OEM 合作伙伴提供的经过认证的安全核心服务器硬件提供更多的安全保护措施,可有效防范复杂攻击。 在处理一些最具数据敏感性的行业的任务关键型数据时,使用经过认证的安全核心服务器硬件可以更加安心。 安全核心服务器使用硬件、固件和驱动程序功能来实现高级 Windows Server 安全功能。 其中许多功能可通过 Windows 安全核心电脑获取,现在还可通过安全核心服务器硬件和 Windows Server 2022 获取。
通过使用 BitLocker 驱动器加密这样的功能,受信任的平台模块 2.0 (TPM 2.0) 安全加密处理器芯片为敏感加密密钥和数据提供安全的基于硬件的存储(包括系统完整性度量)。 TPM 2.0 可以验证服务器是否已使用合法代码启动,以及后续代码执行是否可信任该服务器(也就是“硬件根信任”)。
固件以高特权执行,通常对传统的防病毒解决方案不可见,这导致基于固件的攻击数量增加。 安全核心服务器使用动态信任根衡量 (DRTM) 技术来衡量和验证启动过程。 安全核心服务器还可以使用直接内存访问 (DMA) 保护来隔离驱动程序对内存的访问。
UEFI 安全启动 是一种安全标准,可保护服务器免受恶意 rootkit 攻击。 安全启动可确保服务器仅启动硬件制造商信任的固件和软件。 服务器启动时,固件会检查每个启动组件的签名,包括固件驱动程序和 OS。 如果签名有效,则服务器将会启动,而固件会将控制权转递给 OS。
安全核心服务器支持基于虚拟化的安全性 (VBS) 和基于虚拟机监控程序的代码完整性 (HVCI)。 VBS 使用硬件虚拟化功能创建安全内存区域并将其与正常操作系统隔离,防范加密货币挖矿攻击中使用的一系列漏洞。 VBS 还支持使用 Credential Guard,其中用户凭据和机密存储在操作系统无法直接访问的虚拟容器中。
HVCI 使用 VBS 大大增强了代码完整性策略的实施。 内核模式完整性会防止未签名的内核模式驱动程序或系统文件加载到系统内存中。
内核数据保护 (KDP) 为包含不可执行数据的内核内存提供只读内存保护,其中内存页受虚拟机监控程序保护。 KDP 可保护 Windows Defender System Guard 运行时中的关键结构不被篡改。