ra2 studio - stock.adobe.com
Welche Sicherheitsfunktionen basieren auf Virtualisierung?
Virtualisierung erlaubt neue Sicherheitsfunktionen, die teilweise erst mit Windows Server 2019 eingeführt wurden und die Angriffsfläche von Windows ganz erheblich reduzieren.
Windows-Administratoren müssen die ihnen anvertrauten Systeme kontinuierlich überwachen. Nur so können sie verhindern, dass eine Schwachstelle etwa das gesamte Netzwerk lahmlegt oder dass Eindringlinge Daten stehlen. Für Unternehmen, die sich für den Einsatz von Hyper-V entschieden haben, bietet Microsoft eine zusätzliche Schutzebene mit Sicherheitsmaßnahmen, die auf einer Virtualisierung wesentlicher Komponenten basiert.
So ist es damit etwa möglich, einen Teil des Systemspeichers zu isolieren und zu schützen, in dem sich die gefährdetsten Teile des Betriebssystem-Kernels und des User Modes befinden. Sobald diese Funktion einmal eingerichtet ist, kann sie auch andere Teile des Kernels und des User Modes schützen.
Auf Virtualisierung basierende Sicherheitsmaßnahmen können die Angriffsfläche von Windows zum Teil erheblich reduzieren. Selbst wenn es einem Angreifer gelingt, auf den Kernel zuzugreifen, dann kann der geschützte Bereich die Ausführung von Code und den Zugang zu vertraulichen Daten verhindern.
So lassen sich zum Beispiel auch wertvolle Zugangsdaten schützen. Teilweise können die zusätzlichen Schutzmaßnahmen sogar Malware-Angriffe stoppen, bei denen Kernel-Exploits verwendet werden, um auf sensible Informationen zuzugreifen.
Wichtige Funktionen: Prüfung von Code und Schutz vor Malware
Auf Virtualisierung aufsetzende Sicherheitsmaßnahmen müssen jedoch eingerichtet werden, bevor zum Beispiel weitere Security-Funktionen in Windows Server angepasst werden. Ein Beispiel dafür ist die Funktion Hypervisor-Enforced Code Integrity (HVCI). Sie prüft Code wie er etwa von Treibern verwendet wird und stellt damit sicher, dass Kernel Mode Driver und andere ausführbare Dateien signiert werden müssen, bevor sie in den Speicher geladen werden können. Nicht signierte Dateien werden dagegen geblockt. Dadurch sinkt die Gefahr, dass schädlicher Code ausgeführt wird.
Eine weitere Sicherheitsfunktion, die auf Virtualisierung basiert, ist der Windows Defender Credential Guard. Er verhindert, dass Malware auf Zugangsdaten zugreifen kann. Auch die Fähigkeit virtuelle TPMs (Trusted Platform Modules) für Shielded VMs (virtuelle Maschinen) zu erstellen, gehört zu den erweiterten Möglichkeiten der Virtualisierung.
Mit Windows Server 2019 hat Microsoft die Option erweitert, Shielded VMs zu erstellen. So lässt sich diese Funktion nun nicht mehr nur im Zusammenhang mit der Windows-Plattform nutzen, sondern auch für Linux-Workloads, die unter Hyper-V eingesetzt werden. So soll etwa ein Diebstahl von Daten verhindert werden, wenn eine VM nur statisch genutzt wird oder wenn sie zu einem anderen Hyper-V-Host migriert werden soll.
Eine weitere neue Funktion in Windows Server 2019 nennt sich Host Key Attestation. Damit lassen sich asymmetrische Schlüsselpaare erzeugen, um Hosts zu authentifizieren, die vom Host Guardian Service geschützt werden. Laut Microsoft ermöglicht diese Methode eine einfachere Bereitstellung, da sie kein Trust Management über das Active Directory mehr erfordert.
Welche Voraussetzungen erfordern die neuen Sicherheitsfunktionen?
Es gibt eine Reihe von technischen Anforderungen, die erfüllt werden müssen, wenn Sie die neuen auf Virtualisierung aufsetzenden Sicherheitsmaßnahmen nutzen wollen. Deswegen ist es unumgänglich, zunächst alle Anforderungen für sowohl Hardware, Firmware und Software zu prüfen. Selbst wenn nur eine dieser Voraussetzungen nicht erfüllt werden kann, lassen sich die neuen Funktionen möglicherweise nicht nutzen.
Auf der Hardwareebene benötigen Sie 64-Bit-Prozessoren mit aktivierbaren Erweiterungen für die Virtualisierung (Intel VT-x oder AMD-V). Dazu kommen Second-Level Address Translation (SLAT) wie Extended Page Tables und Rapid Virtualization Indexing. Auch eine I/O-Virtualisierung (Input/Output) muss entweder von Intel VT-d oder AMD-Vi unterstützt werden. Außerdem muss die Serverhardware TPM 2.0 oder neuer bieten.
Die Firmware muss zudem Windows System Management Mode Security Mitigations Tables unterstützen. Das genutzte UEFI-System (Unified Extensible Firmware Interface) muss darüber hinaus fortgeschrittene Funktionen zum Memory Reporting wie die UEFI v2.6 Memory Attributes Tables beherrschen. Ein Support von Secure Memory Overwrite Request v2 sorgt außerdem dafür, dass gefährliche In-Memory-Angriffe nicht mehr möglich sind. Nicht zuletzt müssen auch die eingesetzten Treiber mit allen durch HVCI vorgegebenen Standards kompatibel sein.