Shielded VMs und Host Guardian Service

Im Seminar „Upgrade your skills to MCSA Windows Server 2016“ wird die Sicherheit für Virtuelle Maschinen durch einen Host Guardian Service (HGS) vorgestellt, was immer mehr Unternehmen nutzen. Mit einem effektiven Schutz können Unternehmen ihr Netzwerk absichern. Dazu gibt es den erhöhten Schutz mit Host Guardian Services, die die Sicherheit von VMs deutlich erhöhen.

Mit Hilfe von Hyper-V werden diese Maschinen vor Administratoren, Angreifern und unberechtigten, aussenstehenden Zugriffen geschützt. So können bestimmte ausgesperrte Administratoren lediglich die VMs beenden oder starten aber nicht auf die Daten der VMs selbst zugreifen. Damit ist man vor unberechtigten Anwendern oder Malware geschützt. Selbst Netzwerke, die von Angreifern übernommen wurden oder die kompromittiert sind, können nicht mehr den Schutz dieser VMs gefährden. Ein Host Guardian Service sorgt in einer Windows Server 2016 Umgebung für Sicherheit, denn er trennt VMs in Hyper-V besser voneinander. Sollte eine VM durch Malware kompromittiert sein, dann verhindert nämlich dieser Dienst die Ausbreitung eines solchen Schädlings.

Auch können VMs nicht mehr zuviel Ressourcen des Computersystems für sich beanspruchen, da auch dieses erkannt und unterbunden wird. Auf vielfältigem Weg wird eine VM geschützt und der HGS bietet Verschlüsselungstechnologien um alles abzusichern. Die Festplatten können mit Hilfe von Bitlocker verschlüsselt werden. Auch der Zugriff auf die Konsole wird wirkungsvoll eingeschränkt. Selbst auf Nano-Servern können die VMs mit Hilfe von Host Guardian Services abgesichert werden. Leider ist es nicht möglich, dass die HGS-Rolle auf dem Nano-Server selbst installiert wird, aber der HGS kann auf Hyper-V-Servern mit Windows Server 2016 Datacenter Edition genutzt werden. Die älteren Versionen und die Standard Edition werden aber nicht unterstützt. Abgesicherte VMs hingegen laufen auf dem Server 2012 und 2012 R2. Eingesetzt werden können Shielded VMs mit einer gesicherten VDI-Infrastruktur mit Windows 8/8.1 und mit Windows 10.

Schutz mit Shielded VMs

Die virtuellen Maschinen können mit BitLocker verschlüsselt werden. Genutzt wird dabei vTPM. Auch der Datenverkehr durch Livemigration kann mit HGS verschlüsselt werden. Wichtige VMs können damit sicherer betrieben werden. Alle VMs können von einem Non-Shielded Modus in den Shielded Modus versetzt werden, insbesondere Generation-2-VMs. Allerdings ist die Konfiguration nicht trivial, so dass eine Neuerstellung der VM oftmals leichter fällt. Wird die VM konvertiert, dann werden die virtuellen Festplatten der VM verschlüsselt. Der Zugriff erfolgt über den System Center 2016 Virtual Machine Manager (SCVMM). Der Schutz der Virtuellen Maschinen ist über Hardware-Attestation mit einem TPM-Chip möglich oder über Admin-Attestation mit Active-Directory-Gruppen. Eine Konfiguration oder eine Überwachung von Host Guardian Services ist mit der PowerShell möglich. Wiederherstellungen von Shielded VMs können durch einen Transfer der VMs in eine sichere Wiederherstellungs-Umgebung durchgeführt werden.

Der Host Guardian Service

Der Host Guardian Service schützt alle „Guarded Hosts“. Das sind virtuelle Maschinen, die im „Shielded“ Modus laufen. Diese VMs müssen innerhalb einer Active-Directory-Gesamtstruktur laufen. Der Dienst muss hochverfügbar sein und dazu sollten nach den Empfehlungen von Microsoft mindestens drei physische Hosts den Host Guardian Service betreiben. Damit ist sichergestellt, dass dieser Dienst wirklich jederzeit verfügbar ist. Der Hyper-V-Host muss vom Host Guardian Service getrennt sein, denn eine gemeinsame Installation auf demselben Server ist nicht möglich.

Absicherung von VMs mit HGS

Es muss der Hyper-V-Host mit dem GHS verbunden sein, damit der Host Guardian Service einen Hyper-V-Host als einen Guarded Host akzeptieren kann und somit Shielded VMs auf diesem Host erfolgreich betreiben kann. Sollte man mit einer Hardware-Attestation arbeiten, dann ist bei produktiven Umgebungen auf Hyper-V-Hosts der TPM-Chip ab einer Version 2 die Voraussetzung. Damit werden später auch die Shielded VMs abgesichert. Ein Server braucht ausserdem UEFI 2.3.1 mit Secure Boot. Es ist notwendig einen Server oder Cluster mit HGS zu verwenden, um Shielded VMs nutzen zu können. Die Hyper-V-Hosts, die geschützt werden sollen, benötigen Hyper-V mit dem Serverfeature „Hyper-V-Unterstützung durch Host Guardian“ und mit der Installation dieses Features werden Hyper-V-Funktionen für einen Betrieb mit Shielded VMs freigeschaltet.

Konfiguration von HGS

Auf dem Server, auf dem HGS installiert ist, muss zunächst eine AD-Domäne erstellt werden. Es wird der HGS-Server initialisiert, danach kann über die PowerShell konfiguriert werden. Es müssen Zertifikate bezogen werden. Die Namensauflösung muss funktionieren und für die Zonen muss das DNS konfiguriert werden. Es muss die Vertrauensstellung zwischen HGS-AD und dem produktiven AD, in dem sich die Guarded Hosts befinden, eingerichtet werden. Will man Hyper-V-Hosts mit dem HGS absichern, so müssen diese Hyper-V-Hosts als Mitglied in einer neuen AD-Gruppe aufgenommen werden. Die SIDs müssen von den Hyper-V-Hosts ausgelesen werden und auf dem entsprechenden HGS-Server importiert werden. Die SID wird auf dem HGS-Server eingelesen um den Hyper-V-Host als Guarded Host zu konfigurieren. Die Weiterleitungen des DNS werden zwischen Hyper-V-Hosts und HGS-Domäne konfiguriert. In produktiven Umgebungen kann man die Einträge in der Ereignisanzeige vom HGS-Server überwachen. Genutzt werden können dazu Tools wie System Center Operations Manager und weitere Überwachungswerkzeuge.

Erstellung von Shielded VMs

Angelegt werden Shielded VMs immer aus einer entsprechenden Vorlage zusammen mit einer PDK-Datei. Diese enthält alle Daten des Guarded Hosts und die Zertifikate. Es wird die VM installiert und dieser wird eine VHDX-Datei zugewiesen. Dieser Bereich wird auf einem Hyper-V-Host vorbereitet, der aber noch nicht an das HGS angebunden ist. Erforderlich ist dazu ein Server 2016 Hyper-V-Host. Dort müssen die notwendigen Rollen und Features installiert werden, um die Shielded VMs zu verwalten. Erstellt werden muss eine neue VM auf dem Hyper-V-Host mit einer neuen virtuellen Festplatte für die zu nutzende Vorlage. Diese Festplatte muss zwei Partitionen aufweisen und jeweils mit NTFS formatiert werden. Im SCVMM wird ebenfalls eine Vorlage für Shielded VMs erstellt. Mit dem GPT-Partitionsstil wird die virtuelle Festplatte als Vorlage initialisiert. Es darf nur ein Basisdatenträger sein und kein dynamischer Datenträger, weil Bitlocker das nicht unterstützen würde. Dann kann das Betriebssystem Windows Server 2012/2012 R2 oder 2016 installiert werden mit Windows 8/8.1/10.

Fazit

Windows bietet nun weitere Möglichkeiten, um die Sicherheit im Netzwerk und in einer Cloud zu erhöhen. Nutzen Sie die Informationen, die Sie im Seminar „Upgrade your skills to MCSA Windows Server 2016“ erhalten.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.