Windows Server 2016預計在今年第三季度發布,微軟正在通過提供賞金尋找bug獵人——確保下一個關鍵服務器操作系統版本中的Nano Server中沒有任何漏洞。
正如大多數管理員所知,修補遠程代碼執行(RCE)漏洞會獲得一個關鍵評級。針對Nano Server中這些類型的漏洞,微軟將支付15000美元懸賞“高質量”報告。不同于其他正在進行的賞金計劃,該類型參與者必須在7月29日截止之前提交報告。
其他漏洞則回報少一點。對于“遠程未經身份驗證的拒絕服務、權限提升或Nano Server DLLs中其他更高級別的嚴重漏洞”,獵人可以賺取高達9000美元的賞金。對于影響Nano Server DLLs的bug,如欺騙和信息披露等,賞金為500美元。
Nano Server是一個輕量級的服務器操作系統,對于需要快速部署和管理容器和/或虛擬機的組織來說優勢巨大,因此特別適合DevOps環境。
Nano Server安裝后只有400MB,而完整的Windows Server 2012部署則需要占用6.3GB的硬盤空間。
通過削減服務器安裝消耗,只留下核心服務,Nano Server這種較小的部署規模能夠允許組織最大化主機上的虛擬機運行數量。微軟還將Nano Server定位于擴展文件服務器和托管Windows Server和Hyper-V容器的主機。
Nano Server移除了大多數.NET框架。你不能在本地管理Nano Server。喜歡使用GUI的管理員則不適合Nano Server,管理員需要使用遠程管理工具如PowerShell Direct或即將到來的“服務器管理工具”應用程序——現在可以在Azure Marketplace的Management類別下找到預覽版。
削減大量的代碼也意味著大幅減少了Nano Server的受攻擊面。理論上,Nano Server的占用空間小意味著更少的弱點可乘。尤其是當企業采用了容器基礎設施,微服務運行在底層操作系統之上,那么操作系統的安全性是至關重要的。
這聽起來是不是很熟悉?事實上,微軟已經在Windows server 2008中通過發布Server Core來試圖簡化操作系統部署。但是Server Core并沒有吸引到大多數管理員。雖然Server Core略微比Windows服務器安全,但管理員必須克服它的學習曲線。
那么,Nano Server有什么不同呢?也許并沒有什么太大差異,只是時代變了。越來越多的公司正在大規模部署服務器,導致管理員們對PowerShell的興趣大增。并且微軟不可能對VMware等競爭對手用Photon討好云客戶這種情況袖手旁觀,因此推出了自己的精簡的Linux操作系統來托管容器。
對于此次的漏洞報告獎勵,你可以從兩方面看待。首先,可以認為這種努力是微軟CEO Satya Nadella帶領下的文化轉變,其更強調透明度。
或者說這是微軟的一種自我標榜,號召互聯網時代所有人重視企業安全缺陷。沒有比這種公開展示部署模型更好的方法能夠讓微軟向潛在的客戶作出證明。
京公網安備 11010502049343號