Production Perig - stock.adobe.c

Windows Server 2019: Mit Shielded-VMs Daten besser schützen

Mit Windows Server 2016 hat Microsoft die Funktion eingeführt, um VMs und deren Daten vor unberechtigten Anwendern zu schützen. In Windows Server 2019 wird die Technik verbessert.

Virtuelle Server lassen sich in Hyper-V abschotten und schützen. So kann zum Beispiel verhindert werden, dass unbefugte Personen Zugriff auf die Daten einer VM (virtuelle Maschine) nehmen, diese kopieren und die VM auf einem anderen Server starten. Das ist mit Shielded-VMs nicht möglich. Auf Servern mit einer Konfiguration in deutscher Sprache werden diese virtuellen Maschinen auch als abgeschirmte VMs bezeichnet.

Ein Rechtemodell für den Zugriff kann auf diesem Weg ebenfalls umgesetzt werden. Administratoren dürfen virtuelle Maschinen zwar steuern, also beenden oder starten, haben aber keinen Zugriff auf die Daten in der VM. Zentraler Bestandteil dieser Struktur ist der Host Guardian Service (HGS). Er bietet auch Verschlüsselungstechnologien und ermöglicht das Absichern von VMs auf verschiedenen Wegen. So lassen sich die Festplatten der VMs zusätzlich noch mit BitLocker verschlüsseln, der Zugriff auf die Verwaltungskonsole einschränken und festlegen, auf welchen Hyper-V-Host eine gesicherte VM starten darf.

In den abgesicherten VMs können, neben Windows Server 2016/2019, auch Windows Server 2012/2012 R2 betrieben werden. Windows Server 2019 Datacenter, auch der kostenlose Hyper-V-Server 2019können Shielded-VMs zusammen mit Linux nutzen. Shielded VMs können in Windows Server 2019 auch starten, wenn der HGS nicht kontaktiert werden kann. Dazu gibt es den Offline-Modus.

VMs können über den Host Guardian Service auch verschlüsselte Festplatten nutzen, auch mit vTPM. Dazu setzt Windows Server 2019 auf BitLocker. VMs lassen sich vom non-Shielded-Modus in den Shielded-Modus versetzen. Dabei gehen keine Daten verloren, und es muss auch keine Neuinstallation erfolgen. Der Datenverkehr zur Live-Migration lässt sich mit HGS ebenfalls absichern.

Verbesserte Shielded VMs in Windows Server 2019

Unternehmen können in Windows Server 2019 abgeschirmte virtuelle Maschinen auf Maschinen mit intermittierender Konnektivität zum Host Guardian Service ausführen. Dazu werden die neuen Funktionen Fallback-HGS- und Offline-Modus genutzt.

Mit dem VMConnect Enhanced Session Mode und PowerShell Direct ist für die VMs in Windows Server 2019 eine bessere Verwaltung von Shielded-VMs verfügbar. Diese Tools sind notwendig, wenn die Netzwerkverbindung zu VMs unterbrochen wurde, aber die Konfiguration aktualisiert werden muss. Diese Funktionen sind automatisch verfügbar, wenn eine abgeschirmte VM auf einem Hyper-V-Host mit Windows Server 2019 betrieben wird.

Windows Server 2019 unterstützt die Ausführung von Ubuntu, Red Hat Enterprise Linux und SUSE Linux Enterprise Server auf abgeschirmten virtuellen Maschinen. Der Attestation-Mode des Host Guardian Services kann in Windows Server 2019 im laufenden Betrieb angepasst werden. Der Attestation-Mode legt fest, wie die geschützten Hyper-V-Hosts in der Infrastruktur authentifiziert werden. Microsoft unterstützt hier die Authentifizierung mit einem TPM-Chip (Hardware-Attestation) oder der Mitgliedschaft in einem Active Directory.

Installation von Shielded-VMs als Serverrolle

Die Funktionen zur Absicherung von VMs werden über eine Serverrolle installiert. Ein Host-Guardian-Service wird von Hyper-V getrennt installiert. Auch die Unterstützung der einzelnen Hosts für diesen Dienst muss auf Hyper-V-Hosts gesondert installiert werden. Der Cluster oder Server auf dem der Host Guardian Service installiert wird, schützt die Guarded Hosts. Auf den Guarded Hosts werden wiederum die Shielded-VMs betrieben.

Abbildung 1: Es gilt zunächst den Host Guardian Service auf einem Server zu installieren.
Abbildung 1: Es gilt zunächst den Host Guardian Service auf einem Server zu installieren.

Nicht geschützte VMs tragen die Bezeichnung „non-Shielded VMs“, während die abgesicherten VMs als Shielded oder auch abgeschirmte/geschützte VMs bezeichnet werden. Microsoft empfiehlt den Aufbau eines Clusters, beziehungsweise den Betrieb von mindestens drei physischen Hosts mit dem Host Guardian Service. Nur dadurch ist sichergestellt, dass der Dienst immer hochverfügbar zur Verfügung steht, und Shielded-VMs auch dann starten können, wenn ein Host-Guardian-Service-Server ausfällt. Shielded-VMs lassen sich auf Guarded Hosts nur dann starten, wenn der dazugehörige Host Guardian Service verfügbar ist. Mit dem Offline-Modus des HGS in Windows Server 2019 lässt sich dieser Vorgang eine Zeitlang überbrücken.

Neben dem Server-Manager und dem Windows Admin Center kann auch die PowerShell für die Installation des der Host Guardian Service verwendet werden: 

Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -Restart

Verbindung zwischen Host Guardian Service und Guarded Hosts

Um Shielded VMs zu nutzen, wird zunächst der Host Guardian Service benötigt. Auf den Hyper-V-Hosts muss außerdem neben Hyper-V noch das Serverfeature „Hyper-V-Unterstützung durch Host Guardian“ installiert werden.

Außerdem müssen die Remoteserver-Verwaltungs-Tools für Shielded-VMs installiert werden. Diese tragen die Bezeichnung „Abgeschirmte VM-Tools“. Neue Shielded-VMs müssen mit dem Typ Generation 2 erstellt werden. Bei der Absicherung durch den Host Guardian Service wird ein virtueller TPM-Chip (vTPM) eingebunden. Die notwendigen Tools, um Hyper-V mit dem Host Guardian Service zu verbinden, können auch in der PowerShell installiert werden:

Install-WindowsFeature -Name HostGuardian

Install-WindowsFeature -Name RSAT-Shielded-VM-Tools

Install-WindowsFeature -Name FabricShieldedTools

Um zu überprüfen, ob ein Host mit einem HGS-Server verbunden ist, wird am besten die PowerShell verwendet. Hier stehen die beiden folgenden Cmdlets zur Verfügung:

Get-WindowsFeature HostGuardian

Get-HgsClientConfiguration

Abbildung 2: Die Hyper-V-Erweiterung für die Unterstützung von Shielded-VMs muss ebenfalls installiert werden.
Abbildung 2: Die Hyper-V-Erweiterung für die Unterstützung von Shielded-VMs muss ebenfalls installiert werden.

Host Guardian Service einrichten

Für die Einrichtung des HGS wird ebenfalls am besten die PowerShell verwendet. Hierüber kann auch eine eigene Gesamtstruktur erstellt werden:

Install-HgsServer -HgsDomainName „hostgs.com“ -SafeModeAdministratorPassword (read-host -prompt Kennwort -assecurestring) -Restart

In produktiven Umgebungen ist es besser, wenn ein Zertifikat aus den Active-Directory-Zertifikatsdiensten verwendet wird. Nach der erfolgreichen Einrichtung muss sichergestellt sein, dass die Namensauflösung zwischen den beiden Active Directory-Gesamtstrukturen funktioniert. Außerdem muss eine Vertrauensstellung zwischen HGS-AD und dem produktiven Active Directory eingerichtet werden. Die erfolgreiche Anmeldung wird auf dem Guarded Host durchgeführt:

Get-HgsClientConfiguration

Auf dem HGS-Server wird die Konfiguration des Host Guardian Services mit folgenden Befehlen getestet:

Get-HgsTrace -RunDiagnostics

Test-HGSServer -HgsDomainName <HGS-Domäne>

Get-HgsServer

Get-HgsAttestationPolicy

Shielded-VMs erstellen

Für das Erstellen einer Shielded-VM wird eine Vorlage für Shielded-VMs sowie eine PDK-Datei benötigt, welche alle Daten des Guarded Hosts und seine Zertifikate enthält. Auch bei der Verwendung von System Center Virtual Machine Manager 2019 muss zuerst eine Vorlage für Shielded-VMs erstellt werden.

Nächste Schritte

Erste Schritte mit Hyper-V Server 2019

Hyper-V: Shielded-VMs und Host Guardian Service

Hyper-V-Umgebungen richtig schützen

Erfahren Sie mehr über Server- und Desktop-Virtualisierung