Hyper-V mit Bordmitteln schützen

Für den sicheren Betrieb von Hyper-V spielen insbesondere die Hosts und deren Betriebssysteme eine zentrale Rolle. Die einzelnen virtuellen Maschinen (VMs) und die Betriebssysteme auf den VMs müssen natürlich ebenfalls abgesichert werden. Der dritte sicherheitsrelevante Bereich sind die Konfigurationsdateien der einzelnen VMs und von Hyper-V sowie die Systemdienste selbst. Sofern vorhanden, ist der Einsatz eines TPM-Chips auf Hyper-V-Hosts dabei sinnvoll, um so Technologien wie BitLocker und Shielded-VMs nutzen zu können. Als Administratoren sorgen Sie also an verschiedenen Stellen für mehr Sicherheit, und das zum großen Teil mithilfe von Empfehlungen und Vorlagen von Microsoft.

Host und Betriebssystem absichern

Das Minimieren der Angriffsfläche bildet eine wichtige Security-Grundlage und beginnt bereits bei der Installation. Generell ist es empfehlenswert, dass Sie auf Hyper-V-Hosts die Core-Installation von Windows Server 2019 oder neuer verwenden. Dadurch verhindern Sie Angriffe auf die Desktopoberfläche und die darauf installierten Programme. Hier müssen Sie aber bedenken, dass sich auf Core-Servern eine grafische Oberfläche nachträglich installieren lässt.

Falls Sie die grafische Oberfläche doch installieren, sollten Sie hier nicht benötigte Programme und Dienste möglichst entfernen. Standardmäßig ist in Windows Server 2019 zum Beispiel der Windows Media Player aktiv, der jedoch auf produktiven Servern nicht nötig ist. Um den Media Player zu deinstallieren, verwenden Sie:

dism /online /Disable-Feature /FeatureName:WindowsMediaPlayer /norestart

Zusätzlich sollten auf dem Hyper-V-Host nur die notwendigsten Dienste installiert und gestartet werden. Jede zusätzliche Software erhöht die Angriffsfläche. Generell ist es fast immer besser, zusätzliche Software auf einem anderen Server zu installieren anstatt auf einem Hyper-V-Host, auf

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.