معرفی امکانات جدید Windows Server 2019 – قسمت دوم

در قسمت اول این مقاله به برخی از امکانات تازه‌ی Windows Server 2019 همچون Feature on Demand یا به اختصار FoD سازگاری برنامه‌های کاربردی برای Server Core، گسترش کلاسترها با استفاده از Cluster Sets، File Share Witness، جابه‌جایی Clusterها بین دامین‌ها، امکانات جدید Containerها و غیره پرداخته شد. در این قسمت نیز به بررسی ویژگی‌های امنیتی از جمله Windows Defender Advanced Threat Protection، Windows Defender Application Control، Windows Server 2019 Software Defined Networking یا به اختصار SDN، لاگ نمودن فایروال، پشتیبانی از IPv6 و غیره خواهیم پرداخت.

بررسی Windows Defender Advanced Threat Protection

در این ویژگی سنسورهای پلتفرم و اعمال پاسخگویی عمیقی ارائه می‌شود؛ این امر قابلیت دیدن فعالیت تهاجمی در سطح حافظه و Kernel و همچنین توانایی اِعمال اقدامات لازم بر روی ماشین‌های آلوده در پاسخ به رویدادهایی همچون جمع‌آوری داده‌های اضافی جرم‌شناسی از راه دور، تعمیر و بازسازی فایل‌های آلوده شده، از بین بردن فرآیندهای مخرب و غیره را فراهم می‌آورد.

اگر از Windows Defender Advanced Threat Protection یا به اختصار ATP استفاده می‌کنید، می‌توانید آخرین نسخه نمایشی منتشر شده از Windows Server را نصب کرده و آن را بر روی Windows Defender ATP، تنظیم نمایید.

Windows Defender ATP Exploit Guard چیست؟

Windows Defender ATP Exploit Guard مجموعه‌ی تازه‌ای از قابلیت‌های جلوگیری از ورود موارد تهدیدآمیز به Host می‌باشد. هر چهار جزء Windows Defender Exploit Guard به‌منظور محافظت از دستگاه دربرابر طیف گسترده‌ای از حملات و ممانعت از رفتارهای معمول استفاده‌شده در حملات مخرب طراحی شده‌اند و درعین‌حال به سازمان‌ها اجازه می‌دهند که میان ریسک امنیتی و احتیاجات بهره‌وری خود، تعادل برقرار نمایند.

• Attack Surface Reduction یا به اختصار ASR: مجموعه‌ای از تنظیماتی است که سازمان‌ها می‌توانند با فعال‌سازی آن‌ها، از طریق ممانعت به‌عمل آوردن از ورود فایل‌های مخرب مشکوک (برای مثال فایل‌های آفیس)، Scriptها، رفتار بدافزارانه و تهدیدات مبتنی بر ایمیل، ماشین مربوطه جلوگیری کنند.
• محافظت از شبکه: با استفاده از Windows Defender SmartScan، با Block نمودن هرگونه فرآیند خروجی از روی دستگاه مربوطه به سمت سرورها وIP های نامعتمد، در برابر تهدیدات مبتنی بر وب محافظت می‌نماید.
• دسترسی کنترل‌شده به فولدرها: با Block کردن دسترسی فرآیندهای نامعتمد به فولدرهای محافظت‌شده‌ی کاربر، از داده‌های حساس دربرابر باج‌افزارها محافظت می‌نماید.
• :Exploit Protection مجموعه‌ای از Mitigationها برای Exploitهای جایگزین EMET که می‌توان به ‌آسانی آن را طوری پیکربندی نمود که از سیستم و برنامه‌های کاربردی کاربر محافظت نماید.

Windows Defender Application Control

Windows Defender Application Control که با نام Code Integrity Policy یا به اختصار CI نیز شناخته می‌شود، بر روی Windows Server 2016 منتشر شده بود. نظرات کاربران این ویندوز حاکی از این بوده است که این ویژگی طرح عالی است، اما پیاده‌سازی آن سخت می‌باشد. برای رفع این مشکل، Policyهای پیش‌فرض CI ایجاد شده‌اند که به تمام فایل‌های سیستم عامل ویندوز و برنامه‌های کاربردی مایکروسافت از جمله SQL Server اجازه‌ی ورود داده و فایل‌های قابل اجرا شناخته‌شده‌ای را که می‌توانند CI را Bypass کنند، بلاک می‌نماید.

این بسته شامل یک نسخه Audit و یک نسخه Enforced می‌باشد. اگر سرور نیازمند درایورها و برنامه‌های کاربردی اضافی نباشد، کاربر می‌تواند از نسخه Enforced استفاده نماید. در غیراینصورت، می‌توان از Policy Audit استفاده کرد تا فایل‌های قابل اجرا ناشناخته چک شوند و سپس در Policy پیش‌فرض CI، ادغام شوند.

بررسی SDN در Windows Server 2019  

در این عصر مدرن محاسبات مبتنی بر Cloud، کاربران بیشتر و بیشتری به دنبال انتقال بارِکاری خود به محیط‌های Private Cloud، Public Cloud و Hybrid می‌باشند و امنیت یکی از مهم‌ترین عوامل بازدارنده‌ی حرکت آن‌ها به محیط رایانش ابری است و این سوال مطرح می‌گردد که بارِ کاری آن‌ها در Cloud چه میزان امنیت دارد؟ آیا داده‌های آن‌ها از دزدی و دست‌کاری در امان است؟ Windows Server 2019 Software Defined Networking یا به اختصار SDN قابلیت‌های امنیتی تازه‌ای ارائه می‌دهد تا اعتماد‌به‌نفس کاربران چه با اجرای بارِ کاری به‌صورت On-Premise و چه به‌عنوان یک ارائه‌دهنده خدمات در محیط Cloud، افزایش یابد.

شبکه‌های رمزگذاری‌شده در SDN

هر فردی که به شبکه فیزیکی یک ساختار دسترسی داشته باشد، می‌تواند در ترافیکی که از یک VM Host خارج می‌شود جاسوسی کرده و یا آن را دستخوش تغییر کند. با اینکه VMهای محافظت شده از داده‌های ماشین مجازی در برابر دزدی و دست‌کاری مراقبت می‌کنند، مراقبت مشابهی برای ترافیکی که از VM خارج یا به آن وارد می‌شود نیز مورد نیاز است. با اینکه Tenant می‌تواند محافظتی همچون IPSEC راه‌اندازی کند، این امر به‌دلیل پیچیدگی پیکربندی و محیط‌های ناهمگون، بسیار مشکل می‌باشد.

شبکه‌های رمزگذاری‌شده قابلیتی است که رمزگذاری مبتنی بر DTLSی ارائه می‌دهد که پیکربندی آن ساده است و از Network Controller برای مدیریت رمزگذاری End-to-End و محافظت از داده‌ها حین حرکت آن در سیم‌ها و دستگاه‌های شبکه‌ی بین سرورها استفاده می‌کند. این ویژگی توسط مدیر شبکه به‌صورت Pre-Subnet تنظیم می‌گردد. این امر باعث می‌شود که ترافیک VM به VM درون یک VM Subnet، حین خروج از Host ‌به‌صورت خودکار رمزگذاری شود تا از جاسوسی و دستکاری ترافیک موجود در سیم جلوگیری شود.  اینکار بدون نیاز به اعمال هیچ تغییر پیکربندی در خودِ VMها ممکن است.

بررسی ارتقاء عملکرد  Gatewaysدر SDN

امروزه شرکت‌ها برنامه‌های کاربردی خود را در چندین محیط Cloud از جمله محیط‌های Cloud خصوصی On-Premises، محیط‌های Cloud ارائه‌دهندگان خدمات و Cloudهای خصوصی مانند Azure پیاده‌سازی می‌کنند. در چنین سناریوهایی، فعال‌سازی اتصالات امن با عملکرد بالا بین بارهای کاری در محیط‌های Cloud متفاوت، امری حیاتی است.  Windows Server 2019 بهبودی‌های عظیمی در عملکرد SDN Gateway در این سناریوهای اتصالات ترکیبی ایجاد می‌نماید و ظرفیت شبکه را تا شش برابر افزایش می‌دهد.

لیست‌های کنترل دسترسی یه به اختصار ACLهای SDN Fabric

با این ویژگی توانایی قفل کردن امنیت شبکه‌های مجازی با ثبت نمودن خودکار سطح دسترسی‌ها (ACL) به Fabric فراهم آورده می‌شود.

Log فایروال

SDN به Hypver-V Host اجازه می‌دهد که Logهای فایروالی ایجاد کند که از لحاظ فرمت با Azure Network Watcher همخوانی دارند.

پشتیبانی از IPv6

SDN توانایی استفاده از IPv6 برای Address Spaceهای شبکه‌های مجازی، IPهای مجازی و شبکه‌های منطقی را فراهم می‌آورد. تمام توانایی‌های امنیتی SDN دیگر از آدرس‌ها و Subnetهای IPv6 پشتیبانی می‌نمایند؛ توانایی‌هایی از جمله لیست‌های کنترل دسترسی و User Defined Routing.

Peering شبکه‌های مجازی

مرز امنیتی اصلی SDN ایزوله‌سازی است که توسط خودِ شبکه‌ی مجازی ارائه می‌شود، اما گاهی اوقات برای اینکه دو شبکه‌ی مجازی بتوانند به یکدیگر ارتباط برقرار کنند، عبور از این مرز الزامی است. همچنان برای داشتن تعاملی امن، به این دو مرز جداگانه احتیاج داریم و برای انجام اینکار به Peering شبکه‌های مجازی به‌کار می‌آید.

ماشین‌های مجازی محافظت‌شده (Shielded VM) – حالت آفلاین، VMConnect و پشتیبانی از لینوکس

کاربران می‌توانند با استفاده از Fallback HGS جدید و قابلیت‌های حالت آفلاین، VMهای محافظت‌شده را بر روی ماشین‌هایی که با اتصالات متناوب به Host Guardian Service متصل هستند، اجرا نمایند. Fallback HGS به کاربران اجازه می‌دهد که یک مجموعه‌ URL دوم برای Hyper-V ایجاد نمایند تا بتواند درصورتی که نتوانست به سرور HGS اصلی متصل شود، از این مجموعه‌ی دوم استفاده کند. حالت آفلاین (Offline Mode) به کاربران اجازه می‌دهد که حتی درصورتی که نتوانند به HGS متصل شوند، همچنان VMهای محافظت‌شده‌ی خود را اجرا کنند؛ البته تا زمانی که VM مربوطه حداقل یک‌بار با موفقیت اجرا شده باشد و پیکربندی امنیتی Host آن تغییر نکرده باشد. (برای فعال‌سازی حالت آفلاین، باید خط دستور مقابل را بر روی Host Guardian Service اجرا نمود:

Set-HgsKeyProtectionConfiguration –AllowKeyMaterialCaching

همچنین عیب‌یابی VMهای محافظت‌شده‌ نیز با فعال‌سازی پشتیبانی از VMConnect Enhanced Session Mode و PowerShell Direct تسهیل داده شده است. این ابزارها هنگامی کارآمد می‌شوند که کاربر اتصال شبکه به VM خود را از دست داده است و نیاز به به‌روزرسانی پیکربندی آن دارد تا دسترسی خود را به‌دست آورد. این ویژگی‌ها نیاز به پیکربندی ندارند و به‌صورت خودکار هنگام قرارگیری یک VM محافظت‌شده بر روی یک Hyper-V Host که از Build 17040 یا Buildهای جدیدتر بهره‌مند باشد، در دسترس قرار می‌گیرند.

برای کاربرانی که از محیط‌های Mixed-OS استفاده می‌کنند نیز دیگر از Ubuntu، Red Hat Enterprise Linux و SUSE Linux Enterprise Server در VMهای محافظت‌شده پشتیبانی می‌شود.

ــــــــــــــــــــــــــــــــــــــــــــــــ

معرفی امکانات جدید Windows Server 2019 – قسمت اول

معرفی امکانات جدید Windows Server 2019 – قسمت دوم

معرفی امکانات جدید Windows Server 2019 – قسمت سوم (پایانی)