Hyper-V mit Bordmitteln schützen

Abschirmdienst

Um Hyper-V abzusichern, bietet Microsoft über die Bordmittel verschiedene Möglichkeiten. So lässt sich mit den richtigen Einstellungen und kleineren Werkzeugen die Sicherheit in virtuellen Umgebungen schon wesentlich erhöhen. In diesem Beitrag zeigen wir, an welchen Stellschrauben Sie für eine bessere Abschirmung Ihrer virtuellen Maschinen drehen müssen.
Virtualisierung sorgt für deutlich mehr Flexibilität in der IT. Doch wollen auch virtuelle Umgebungen richtig abgesichert sein. Im Februar beleuchtet ... (mehr)

Für den sicheren Betrieb von Hyper-V spielen insbesondere die Hosts und deren Betriebssysteme eine zentrale Rolle. Die einzelnen virtuellen Maschinen (VMs) und die Betriebssysteme auf den VMs müssen natürlich ebenfalls abgesichert werden. Der dritte sicherheitsrelevante Bereich sind die Konfigurationsdateien der einzelnen VMs und von Hyper-V sowie die Systemdienste selbst. Sofern vorhanden, ist der Einsatz eines TPM-Chips auf Hyper-V-Hosts dabei sinnvoll, um so Technologien wie BitLocker und Shielded-VMs nutzen zu können. Als Administratoren sorgen Sie also an verschiedenen Stellen für mehr Sicherheit, und das zum großen Teil mithilfe von Empfehlungen und Vorlagen von Microsoft.

Host und Betriebssystem absichern

Das Minimieren der Angriffsfläche bildet eine wichtige Security-Grundlage und beginnt bereits bei der Installation. Generell ist es empfehlenswert, dass Sie auf Hyper-V-Hosts die Core-Installation von Windows Server 2019 oder neuer verwenden. Dadurch verhindern Sie Angriffe auf die Desktopoberfläche und die darauf installierten Programme. Hier müssen Sie aber bedenken, dass sich auf Core-Servern eine grafische Oberfläche nachträglich installieren lässt.

Falls Sie die grafische Oberfläche doch installieren, sollten Sie hier nicht benötigte Programme und Dienste möglichst entfernen. Standardmäßig ist in Windows Server 2019 zum Beispiel der Windows Media Player aktiv, der jedoch auf produktiven Servern nicht nötig ist. Um den Media Player zu deinstallieren, verwenden Sie:

dism /online /Disable-Feature /FeatureName:WindowsMediaPlayer /norestart

Zusätzlich sollten auf dem Hyper-V-Host nur die notwendigsten Dienste installiert und gestartet werden. Jede zusätzliche Software erhöht die Angriffsfläche. Generell ist es fast immer besser, zusätzliche Software auf einem anderen Server zu installieren anstatt auf einem Hyper-V-Host, auf

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021