Windows Server 2016增添多层次安全性，强化特权帐号、OS与VM防护

微软Windows Server 2016在10月终于正式宣布上市之后，我们发现当中最有卖相的特色，是安全性相关新功能。而且这的确是切中资料中心IT基础架构发展上的要害──近年来各种重大资安威胁事件层出不穷的情况下，如何保护服务器系统、各种虚拟化／软件定义IT环境、应用程式平台，使其能够具备足够的存取防护，一直是当前云端服务业者与企业IT管理所力有未逮之处。

而且，初步审视Windows Server 2016所新增的安全性特色，我们也发现微软强调的几个部分，确实是有其使用的必要，而且，考量更为周延，可分为身分存取／特权帐号、作业系统，以及虚拟机器等三大层面，而不像过去，仅针对服务器系统执行的层面。

针对特权帐号提供更多控管与限制，避免滥权的风险

在帐号权限管理的方式上，Windows Server 2016提供了Just Enough Administration和Just-in-time Administration，这两个特色针对管理者权限有了更细緻的画分，甚至可任意组合权限，限定执行特定使用者帐号所能执行的工作，而不需授与系统管理者的权限，而且还能限制授与权限的时间长短。

基于这两种方法，如果企业能做好分层授权，攻击者即便取得并冒用其中一些管理者的身分，也未必能够存取到全部的重要资料。

以JEA而言，对于企业惯用以不同使用者角色控管权限存取的方式，能够提供补强的作法，因为系统管理者可以根据该位使用者需要的部分，更精确地将指定的细部权限项目，配置给对方所用的帐号，而非授与过多权限。

就技术架构来看，JEA隶属于Windows Management Framework 5.0的功能，是从Windows Server 2008 R2就开始支持的功能，但很可惜的是，多数人可能都不太清楚微软服务器平台有这样的功能。若要在Windows Server导入JEA的机制，企业需要先透过一支cmdlet，建立PowerShell Session Configuration档案，然后使用RegisterPSSessionConfiguration这只cmdlet注册，接着可以透过一般的PowerShell连线到服务器端，测试权限组态的效果。

作业系统加入许多防御威胁的机制

首先，Windows Server 2016在作业系统层级的防护上，具有和Windows 10相同的装置保全机制Device Guard，以及身分保全Credential Guard，当中运用了一种新的虚拟安全模式。

一般而言，Device Guard可防止作业系统执行到恶意程式，当各种应用程式在OS核心模式与使用者模式下执行时，能受到保护，因为只有批准的二位元码才能运作在系统上，例如通过Windows硬体品管部门签章认证的驱动程式，或是名列系统政策设定的安全程式清单的应用程式，此即所谓的Configurable Code Integrity。

相对地，Device Guard会阻止驱动程式载入动态程式码，以及不在安全程式清单上的驱动程式，Windows Server 2016可藉此预防有人利用窜改驱动程式的作法，趁机修改执行在系统内存的程式码。

而另一项Credential Guard，则是能够针对金钥系统与使用者端机密──本机安全性授权，加以隔离与强化，亦即Isolated LSA。这项防护机制，可预防有人利用下列两种攻击来窃取身分：传递杂凑值的攻击，以及传递金钥的攻击。针对远端桌面登入的身分保护，微软也提供了Remote Credential Guard，针对RDP协定连线的单一登入整合机制，使用者身分资料毋须传送到被连接的主机端。

可限制Hyper-V虚拟机器只能执行在特定Hyper-V主机，并可结合硬盘加密

Windows Server 2016针对Hyper-V服务器虚拟化平台下的虚拟机器，提供了加密防护机制，称为Shielded VM。

企业可以在Windows Server 2016上启动Host Guardian Services，并且使用Windows Server2012开始支持的第二代Hyper-V虚拟机器，运用其中的虚拟TPM，并且套用BitLocker硬盘加密功能，之后，企业就可限定该台VM的执行，只能在防护主机网路Guarded Fabric当中的特定主机上，因此若虚拟机器档案遭到外洩或窃取，也无法在其他主机上启动。

而相对地，HGS也将会要求每台执行该服务的主机，需具备一定程度的防护健全性，让Shielded VM能够安全地开机执行，或是从其他主机迁移过去。

Windows Server 2016 Hyper-V加入了Shielded VM的新特色，透过Hyper-V的第二代虚拟机器内建的虚拟TPM模组，可以验证虚拟机器与主机，以及针对虚拟机器使用进阶的BitLocker硬盘加密，并且限制虚拟机器只能执行在安全、可靠的主机服务器上。