheitsfunktion an.

Damit die Erweiterung angezeigt wird, muss in den Einstellungen des Windows Admin Centers bei „Erweiterungen“ und „Feeds“ der Feed mit der Adresse „https://aka.ms/wac-insiders-feed“ eingetragen werden. Danach sollten die Erweiterungen aktualisiert werden. Im Anschluss stehen die neuen Funktionen im WAC zur Verfügung. Nach einem Klick auf „Security“ und dann auf „Secured Core“ sind die einzelnen Bereiche zu sehen, die für Windows Server 2022 eine Rolle spielen.

Bildergalerie
Bildergalerie mit 5 Bildern

Secured Core überprüfen und konfigurieren

Unterstützt die Hardware des Servers einzelne Bereiche von Secured Core nicht, oder sind diese im UEFI/BIOS nicht aktiviert, zeigt das WAC die Meldung „Not supported“ an. In diesem Fall sollte überprüft werden, ob die einzelnen Funktionen schlicht und ergreifend nicht aktiviert sind, zum Beispiel der TPM-Chip auf der Hauptplatine.

Wenn die Hardware die jeweilige Funktion für Secured-Core unterstützt, die Funktion in Windows aber noch nicht aktiviert ist, zeigt das Windows Admin Center an dieser Stelle „Not configured“ an. Im WAC lassen sich diese Funktionen anschließend mit „Enable“ aktivieren und konfigurieren, wenn das notwendig ist. Ist ein Neustart notwendig, zeigt das WAC das ebenfalls an.

Secured Core setzt auf Virtualization Based Security

Virtualization Based Security (VBS) ist ein zentrales Element bei der Verwendung von Secured Core. Hypervisor-Protected Code Integrity (HVCI) nutzt dazu Virtualisierungstechnologien von Prozessoren für den Aufbau einer sicheren Betriebsumgebung bis zum abgeschlossenen Start des Servers.

Der Sinn hinter der Technik ist das sichere Abschotten von Anmeldedaten. Es ist nach Aktivierung der Technologie nicht mehr möglich, dass ein Angreifer Anmeldedaten von einem System abgreifen kann. Das System schützt zuverlässig vor Pass-the-Hash- oder Pass-The-Ticket-Angriffen. PtH-Angriffe zielen nicht auf die Kennwörter ab, sondern auf die Hashes, die in Active Directory erzeugt werden, nachdem sich ein Benutzer authentifiziert hat. Um Windows-Netzwerke vor diesen Angriffen zu schützen, kommen Technologien wie Hypervisor-Protected Code Integrity zum Einsatz.

Dazu ist ein TPM-Chip notwendig sowie ein aktuelles UEFI. Auf den meisten Servern sollten die beiden Technologien funktionieren. Die Computer müssen darüber hinaus mit Secure Boot gestartet werden. Hypervisor-Protected Code Integrity nutzt Virtualisierungstechnologien um den Windows-Kernel zu schützen.

Bildergalerie
Bildergalerie mit 5 Bildern

Direct Memory Access-Angriffe auf Windows Server 2022 verhindern

Der Schutz vor Direct Memory Access-Angriffe (DMA) in Windows Server 2022 ist ein weiterer, zentraler Bestandteil von Secured Core. Mit der Technik kann Windows Server 2022 verhindern, dass durch Hotplug-PCI-Geräte oder auch integrierte PCI-Geräte Angriffe durchgeführt werden, zum Beispiel das Auslesen von Benutzerdaten. Bei solchen Angriffen wird Malware bereits während des Systemsstarts auf den Servern eingeschleust. Dadurch werden Sicherheitsmechanismen des Betriebssystems ausgehebelt. Mit Secured Core ist das nicht mehr möglich.

System Guard – Windows-Integrität schützen

System Guard ist eine weitere Komponente von Secured Core. Die Technik schützt die Integrität des Windows-Systems und kann verhindern, dass Malware Systemdateien manipulieren können, auch beim Starten des Rechners. Dazu arbeitet das System mit Fingerabdrücken und schützt auch den Angriff von Firmware oder Angriffe auf den Bootloader von Windows.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48091567)