開始您的適用於 Windows Server 2016 的一般資料保護法規 (GDPR) 旅程
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
此文章提供 GDPR 的相關資訊,其中包括其內容,以及 Microsoft 提供的產品,以協助您達到合規性。
簡介
2018 年 5 月 25 日,歐洲隱私法將生效,為隱私權、安全性和合規性設定新的全球標準。
一般資料保護規定或 GDPR 基本上規範保護和啟用個人隱私權。 GDPR 會建立嚴格的全域隱私權需求,以控管您如何管理和保護個人資料,同時尊重個人選擇,無論資料在傳送、處理或儲存位置為何。
Microsoft 和我們的客戶現在正踏上實現 GDPR 隱私權目標的旅程。 在 Microsoft,我們相信隱私權是一項基本權利,我們相信 GDPR 是釐清和啟用個人隱私權的重要一步。 但我們也認識到,GDPR 需要世界各地的組織進行重大變更。
我們已在本公司首席隱私官 Brendon Lynch 撰寫的部落格文章《使用 Microsoft Cloud 符合 GDPR 合規性》和 Microsoft Corporate 副總裁 & 副總法律顧問 Rich Sauer 撰寫的部落格文章《使用一般資料保護法規的合約承諾贏得信任》中,概要說明我們的 GDPR 承諾,以及我們將如何支援旗下客戶。
雖然您的 GDPR 合規性旅程似乎具有挑戰性,但我們在這裡協助您。 如需 GDPR,我們的承諾以及如何開始您的旅程有關的特定資訊,請造訪 Microsoft 信任中心的 GDPR 區段。
GDPR 及其含意
GDPR 是複雜的法規,可能需要對收集、使用和管理個人資料的方式進行重大變更。 Microsoft 在協助客戶遵守複雜法規方面有著悠久的歷史,在準備 GDPR 方面,我們就是您在此旅程中的合作夥伴。
GDPR 對向歐盟 (EU) 人民供應商品和服務的組織施加規則,或收集和分析與歐盟居民有關的資料,無論這些企業位於何處。 GDPR 的主要元素包括下列各項:
增強個人隱私權。 加強歐盟居民的資料保護,確保他們有權存取其個人資料、更正該資料中的不準確之處、清除該資料、反對處理其個人資料,以及移動其個人資料。
增加保護個人資料的責任。 強化組織處理個人資料的責任,為確保合規性提供更清楚的責任。
強制個人資料外洩報告。 控制個人資料的組織必須報告個人資料外洩,這些違規行為對個人的權利和自由構成風險,而且不需延遲,一旦發現違規,不晚於 72 小時。
如您所預期,GDPR 可能會對您的業務產生重大影響,可能要求您更新隱私權原則、實作和加強資料保護控制和違規通知程式、部署高度透明的原則,以及進一步投資 IT 和訓練。 Microsoft Windows 10 有助於您有效且有效率地解決其中一些需求。
個人和敏感性資料
在努力遵守 GDPR 時,您必須瞭解法規如何定義個人和敏感性資料,以及這些定義如何與貴組織所持有的資料相關。 根據該瞭解,您將能夠探索該資料建立、處理、管理和儲存的位置。
GDPR 認為個人資料是與被識別或可識別自然人相關的任何資訊。 這可以包括直接識別 (例如您的法定名稱) 和間接識別 (例如,明確說明資料參考的特定資訊)。 GDPR 也明確表示,個人資料的概念包括線上識別碼 (例如 IP 位址、行動裝置識別碼) 和位置資料。
GDPR 引進基因資料的特定定義 (例如,個人基因序列) 和生物特徵辨識資料。 基因資料和生物特徵辨識資料以及其他個人資料的子類別 (個人資料顯示種族或族裔血統、政治觀點、宗教或哲學信仰,或工會成員資格:有關健康的資料;或有關個人性生活或性取向的資料) 被視為 GDPR 下的敏感性資料。 敏感性個人資料受到增強的保護,而且通常需要個人在處理這些資料時明確同意。
與已識別或可識別的自然人有關的資訊範例 (資料主體)
此清單提供數種類型的資訊範例,這些資訊將透過 GDPR 進行規範。 這不是詳盡的清單。
名稱
識別碼 (例如 SSN)
位置資料 (例如住家位址)
線上識別碼 (例如電子郵件地址、螢幕名稱、IP 位址、裝置識別碼)
假名資料 (例如,使用金鑰來識別個人)
基因資料 (例如,來自個人的生物樣本)
生物特徵辨識資料 (例如指紋、臉部辨識)
開始展開 GDPR 合規性旅程
假設需要多少內容才能符合 GDPR 規範,我們強烈建議您等到強制執行開始前才準備。 您現在應該檢閱隱私權和資料管理做法。 我們建議您專注於四個主要步驟,開始進行 GDPR 合規性旅程:
探索。 識別您擁有的個人資料及其所在位置。
管理。 控管個人資料的使用和存取方式。
保護。 建立安全性控制,以防止、偵測和回應弱點與資料外洩。
報表。 根據資料要求採取行動、報告資料外洩,以及保留必要的文件。
針對每個步驟,我們概述各種 Microsoft 解決方案中的範例工具、資源和功能,可用來協助您解決該步驟的需求。 雖然此文章並非完整的「操作說明」指南,但我們已包含連結,讓您瞭解更多詳細資料,而且 Microsoft 信任中心的 GDPR 區段提供更多資訊。
Windows Server 安全性和隱私權
GDPR 要求您實作適當的技術和組織安全性措施,以保護個人資料和處理系統。 在 GDPR 的內容中,您的實體和虛擬伺服器環境可能會處理個人資料和敏感性資料。 處理可能表示任何作業或一組作業,例如資料收集、儲存和擷取。
您滿足此需求並實作適當的技術安全性措施的能力,必須反映您在現今日益惡意的 IT 環境中面臨的威脅。 現今的安全性威脅態勢是攻擊性和頑強的威脅之一。 往年,惡意攻擊者大多專注於透過攻擊獲得社群認可,或暫時讓系統離線的快感。 此後,攻擊者的動機轉向獲利,其中包括持有裝置和資料挾持,直到擁有者支付要求的贖金為止。
現代攻擊越來越注重大規模智慧財產權竊取:可能導致財務損失的目標系統降低;現在,甚至威脅世界各地個人、企業和國家利益安全的網路恐怖主義。 這些攻擊者通常是經過高度訓練的個人和安全專家,其中一些是採用擁有大量預算和看似無限制人力資源的國家/地區。 這類威脅需要一種可因應這項挑戰的方法。
這些威脅不僅對您的任何個人或敏感性資料保持控制能力有風險,而且對整體業務也是重大風險。 請考量來自 McKinsey、Ponemon Institute、Verizon 和 Microsoft 的最新資料:
GDPR 所預期資料外洩類型的平均成本為 350 萬美元。
這些違規的 63% 涉和 GDPR 預期要解決的弱式或遭竊密碼。
每天會建立並散佈超過 300,000 個新的惡意程式碼範例,讓您的工作能夠更具挑戰性地解決資料保護問題。
正如最近勒索軟體攻擊所見,曾經被稱為網際網路的黑鼠疫,攻擊者正在鎖定更大的目標、支付更多費用,並產生潛在的災難性後果。 GDPR 包含懲罰,讓您的系統 (包括桌上型電腦和膝上型電腦) 確實涵蓋個人和敏感性資料的各種目標。
兩個主要原則已引導並繼續引導 Windows 的開發:
安全性。 我們的軟體和服務存放區代表客戶的資料應受到保護,以免受到傷害,並只以適當的方式使用或修改。 安全性模型應該很容易讓開發人員瞭解並建置到其應用程式。
隱私權。 使用者應該控制其資料的使用方式。 資訊使用的原則應該對使用者清楚。 使用者應該控制何時和何時收到資訊,以充分利用其時間。 使用者應該很容易指定適當使用其資訊,其中包括控制使用他們寄送的電子郵件。
Microsoft 支援 Microsoft 執行長 Satya Nadella 最近指出的這些原則
「隨著世界持續變化和業務需求的發展,有些事態是一致的:客戶對安全性和隱私權的需求。」
您努力遵守 GDPR 時,必須瞭解實體和虛擬伺服器在建立、存取、處理、儲存和管理可能符合 GDPR 下個人和潛在敏感性資料資格的資料方面所扮演的角色。 Windows Server 提供的功能有助於您符合 GDPR 需求,以實作適當的技術和組織安全性措施來保護個人資料。
Windows Server 2016 的安全性狀態並非一程不變;這是一個架構原則。 而且,這個架構原則可以在四個主體中予以最充分理解:
保護。 持續關注和創新預防措施:封鎖已知的攻擊和已知的惡意程式碼。
偵測。 完整的監視工具有助於您找出異常狀況,並更快速地回應攻擊。
回應。 領先的回應和復原技術加上深入的諮詢專業知識。
隔離。 隔離作業系統元件和資料秘密、限制系統管理員權限,以及嚴格測量主機健康情況。
使用 Windows Server 時,您保護、偵測和防禦可能導致資料外洩的攻擊類型已大幅改善。 有鑑於 GDPR 內外洩通知的嚴格需求,確保您的桌上型電腦和膝上型電腦系統受到妥善防護,將會降低您面臨的風險,而可能導致成本高昂的違規分析和通知。
在後續章節中,您會看到 Windows Server 如何提供完全符合 GDPR 合規性旅程「保護」階段的功能。 這些功能分為三種保護案例:
保護您的認證並限制系統管理員權限。 Windows Server 2016 有助於實作這些變更,以協助防止系統作為後續入侵的啟動點。
保護作業系統以執行您的應用程式和基礎結構。 Windows Server 2016 提供多層保護,有助於阻止外部攻擊者執行惡意軟體或惡意探索弱點。
安全虛擬化。 Windows Server 2016 使用受防護的虛擬機器和受防護網狀架構來啟用安全虛擬化。 這有助於您在網狀架構中的受信任主機上加密並執行虛擬機器,以更確實保護它們免於遭受惡意攻擊。
這些功能在以下更詳細地討論,其中包含特定 GDPR 需求的參考,是以進階裝置保護為基礎所建置,可協助維護作業系統和資料的完整性和安全性。
GDPR 內的主要佈建是依設計和預設提供資料保護,而且協助您符合此佈建的能力是 Windows 10 內的功能,例如 BitLocker 裝置加密。 BitLocker 採用信賴平台模組 (TPM) 技術,可提供硬體式安全性相關功能。 此密碼編譯處理器晶片包含多個實體安全性機制,使其防竄改,而惡意軟體無法竄改 TPM 的安全性功能。
此晶片包含多個實體安全性機制,使得它具備防竄改功能,在 TPM 安全性功能的加持下,惡意程式碼軟體便無法進行竄改。 採用 TPM 技術的一些主要優點是您可以:
產生、儲存和限制使用密碼編譯金鑰。
使用 TPM 的唯一 RSA 金鑰 (已燒錄) 採用 TPM 技術進行平台裝置驗證。
藉由採取和儲存安全性度量,協助確保平台完整性。
與不涉及資料外洩的操作有關的其他進階裝置保護包括 Windows 信任開機,藉由確保惡意程式碼無法在系統防禦之前啟動,協助維護系統的完整性。
Windows Server:支援 GDPR 合規性旅程
Windows Server 內的主要功能有助於您有效率且有效地實作 GDPR 為合規性所需的安全性和隱私權機制。 雖然使用這些功能不保證您的合規性,但它們將支援您這麼做的努力。
伺服器作業系統位於組織基礎結構的策略層,提供新機會來建立保護層,防止可能竊取資料並中斷業務的攻擊。 GDPR 的重要層面 (例如隱私納入設計、資料保護和存取控制) 必須在伺服器層級的 IT 基礎結構內解決。
為了協助保護身分識別、作業系統和虛擬化層,Windows Server 2016 有助於封鎖用來取得系統非法存取的常見攻擊媒介:遭竊的認證、惡意程式碼和遭入侵的虛擬化網狀架構。 除了降低商務風險之外,Windows Server 2016 內建的安全性元件也有助於解決主要政府和產業安全性法規的合規性需求。
這些身分識別、作業系統和虛擬化保護可讓您更妥善地保護以任何雲端中的 VM 身分執行 Windows Server 的資料中心,並限制攻擊者入侵認證、啟動惡意程式碼,並在您的網路中保持不受偵測的能力。 同樣地,部署為 Hyper-V 主機時,Windows Server 2016 會透過受防護的虛擬機器和分散式防火牆功能為您的虛擬化環境提供安全性保證。 使用 Windows Server 2016 時,伺服器作業系統會成為主動維護資料中心安全性。
保護您的認證並限制系統管理員權限
控制個人資料的存取,以及處理該資料的系統,是具有特定需求的 GDPR 區域,其中包括系統管理員存取。 特殊權限身分識別是提高權限的任何帳戶,例如屬於網域系統管理員、企業系統管理員、本機系統管理員,甚至是 Power Users 群組成員的使用者帳戶。 這類身分識別也可以包含已直接授與權限的帳戶,例如執行備份、關閉系統,或本機安全性原則主控台的 [使用者權限指派] 節點中列出的其他權限。
作為一般存取控制原則,並與 GDPR 一致,您必須保護這些特殊權限身分識別不受潛在攻擊者入侵。 首先,請務必瞭解身分識別遭到入侵的方式;然後您可以規劃防止攻擊者取得這些特殊權限身分識別的存取權。
特殊權限身分識別如何遭到入侵?
組織沒有保護這些身分識別的指導方針時,特殊權限身分識別可能會遭到入侵。 以下是一些範例:
比必要權限更多。 最常見的問題之一是使用者擁有比執行其工作功能所需的權限還多。 例如,管理 DNS 的使用者可能是 AD 系統管理員。 這通常是為了避免需要設定不同的系統管理層級。 不過,如果這類帳戶遭到入侵,攻擊者會自動提高權限。
持續以較高的權限登入。 另一個常見問題是,提高權限的使用者可以無限制地使用它。 這很常見於使用特殊權限帳戶登入桌上型電腦、保持登入並使用特殊權限帳戶瀏覽網頁並使用電子郵件 (一般 IT 工作作業功能) 的 IT 專業人員。 特殊權限帳戶的無限制持續時間可讓帳戶更容易遭受攻擊,並增加帳戶遭入侵的可能性。
社交工程研究。 大部分認證威脅都是從研究組織開始,然後透過社交工程進行。 例如,攻擊者可能會執行電子郵件網路釣魚攻擊,以入侵可存取組織網路的合法帳戶 (但不一定是提高權限的帳戶)。 攻擊者接著會使用這些有效的帳戶,在您的網路上執行其他研究,並識別可執行系統管理工作的具特殊權限帳戶。
利用提高權限的帳戶。 即使對於網路中未提高權限的一般使用者帳戶,攻擊者也可以入侵提高權限的帳戶。 其中一個較常見的方法是使用傳遞雜湊或傳遞權杖攻擊。 如需傳遞雜湊和其他認證竊取技術的詳細資訊,請參閱傳遞雜湊 (PtH) 頁面上的資源。
當然還有其他方法可供攻擊者用來識別和入侵特殊權限身分識別 (每天建立新的方法)。 因此,請務必建立使用者以最低權限帳戶登入的做法,以減少攻擊者取得特殊權限身分識別的存取權的能力。 下列各節概述 Windows Server 可以降低這些風險的功能。
Just-In-Time 系統管理員 (JIT) 和 Just Enough Admin (JEA)
雖然保護防範傳遞雜湊或票證傳遞攻擊很重要,但系統管理員認證仍可透過其他方式竊取,其中包括社交工程、不滿的員工和暴力密碼破解。 因此,除了盡可能隔離認證之外,您也需要一種方法來限制系統管理員層級權限的觸達,以防遭到入侵。
如今,太多的系統管理員帳戶過於特殊權限,即使他們只有一個責任領域也一樣。 例如,需要非常窄的權限來管理 DNS 伺服器的 DNS 系統管理員通常會獲得網域系統管理員層級權限。 此外,由於這些認證會授與永久,因此不會限制可以使用這些認證的時間長度。
具有不必要網域系統管理員層級權限的每個帳戶,都會造成您遭受攻擊者設法入侵認證的風險增加。 若要將受攻擊的介面區降到最低,您會想要只提供系統管理員需要執行作業的特定權限集,而且只提供完成作業所需的時間範圍。
使用 Just Enough Administration 和 Just-In-Time Administration,系統管理員可以要求所需的特定權限,以取得所需的確切時間範圍。 例如,針對 DNS 系統管理員,使用 PowerShell 啟用 Just Enough Administration 可讓您建立一組有限的命令,以供 DNS 管理使用。
如果 DNS 系統管理員需要更新其中一部伺服器,她會要求存取權以使用 Microsoft Identity Manager 2016 管理 DNS。 要求工作流程可以包含核准程式,例如雙因素驗證,其可以呼叫系統管理員的行動電話,以在授與要求的權限之前確認其身分識別。 授與之後,這些 DNS 權限會針對特定時間範圍提供 DNS PowerShell 角色的存取權。
假設 DNS 系統管理員的認證遭竊,則假設此案例。 首先,由於認證沒有附加的系統管理員權限,攻擊者將無法取得 DNS 伺服器或任何其他系統的存取權,以進行任何變更。 如果攻擊者嘗試要求 DNS 伺服器的權限,次要因素驗證會要求他們確認其身分識別。 由於攻擊者不太可能擁有 DNS 系統管理員的行動電話,因此驗證會失敗。 這會將攻擊者鎖定出系統,並警示 IT 組織認證可能會遭到入侵。
此外,許多組織使用免費的 本機系統管理員密碼解決方案 (LAPS) 作為對於其伺服器和用戶端系統而言簡單但功能強大的 JIT 系統管理機制。 LAPS 功能提供已加入網域電腦的本機帳戶密碼管理。 密碼會儲存在 Active Directory (AD) 中,並受到存取控制清單 (ACL) 保護,因此只有合格的使用者可以讀取密碼或要求重設。
如 Windows 認證竊取風險降低指南中所述,
「罪犯用來執行認證竊取和重複使用攻擊的工具和技術有所改善,惡意攻擊者發現達成目標更容易。認證竊取通常仰賴作業做法或使用者認證暴露,因此有效的風險降低需要一種整體方法解決人員、程式和技術問題。此外,這些攻擊在入侵系統以擴充或維持存取權後依賴攻擊者竊取認證,因此組織必須透過實作策略來快速因應違規,以防止攻擊者在遭入侵的網路中自由移動且無法偵測到。」
Windows Server 的重要設計考量是緩解認證竊取,特別是衍生認證。 Credential Guard 藉由在 Windows 中實作重大架構變更,協助消除硬體隔離攻擊,而不是只是嘗試防禦這些攻擊,藉此大幅改善衍生認證竊取和重複使用的安全性。
使用 Windows Defender Credential Guard、NTLM 和 Kerberos 衍生認證時,會使用虛擬化安全性來保護認證竊取攻擊技術和工具,許多目標攻擊中使用的認證竊取攻擊技術和工具都會遭到封鎖。 在具有系統管理權限的作業系統中執行的惡意程式碼無法擷取受虛擬化安全性保護的秘密。 雖然 Windows Defender Credential Guard 是一種強大的防護功能,但持續性威脅攻擊可能會轉向新的攻擊技術,您也應該納入 Device Guard (如下所述) 以及其他安全性策略和架構。
Windows Defender Credential Guard
Windows Defender Credential Guard 會使用虛擬化安全性來隔離認證資訊,防止攔截密碼雜湊或 Kerberos 票證。 這會使用全新的隔離本地安全機構 (LSA) 程式,而作業系統的其餘部分則無法存取此程式。 隔離 LSA 使用的全部二進位檔都會使用在受保護環境中啟動憑證之前經過驗證的憑證進行簽署,使得傳遞雜湊類型攻擊完全無效。
Windows Defender Credential Guard 使用:
虛擬化安全性 (必要)。 此外,還需要:
64 位元 CPU
CPU 虛擬化延伸模組,加上擴充分頁表
Windows Hypervisor
安全開機 (必要)
TPM 2.0 離散或韌體 (慣用 - 提供硬體系結)
您可以使用 Windows Defender Credential Guard,藉由保護 Windows Server 2016 上的認證和認證衍生項目,協助保護特殊權限身分識別。 如需 Windows Defender Credential Guard 需求的詳細資訊,請參閱使用 Windows Defender Credential Guard 保護衍生的網域認證。
Windows Defender Remote Credential Guard
Windows Server 2016 和 Windows 10 年度更新版上的 Windows Defender 遠端認證防護也有助於保護具有遠端桌面連線的使用者認證。 先前,任何使用遠端桌面服務的人都必須登入其本機電腦,然後在他們執行與目標電腦的遠端連線時再次登入。 第二個登入會將認證傳遞至目標電腦,並將其公開給傳遞雜湊或傳遞票證攻擊。
使用 Windows Defender 遠端認證防護,Windows Server 2016 會實作遠端桌面工作階段的單一登入,而不需要重新輸入您的使用者名稱和密碼。 相反地,這會利用您已用來登入本機電腦的認證。 若要使用 Windows Defender 遠端認證防護,遠端桌面用戶端和伺服器必須符合下列需求:
必須加入 Active Directory 網域,而且位於相同網域或具有信任關係的網域中。
必須使用 Kerberos 驗證。
必須至少執行 Windows 10 版本 1607 或 Windows Server 2016。
需要遠端桌面傳統型 Windows 應用程式。 遠端桌面通用 Windows 平台應用程式不支援 Windows Defender 遠端認證防護。
您可以在遠端桌面伺服器和群組原則或遠端桌面用戶端上的遠端桌面連線參數上使用登錄設定來啟用 Windows Defender 遠端認證防護。 有關啟用 Windows Defender 遠端認證防護的詳細資訊,請參閱使用 Windows Defender 遠端認證防護來保護遠端桌面認證。 如同 Windows Defender Credential Guard,您可以使用 Windows Defender 遠端認證防護來協助保護 Windows Server 2016 上的特殊權限身分識別。
保護作業系統以執行您的應用程式和基礎結構
防止網路威脅也需要尋找和封鎖惡意程式碼和攻擊,以藉由顛覆基礎結構的標準作業作法來取得控制權。 如果攻擊者可以取得作業系統或應用程式,以非預先決定、非可行的方式執行,他們可能會使用該系統採取惡意動作。 Windows Server 2016 提供多層保護,可阻止外部攻擊者執行惡意軟體或惡意探索弱點。 作業系統透過警示系統管理員指出系統已遭入侵的活動,在保護基礎結構和應用程式方面扮演主動角色。
Windows Defender Device Guard
Windows Server 2016 包含 Windows Defender Device Guard,以確保只有受信任的軟體可以在伺服器上執行。 使用虛擬化安全性,它可以根據組織的原則,限制可在系統上執行的二進位檔。 如果指定二進位檔以外的任何項目都嘗試執行,Windows Server 2016 會封鎖它並記錄失敗的嘗試,讓系統管理員可以看到有潛在的違規。 違規通知是 GDPR 合規性需求的重要部分。
Windows Defender Device Guard 也與 PowerShell 整合,讓您可以授權哪些指令碼可以在系統上執行。 在舊版 Windows Server 中,系統管理員只要從程式碼檔案刪除原則,即可略過程式碼完整性強制執行。 使用 Windows Server 2016,您可以設定由組織簽署的原則,讓只有對於簽署原則的憑證有權存取的人員可以變更原則。
控制流程防護
Windows Server 2016 也包括內建防護功能,以防範某些類別的記憶體損毀攻擊。 修補您的伺服器很重要,但始終有可能針對尚未識別的弱點開發惡意程式碼。 利用這些弱點的一些最常見方法是提供異常或極端的資料給執行中的程式。 例如,攻擊者可以將比預期更多的輸入提供給程式,並超過程式保留的區域來保留回應,藉此惡意探索緩衝區溢位弱點。 這可能會損毀可能會保留函式指標的相鄰記憶體。
程式透過此函式呼叫時,就可以跳到攻擊者指定的非預期位置。 這些攻擊也稱為跳躍導向程式設計 (JOP) 攻擊。 控制流程防護會藉由嚴格限制可執行哪些應用程式程式碼,特別是間接呼叫指示,來防止 JOP 攻擊。 這會新增輕量型安全性檢查,以識別應用程式中有效的間接呼叫目標集合。 應用程式執行時,這會驗證這些間接呼叫目標是否有效。
如果執行時間控制流程防護檢查失敗,Windows Server 2016 會立即終止程式,中斷任何嘗試間接呼叫無效位址的惡意探索。 控制流程防護可為 Device Guard 提供重要的額外保護層。 如果允許清單的應用程式遭到入侵,它就能夠執行 Device Guard 未核取,因為 Device Guard 檢測會看到應用程式已簽署且被視為受信任。
不過,因為控制流程防護可以識別應用程式是否以非預先決定、非可行的循序執行,因此攻擊會失敗,以防止遭入侵的應用程式執行。 這些保護讓攻擊者很難將惡意程式碼插入 Windows Server 2016 上執行的軟體。
鼓勵開發人員建置將處理個人資料的應用程式,以在其應用程式中啟用控制流程防護 (CFG)。 這項功能可在 Microsoft Visual Studio 2015 中取得,並在 Windows 的「CFG 感知」版本上執行 —Windows 10 和 Windows 8.1 Update (KB3000850) 的 x86 和 x64 版本。 您不需要針對程式碼的每個部分啟用 CFG,因為已啟用 CFG 且非 CFG 的程式碼會正常執行。 不過,無法為全部程式碼啟用 CFG 可能會開啟保護中的間隙。 此外,已啟用 CFG 的程式碼可在 Windows 的「CFG 非感知」版本上正常運作,因此與它們完全相容。
Windows Defender 防毒軟體
Windows Server 2016 包含領先業界的 Windows Defender 主動偵測功能,以封鎖已知的惡意程式碼。 Windows Defender 防毒軟體 (AV) 可與 Windows Defender Device Guard 和控制流程防護搭配運作,以防止伺服器上安裝任何類型的惡意程式碼。 預設會開啟它 – 系統管理員不需要採取任何動作,才能開始運作。 Windows Defender 防毒軟體也已最佳化,以支援 Windows Server 2016 中的各種伺服器角色。 過去,攻擊者使用 PowerShell 之類的殼層來啟動惡意二進位程式碼。 在 Windows Server 2016 中,PowerShell 現在已與 Windows Defender 防毒軟體整合,可在啟動程式碼之前掃描惡意程式碼。
Windows Defender 防毒軟體是內建的反惡意程式碼解決方案,可為桌上型電腦、可攜式電腦和伺服器提供安全性和反惡意程式碼管理。 Windows Defender 防毒軟體自 Windows 8 引進以來已大幅改善。 Windows Server 中的 Windows Defender 防毒軟體使用多管齊下的方法來改善反惡意程式碼:
雲端式保護可在幾秒鐘內協助偵測和封鎖新的惡意程式碼,即使從未見過惡意程式碼也一樣。
豐富的本機內容可改善惡意程式碼的識別方式。 Windows Server 不僅會通知 Windows Defender 防毒軟體檔案和程式等內容,也會通知內容的來源、儲存位置等等。
廣泛的全域感應器有助於讓 Windows Defender 防毒軟體保持最新狀態,甚至瞭解最新的惡意程式碼。 這有兩種方式來完成:從端點收集豐富的本機內容資料,以及集中分析該資料。
防竄改有助於保護 Windows Defender 防毒軟體本身免受惡意程式碼攻擊。 例如,Windows Defender 防毒軟體會使用受保護的進程,以防止不受信任的進程嘗試竄改 Windows Defender 防毒軟體元件、其登錄機碼等等。
企業級功能可讓 IT 專業人員提供讓 Windows Defender 防毒軟體成為企業級反惡意程式碼解決方案所需的工具和設定選項。
強化安全性稽核
Windows Server 2016 會主動向系統管理員警示系統管理員,以增強的安全性稽核來提供更詳細的資訊,可用於更快速的攻擊偵測和鑑識分析。 這會記錄來自控制流程防護、Windows Defender Device Guard 和其他安全性功能的事件,讓系統管理員更容易判斷哪些系統可能面臨風險。
新的事件類別包括:
稽核群組成員資格。 可讓您稽核使用者登入權杖中的群組成員資格資訊。 在建立登入工作階段的電腦上列舉或查詢群組成員資格時,會產生事件。
稽核 PnP 活動。 可讓您在隨插即用偵測到外部裝置時進行稽核,其中可能包含惡意程式碼。 PnP 事件可用來追蹤系統硬體中的變更。 事件中包含硬體廠商識別碼的清單。
Windows Server 2016 輕鬆地與安全性事件事件管理 (SIEM) 系統整合,例如 Microsoft Operations Management Suite (OMS),可將資訊納入潛在違規的情報報告中。 增強式稽核所提供的資訊深度可讓安全性小組更快速且有效地識別並回應潛在的違規。
安全虛擬化
企業現在虛擬化了從 SQL Server 到 SharePoint 到 Active Directory 網域控制站的全部項目。 虛擬機器 (VM) 只需更輕鬆地部署、管理、服務和自動化基礎結構。 不過,在安全性方面,遭入侵的虛擬化網狀架構已成為難以防禦的新攻擊媒介,直到現在為止。 從 GDPR 的觀點來看,您應該考慮保護 VM,就像保護實體伺服器一樣,其中包括採用 VM TPM 技術。
Windows Server 2016 從根本上改變了企業如何保護虛擬化的方式,其中包括多種技術,可讓您建立只會在您自己的網狀架構上執行的虛擬機器:協助保護其執行時所執行的儲存體、網路和主機裝置。
受防護的虛擬機器
讓虛擬機器更容易移轉、備份和複寫的相同項目,也可讓您更輕鬆地修改和複製。 虛擬機器只是檔案,因此不會在網路上、儲存體、備份或其他地方受到保護。 另一個問題是網狀架構系統管理員 –無論是儲存體系統管理員還是網路系統管理員,都可以存取全部虛擬機器。
網狀架構上遭入侵的系統管理員可以輕鬆地在虛擬機器之間產生遭入侵的資料。 攻擊者必須做的就是使用遭入侵的認證,將他們喜歡的任何 VM 檔案複製到 USB 磁碟機,並將其從組織取出,這些 VM 檔案可從任何其他系統存取。 例如,如果其中任一個遭竊的 VM 是 Active Directory 網域控制站,攻擊者就可以輕鬆地檢視內容,並採用現成可用的暴力密碼破解技術破解 Active Directory 資料庫中的密碼,最終讓他們存取基礎結構內的其他全部項目。
Windows Server 2016 引進受防護的虛擬機器 (受防護的 VM),以協助防範剛才所述的案例。 受防護的 VM 包括虛擬 TPM 裝置,可讓組織將 BitLocker 加密套用至虛擬機器,並確保它們只在信任的主機上執行,以協助防範遭入侵的儲存體、網路和主機系統管理員。 受防護的 VM 是使用第 2 代 VM 來建立,其支援整合可擴展韌體介面 (UEFI) 韌體,並具有虛擬 TPM。
主機守護者服務
除了受防護的 VM,主機守護者服務是建立安全虛擬化網狀架構的重要元件。 其作業是先證明 Hyper-V 主機的健康情況,再允許受防護的 VM 開機或移轉至該主機。 這會保留受防護 VM 的金鑰,而且在安全性健康情況得到保證之前,不會釋放它們。 有兩種方式可以要求 Hyper-V 主機向主機守護者服務證明。
第一個最安全的是硬體信任的證明。 此解決方案需要您的受防護 VM 在具有 TPM 2.0 晶片和 UEFI 2.3.1 的主機上執行。 需要此硬體,才能提供主機守護者服務所需的測量開機和作業系統核心完整性資訊,以確保 Hyper-V 主機未遭到竄改。
IT 組織可以選擇使用系統管理員信任的證明,如果 TPM 2.0 硬體未在組織中使用,則可取得該證明。 此證明模型很容易部署,因為主機只會放在安全性群組中,而且主機守護者服務已設定為允許受防護的 VM 在屬於安全性群組成員的主機上執行。 使用此方法時,不會進行複雜的測量,以確保主機電腦未遭到竄改。 不過,您可以排除未加密的 VM 在 USB 磁碟機上走出門,或 VM 將在未經授權的主機上執行的可能性。 這是因為 VM 檔案不會在指定群組中的任何電腦上執行。 如果您也沒有 TPM 2.0 硬體,您可以從系統管理員信任的證明開始,並在升級硬體時切換到硬體信任證明。
虛擬機器信任平台模組
Windows Server 2016 支援虛擬機器的 TPM,這可讓您支援虛擬機器中的 BitLocker® 磁碟機加密等進階安全性技術。 您可以使用 Hyper-V 管理員或 Enable-VMTPM Windows PowerShell Cmdlet,在任何第 2 代 Hyper-V 虛擬機器上啟用 TPM 支援。
您可以使用儲存在主機上的本機密碼編譯金鑰或儲存在主機守護者服務中,來保護虛擬 TPM (vTPM)。 因此,雖然主機守護者服務需要更多的基礎結構,但這也提供更多的保護。
使用軟體定義網路的分散式網路防火牆
改善虛擬化環境中保護的其中一種方式是將網路區隔成一種方式,讓 VM 只能與運作所需的特定系統交談。 例如,如果您的應用程式不需要與網際網路連線,您可以將它分割,從外部攻擊者排除這些系統作為目標。 Windows Server 2016 中的軟體定義網路 (SDN) 包含分散式網路防火牆,可讓您動態建立安全性原則,以保護應用程式免於來自網路內外的攻擊。 此分散式網路防火牆可讓您隔離網路中的應用程式,藉此將圖層新增至您的安全性。 原則可以套用到虛擬網路基礎結構的任何位置、隔離 VM 對 VM 流量、VM 對主機流量,或視需要套用到 VM 對網際網路流量 – 可能是針對可能已遭入侵或以程式設計方式跨多個子網路的個別系統。 Windows Server 2016 軟體定義網路功能也可讓您將連入流量路由傳送或鏡像到非 Microsoft 虛擬裝置。 例如,您可以選擇透過 Barracuda 虛擬裝置傳送全部電子郵件流量,以取得額外的垃圾郵件篩選保護。 這可讓您輕鬆地將內部部署或雲端中的其他安全性分層。
伺服器的其他 GDPR 考量
GDPR 包含違反個人資料的通知有關的明確要求,其中個人資料外洩是指「違反安全性,導致意外或非法破壞、遺失、改變、未經授權洩漏或存取所傳輸、儲存或其他處理的個人資料」。 顯然,如果您第一次無法偵測到違規,您就無法在 72 小時內繼續符合嚴格的 GDPR 通知需求。
如 Windows 資訊安全中心白皮書違規後:處理進階威脅所述
「與違規前不同,違規後假設已經發生違規,充當飛行記錄器和犯罪現場調查員 (CSI)。外洩後提供安全性小組識別、調查和回應攻擊所需的資訊和工具組,否則這些攻擊將保持未受到偵測而且能夠躲避雷達。」
在本節中,我們將探討 Windows Server 如何協助您履行 GDPR 違規通知義務。 首先,瞭解 Microsoft 可用的基礎威脅資料,這些資料會針對您的權益進行收集和分析,以及如何透過 Windows Defender 進階威脅防護 (ATP) 來瞭解資料對您而言非常重要的方式。
深入解析安全性診斷資料
近二十年來,Microsoft 一直在將威脅轉化為有用的情報,以協助強化其平台和保護客戶。 今天,由於雲端提供的巨大運算優勢,我們正在尋找新的方法來使用由威脅情報驅動的豐富分析引擎來保護我們的客戶。
藉由套用自動化和手動程式、機器學習和人類專家的組合,我們可以建立智慧型安全性圖表,從自身學習並即時進化,減少我們在整個產品中偵測和回應新事件的集體時間。
Microsoft 的威脅情報範圍涵蓋數十億個資料點:每月掃描 350 億則訊息、10 億個企業和取用者區隔的客戶,存取 200 個以上的雲端服務,以及每天執行的 140 億個驗證。 Microsoft 會代表您提取全部這些資料,以建立 Intelligent Security Graph,以動態方式保護您的前門,以保持安全、保持生產力並符合 GDPR 的需求。
偵測攻擊和鑑識調查
即使是最終可能遭到違規的最佳端點防禦,因為網路攻擊變得更加複雜且有針對性。 兩項功能可用來協助進行潛在的違規偵測 - Windows Defender 進階威脅防護 (ATP) 和 Microsoft Advanced Threat Analytics (ATA)。
Windows Defender 進階威脅防護 (ATP) 有助於您偵測、調查和回應網路上的進階攻擊和資料違規。 GDPR 預期會防止資料外洩類型,透過技術安全性措施,以確保個人資料和處理系統的機密性、完整性和可用性。
Windows Defender ATP 的主要優點如下:
偵測無法偵測到。 內建於作業系統核心的感應器、Windows 安全性專家,以及來自全部 Microsoft 服務超過 10 億部機器和訊號的獨特光學。
內建,但並非一程不變。 無代理程式,具有高效能和最少的影響,具備雲端能力;輕鬆管理,不需要部署。
Windows 安全性的單一窗格。 探索 6 個月豐富的電腦時間軸,從 Windows Defender ATP、Windows Defender 防毒軟體和 Windows Defender Device Guard 整合安全性事件。
Microsoft 圖表的強大功能。 利用 Microsoft Intelligence Security Graph 整合偵測和探索與 Office 365 ATP 訂閱帳戶,以追蹤和回應攻擊。
如需詳細資訊,請參閱 Windows Defender ATP Creators Update 預覽版的新功能。
ATA 是內部部署產品,可協助偵測組織中的身分識別洩露。 ATA 可以擷取和剖析驗證、授權和資訊收集通訊協定的網路流量 (例如 Kerberos、DNS、RPC、NTLM 和其他通訊協定)。 ATA 會使用此資料來建置有關網路上使用者和其他實體的行為設定檔,以便偵測異常和已知的攻擊模式。 下表列出 ATA 偵測到的攻擊類型。
| 攻擊類型 | 描述 |
|---|---|
| 惡意攻擊 | 從已知攻擊類型清單尋找攻擊,其中包括:
|
| 異常行為 | 這些攻擊是使用行為分析來偵測,並使用機器學習來識別可疑的活動,其中包括:
|
| 安全性問題和風險 | 透過查看目前的網路和系統設定來偵測這些攻擊,其中包括:
|
您可以使用 ATA 來協助偵測嘗試入侵特殊權限身分識別的攻擊者。 如需部署 ATA 的詳細資訊,請參閱 Advanced Threat Analytics 文件中的規劃、設計和部署主題。
相關聯 Windows Server 2016 解決方案的相關內容
Windows Defender 防毒軟體:
Windows Defender 進階威脅防護:
適用於 Windows 10 Creators Update 的 Windows Defender 進階威脅防護概觀 (YouTube 影片)
Windows Defender Device Guard:
Windows Defender Credential Guard:Windows Defender Credential Guard (YouTube 影片)
控制流程防護:
安全性和保證:
免責聲明
此文章是 GDPR 的評論,因為 Microsoft 將它解釋為發行日期。 我們花了很多時間與 GDPR,並想認為我們已經深思熟慮其意圖和意義。 但 GDPR 的應用非常具體,但 GDPR 的全部層面和解釋都已妥善解決。
因此,此文章僅供參考之用,不應依賴為法律建議,或判斷 GDPR 如何適用於您和貴組織。 我們鼓勵您與法律合格的專業人員合作,討論 GDPR、其如何特別套用至您的組織,以及如何確保合規性。
MICROSOFT 對於此文章中的資訊不負任何明示、默示或法定擔保責任。 此文章「原狀」提供。 此文章中提供的資訊和檢視,包括 URL 和其他網際網路網站參考資料,可能會依情況改變,恕不另行通知。
此文章不為您提供對任何 Microsoft 產品中的任何智慧財產的法定權利。 您可以複製此文章僅供內部參照之用。
2017 年 9 月發行
1.0 版
© 2017 Microsoft. 著作權所有,並保留一切權利。