Phiên bản Windows Server mới này cung cấp một số nâng cấp bảo mật đáng kể so với phiên bản Windows Server 2016, bao gồm các công cụ để theo dõi Ransomware và các malware khác, và để theo dõi các cuộc tấn công mở rộng địa bàn khai thác.
10 CẢI TIẾN BẢO MẬT TRONG WINDOWS SERVER 2019
- Phiên bản Windows Server mới này cung cấp một số nâng cấp bảo mật đáng kể so với phiên bản Windows Server 2016, bao gồm các công cụ để theo dõi Ransomware và các malware khác, và để theo dõi các cuộc tấn công mở rộng địa bàn khai thác.
- Windows Server 2019 “gia nhập” Windows 10 1809 thông qua việc bổ sung một số cải tiến bảo mật quan trọng Windows cực kỳ hữu ích cho quản trị viên Server. Windows Server 2019 với tùy chọn Desktop Experience là bản phát hành Long-Term Servicing Branch (LTSB) tiếp theo của dòng Windows server. Đối với những người không thoải mái khi thao tác trên các máy chủ không có GUI (giao diện người dùng), đây sẽ là phiên bản Windows Server nên chọn để làm nền tảng cho Remote Desktop Servers và Exchange 2019.
- Những người đã quen dùng Windows Server 2016 sẽ thấy rất quen thuộc với Windows Server 2019. Nhưng không chỉ vậy, một số cải tiến bảo mật còn làm cho Windows Server 2019 trở thành một lựa chọn ưu tiên. Dưới đây là những cải tiến quan trọng nhất đối với các tính năng bảo mật hoặc các tính năng quản trị sẽ làm các tác vụ liên quan đến bảo mật trở nên đơn giản hơn.
Nâng cấp tại chỗ
Không giống như nền tảng Windows 10, bạn cần có giấy phép để nâng cấp từ Windows Server 2016 lên Windows Server 2019. Tính năng nâng cấp tại chỗ được hỗ trợ đầy đủ để di chuyển từ Windows Server 2016 sang Windows Server 2019 ngoại trừ Essentials role không còn được bao gồm trong Windows Server 2019.
Các bản sửa lỗi bảo mật
Windows Server 2019 và Server có tùy chọn Desktop Experience cũng nhận được các bản sửa lỗi bảo mật như Windows Server 2016. Nhưng nó không nhận được bản phát hành tính năng định kỳ nửa năm một lần mà desktop Windows 10 nhận được. Thay vào đó, nó nhận được các bản sửa lỗi bảo mật hàng tháng. Cũng được phát hành vào tháng 10, Windows Server Core, một tùy chọn không có giao diện đồ hoạ và nhận được các bản cập nhật theo lịch trình sáu tháng một lần. Bạn nên ghép nối Server Core với Windows Admin Center mới để quản lý các server.
Các bản cập nhật .NET
Cùng với Windows 10 1809, Windows Server 2019 sẽ nhận các bản cập nhật .NET của nó dưới dạng một gói riêng biệt có thể được cài đặt hoặc gỡ bỏ độc lập khỏi hệ điều hành Windows. Như đã lưu ý trên blog .NET, nó cho phép người dùng linh hoạt hơn trong việc cài đặt các bản cập nhật NET Framework. Và cho phép Microsoft đáp ứng tốt hơn các nhu cầu quan trọng của khách hàng bằng các bản sủa lỗi NET Framework độc lập. Bạn có thể chọn, sau đó kiểm tra và cài đặt bản cập nhật .NET độc lập để đảm bảo khả năng tương thích với Exchange 2019 hoặc một dòng ứng dụng doanh nghiệp khác.
Advanced Threat Protection (ATP):
Một tính năng bổ sung mới là Advanced Threat Protection - ATP (Bảo vệ khỏi các mối đe dọa nâng cao), ban đầu xuất hiện trên Windows 10 và hiện đang được đưa lên nền tảng Windows Server. Với việc bổ sung một giấy phép Azure Security Center, bây giờ người dùng có thêm khả năng theo dõi những kẻ tấn công và những động thái mở rộng phạm vi tấn công trên server. Các cuộc tấn công mở rộng phạm vi và việc sử dụng PowerShell để truy cập vào hệ thống đều được theo dõi và ghi lại để phân tích sau này.
Windows Defender ATP Exploit Guard
Những người đã triển khai Windows 10 có lẽ đã quen thuộc với các cải tiến bảo mật mà Windows Defender ATP mang lại cho hệ điều hành. Trên Windows Server 2019, khả năng phòng chống xâm nhập server đã được thêm vào server. Nhiệm vụ của Windows Defender Exploit Guard là “khóa” thiết bị để chống lại một loạt các hành vi tấn công vector.
- Attack Surface Reduction (ASR) là loạt các hành động kiểm soát để ngăn phần mềm độc hại xâm nhập vào máy, bằng cách chặn các file độc hại đáng ngờ (các file Office độc hại được tạo thủ công một cách đặc biệt), tập lệnh, mở rộng phạm vi, ransomware và các mối đe dọa thông qua email.
- Network protection (Bảo vệ mạng) thêm tính năng bảo vệ điểm cuối, tránh khỏi các mối đe dọa dựa trên web bằng cách chặn bất kỳ quá trình gửi dữ liệu nào từ thiết bị đến các máy chủ hoặc địa chỉ IP không đáng tin cậy thông qua Windows Defender SmartScreen.
- Ransomware protection (Bảo vệ tránh khỏi ransomware) được cung cấp bởi Access Folder Access, công cụ bảo vệ dữ liệu nhạy cảm khỏi phần mềm ransomware bằng cách chặn các tiến trình không đáng tin cậy truy cập vào các thư mục được bảo vệ của người dùng. Điều này có thể được chỉnh sửa và điều chỉnh để thêm các thư mục mà người dùng muốn bảo vệ.
- Exploit Protection (Khai thác bảo vệ) là một tập hợp các hành động làm giảm thiểu việc khai thác lỗ hổng, có thể được cấu hình để bảo vệ hệ thống và các ứng dụng của bạn. Điều này thay thế Enhanced Mitigation Experience Toolkit (EMET), hiện đã không còn được sử dụng nữa.
- Code Integrity policy được phát hành trong Windows Server 2016 rất khó triển khai, do đó Windows Defender Application Control hiện bao gồm các Code Integrity mặc định, cho phép các ứng dụng như SQL Server chặn các file thực thi đã biết.
Các cải tiến bảo mật Software-defined networking
Trong Windows Server 2019, Software-defined networking (mạng được điều khiển bằng phần mềm) đã được cải tiến để tạo bản ghi tường lửa có cùng định dạng phân loại như Azure Network Watcher. Máy chủ Hyper-V tạo ra các bản ghi mà sau đó có thể được phân tích với nhiều công cụ hỗ trợ định dạng file log. Windows Server 2019 tích hợp khả năng khóa bảo mật mạng ảo của Windows Server 2016 bằng cách tự động áp dụng Access Control Lists - danh sách điều khiển truy cập (ACLs) cho máy ảo (VM) được kết nối với mạng con ảo và các cấu trúc khác. Windows Server 2019 cho phép bạn hạn chế quyền truy cập bằng cách thêm ACL vào mạng con phù hợp. Với Windows Server 2019, bạn có thể sử dụng tính năng mã hóa mạng ảo để ngăn chặn hành vi trộm cắp và giả mạo dữ liệu trong khi dữ liệu đang được chuyển tiếp.
Những cải tiến cho shielded VM
Khi thiết lập các văn phòng chi nhánh an toàn bằng cách sử dụng các shielded VM (máy ảo được bảo vệ), bạn có thể đảm bảo không mất quyền truy cập vào Host Guardian Service bằng cách thiết lập Host Guardian Service dự phòng và chế độ ngoại tuyến. Điều này đảm bảo bạn có thể thiết lập một nhóm URL thứ hai làm bản sao lưu cho máy chủ Hyper-V để thử nếu Host Guardian Service chính không thể truy cập được.
Windows Server 2019 có thêm hỗ trợ cho chế độ VMConnect Enhanced Session và PowerShell Direct để giúp khắc phục sự cố cho máy ảo được bảo vệ dễ dàng hơn. Các tính năng này được tự động kích hoạt khi một máy ảo được bảo vệ đặt trên máy chủ Hyper-V chạy Windows Server 2019 hoặc Windows Server phiên bản 1803 trở lên (Windows Server 2019 với tùy chọn Desktop Experience hoặc Windows Server Core).
Hỗ trợ Linux
Trong Azure, Linux là nền tảng được sử dụng nhiều nhất. Windows Server 2019 hỗ trợ đầy đủ việc chạy Ubuntu, Red Hat Enterprise Linux và SUSE Linux Enterprise Server bên trong các máy ảo được bảo vệ. Microsoft đang phát triển nó theo hướng một công cụ bảo vệ Linux, chứ không phải là một đối thủ cạnh tranh. Gần đây, Microsoft gia nhập Open Invention Network (OIN), một cộng đồng chuyên bảo vệ Linux và các chương trình phần mềm nguồn mở khác khỏi rủi ro liên quan đến bằng sáng chế. Bằng cách tham gia dự án này, Microsoft đã cho phép cộng đồng Linux sử dụng 60.000 bằng sáng chế miễn phí mà không có nguy cơ xảy ra kiện tụng.
Cải tiến HTTP/2:
Bao gồm trong Windows Server 2019 là các cải tiến giúp cho một trang web hoạt động nhanh và an toàn hơn. HTTP/2 là một cải tiến lớn so với các công nghệ HTTP hiện tại. Các cải tiến bao gồm các bộ mã hóa phía máy chủ tốt hơn, giúp giảm thiểu sự cố kết nối tự động. Việc triển khai các bộ ứng dụng mới này trong môi trường người dùng cũng dễ dàng hơn.
HTTP/2 chia sẻ một kết nối TCP duy nhất với nhiều yêu cầu đến cùng một trang web. Trong quá trình chia sẻ hoặc ghép kênh này, chỉ yêu cầu đầu tiên mới phát sinh các quá trình qua lại cần thiết để thiết lập kết nối. Các yêu cầu sau ngay lập tức gửi dữ liệu HTTP để yêu cầu không thiết lập kết nối.
Các domain được thiết kế cho HTTP/1.1 không phải không có lợi ích. Tính năng đồng bộ hóa kết nối được thêm vào để giảm thiểu sharding (sharding là một tiến trình lưu giữ các bản ghi dữ liệu qua nhiều thiết bị để đáp ứng yêu cầu về sự gia tăng dữ liệu), và được kích hoạt trên cả máy chủ Edge và HTTP. Với việc hợp nhất, các tên miền phụ được lưu trữ sẽ kết thúc việc chia sẻ một kết nối TCP duy nhất nếu chứng chỉ của chúng phù hợp. Nếu không có cài đặt đồng bộ hóa này, các trang web như 1.bing.com và 2.bing.com sẽ yêu cầu các kết nối TCP riêng biệt.
Windows Server 2019 tự động hoạt động để khắc phục lỗi kết nối. HTTP/2 yêu cầu ít nhất phiên bản 1.2 của TLS trong khi liệt kê các bộ mã hóa (cipher suite) thấp hơn. Điều này dẫn đến các kết nối bị hỏng. Trên các máy chủ hiện tại, cho đến khi bộ mã hóa được sửa chữa, kết nối sẽ không thể hoạt động trơn chu. Một số thay đổi trong Windows Server 2019 đảm bảo việc kết nối lại sẽ được thực hiện.
Như đã nói, đây là các bước mà Microsoft thực hiện trong Windows Server 2019 để khắc phục sự cố:
Các failure mode (chế độ lỗi) xuất hiện khi bộ mã hóa SSL mặc định trong Windows Server 2016 được thay đổi không chính xác. Nếu bất kỳ bộ mã hóa nào bị chặn bởi HTTP/2 hay xuất hiện trước các bộ mã hóa được HTTP/2 cho phép, Firefox và Chrome sẽ hủy kết nối (được cho phép, nhưng không được đề xuất bởi HTTP/2). Chrome hiển thị:
Mặc dù sắp xếp chính xác các bộ mã hóa SSL (được đảm bảo bởi thứ tự mặc định trong Windows) có thể tránh được vấn đề này, trong Windows Server 2019, các tính mạnh mẽ của cơ chế thương lượng mật mã để không thể sắp xếp lại các bộ mã hóa SSL đã được cải thiện. Tất nhiên, danh sách này vẫn phải bao gồm các bộ mã hóa được HTTP/2 cho phép, nhưng chúng không nhất thiết phải xuất hiện ở phần đầu của bất kỳ danh sách đen nào.
Điều này làm giảm sự phức tạp của hoạt động triển khai HTTP/2, cho phép khách hàng dễ dàng gặt hái những lợi ích của nó hơn, bao gồm các bộ mã hóa cao cấp được yêu cầu bởi HTTP/2.
Kiểm soát tắc nghẽn
Cuối cùng, Windows Server 2019 bao gồm hỗ trợ cho các công cụ kiểm soát tắc nghẽn New-Reno, Compound TCP, Cubic và LEDBAT (Cubic là tùy chọn mặc định mới). Cubic rất thích hợp cho băng thông và các liên kết độ trễ cao, trong khi TCP chuẩn thực hiện việc này rất tệ.
Tất cả những thay đổi này được thêm vào nhằm cung cấp cho quản trị viên server và web nhiều tùy chọn hơn để đảm bảo bảo mật, cũng như lưu trữ và phân phối dữ liệu an toàn.
