Hyper-V mit Bordmitteln schützen
Abschirmdienst
Veröffentlicht in Ausgabe 02/2021 - SCHWERPUNKT
Für den sicheren Betrieb von Hyper-V spielen insbesondere die Hosts und deren Betriebssysteme eine zentrale Rolle. Die einzelnen virtuellen Maschinen (VMs) und die Betriebssysteme auf den VMs müssen natürlich ebenfalls abgesichert werden. Der dritte sicherheitsrelevante Bereich sind die Konfigurationsdateien der einzelnen VMs und von Hyper-V sowie die Systemdienste selbst. Sofern vorhanden, ist der Einsatz eines TPM-Chips auf Hyper-V-Hosts dabei sinnvoll, um so Technologien wie BitLocker und Shielded-VMs nutzen zu können. Als Administratoren sorgen Sie also an verschiedenen Stellen für mehr Sicherheit, und das zum großen Teil mithilfe von Empfehlungen und Vorlagen von Microsoft.
Host und Betriebssystem absichern
Das Minimieren der Angriffsfläche bildet eine wichtige Security-Grundlage und beginnt bereits bei der Installation. Generell ist es empfehlenswert, dass Sie auf Hyper-V-Hosts die Core-Installation von Windows Server 2019 oder neuer verwenden. Dadurch verhindern Sie Angriffe auf die Desktopoberfläche und die darauf installierten Programme. Hier müssen Sie aber bedenken, dass sich auf Core-Servern eine grafische Oberfläche nachträglich installieren lässt.
Falls Sie die grafische Oberfläche doch installieren, sollten Sie hier nicht benötigte Programme und Dienste möglichst entfernen. Standardmäßig ist in Windows Server 2019 zum Beispiel der Windows Media Player aktiv, der jedoch auf produktiven Servern nicht nötig ist. Um den Media Player zu deinstallieren, verwenden Sie:
Für den sicheren Betrieb von Hyper-V spielen insbesondere die Hosts und deren Betriebssysteme eine zentrale Rolle. Die einzelnen virtuellen Maschinen (VMs) und die Betriebssysteme auf den VMs müssen natürlich ebenfalls abgesichert werden. Der dritte sicherheitsrelevante Bereich sind die Konfigurationsdateien der einzelnen VMs und von Hyper-V sowie die Systemdienste selbst. Sofern vorhanden, ist der Einsatz eines TPM-Chips auf Hyper-V-Hosts dabei sinnvoll, um so Technologien wie BitLocker und Shielded-VMs nutzen zu können. Als Administratoren sorgen Sie also an verschiedenen Stellen für mehr Sicherheit, und das zum großen Teil mithilfe von Empfehlungen und Vorlagen von Microsoft.
Host und Betriebssystem absichern
Das Minimieren der Angriffsfläche bildet eine wichtige Security-Grundlage und beginnt bereits bei der Installation. Generell ist es empfehlenswert, dass Sie auf Hyper-V-Hosts die Core-Installation von Windows Server 2019 oder neuer verwenden. Dadurch verhindern Sie Angriffe auf die Desktopoberfläche und die darauf installierten Programme. Hier müssen Sie aber bedenken, dass sich auf Core-Servern eine grafische Oberfläche nachträglich installieren lässt.
Falls Sie die grafische Oberfläche doch installieren, sollten Sie hier nicht benötigte Programme und Dienste möglichst entfernen. Standardmäßig ist in Windows Server 2019 zum Beispiel der Windows Media Player aktiv, der jedoch auf produktiven Servern nicht nötig ist. Um den Media Player zu deinstallieren, verwenden Sie:
dism /online /Disable-Feature /FeatureName:WindowsMediaPlayer /norestart
Zusätzlich sollten auf dem Hyper-V-Host nur die notwendigsten Dienste installiert und gestartet werden. Jede zusätzliche Software erhöht die Angriffsfläche. Generell ist es fast immer besser, zusätzliche Software auf einem anderen Server zu installieren anstatt auf einem Hyper-V-Host, auf dem zahlreiche VMs im Einsatz sind. Das gilt natürlich auch in Bezug auf die Leistung.
Microsoft rät davon ab, produktive VMs für Serveranwendungen über Hyper-V in Windows 10 bereitzustellen. Vor allem in kleinen Netzwerken sind Administratoren versucht, Benutzer an VMs über diesen Weg anzubinden. Das stellt aus Gründen der Sicherheit eine wesentliche Gefahr dar. Hier sollten Sie besser auf den kostenlosen Hyper-V-Server 2019 setzen. Windows 10 als quasi nie wirklich fertiges Betriebssystem eignet sich zwar als Testumgebung mit Hyper-V, aber unter keinen Umständen dazu, Serverdienste in Netzwerken bereitzustellen.
Updates installieren und Lücken schließen
Das Betriebssystem auf dem Hyper-V-Host, die Firmware wie auch die Gerätetreiber sollten immer auf dem neusten Stand sein. Microsoft schließt regelmäßig am monatlichen Patchday kritische Lücken, die auch Hyper-V betreffen. Da auf einem Hyper-V-Host in den meisten Fällen zahlreiche VMs laufen, betrifft eine Sicherheitslücke nicht nur einen Server, sondern gleich mehrere. Der Patchstand auf Hyper-V-Hosts spielt also eine wichtige Rolle.
So hat Microsoft am Patchday im Oktober 2020 beispielsweise eine kritische Lücke in Hyper-V geschlossen. Angreifer konnten aufgrund der Schwachstelle in den VMs Schadsoftware ausführen und dadurch Zugriff auf den Host erlangen. Auf Hyper-V-Servern sollte also nicht nur diese Aktualisierung [1] zeitnah installiert werden. Möglich ist das über WSUS im internen Netzwerk oder direkt über die Windows-Update-Server.
Sicherheitsempfehlungen mit Richtlinien umsetzen
Microsoft gibt als Hersteller von Windows Server Sicherheitsempfehlungen heraus, die Sie als Administrator berücksichtigen sollten. Hierfür bietet sich zum Beispiel das Microsoft Security Compliance Toolkit [2] an. Es enthält Gruppenrichtlinienvorlagen, mit denen Sie Hyper-V-Hosts nach Empfehlungen von Microsoft absichern können. Der Download besteht aus Tools und ZIP-Dateien für die verschiedenen Windows-Versionen. Damit erstellen Sie GPOs für mehr Sicherheit bei Hyper-V-Hosts wie auch VMs.
Mit dem Policy Analyzer aus dem Toolset überprüfen Sie zunächst, ob die Sicherheitseinstellungen auf dem Server überhaupt sinnvoll sind. Anschließend werten Sie auf Basis dieser Analyse aus, ob Sie Einstellungen anpassen müssen, damit diese den Empfehlungen von Microsoft entsprechen. Der Policy Analyzer liest hierfür die Sicherungsdateien der aktuellen GPOs samt deren Einstellungen ein. Ein Bestandteil der erwähnten ZIP-Archive sind Dateien mit der Endung "PolicyRules". Mit diesen vergleichen Sie die vorhandenen Einstellungen mit den Empfehlungen von Microsoft. Dadurch erkennen Sie rasch Sicherheitslücken und fehlende Einstellungen.
Microsoft stellt außerdem im Verzeichnis "Documentation" des ZIP-Archivs eine Excel-Tabelle zur Verfügung, in der alle Einstellungen aufgelistet sind, die sich über die Gruppenrichtlinienvorlagen umsetzen lassen. Unter dem Punkt "Security Template" sind die Sicherheitseinstellungen zu sehen, die mittels der Gruppenrichtlinien adressiert werden. Die Tabelle zeigt die Einstellungen für Mitgliedsserver und Domänencontroller auf Basis von Windows Server 2019. Zusätzlich finden Sie im Verzeichnis "GP Reports" für jede Richtlinie einen Bericht als HTML-Datei. Auf Basis dieser Informationen erstellen Sie entweder neue Richtlinien oder passen vorhandene an.
Um Gruppenrichtlinien auf Basis der von Microsoft empfohlenen Vorlagen zu erstellen, besteht der einfachste Weg zunächst darin, in der Gruppenrichtlinienverwaltung eine neue GPO zu erstellen und die Vorlagen einzulesen. Solange die GPO noch nicht mit einem Container verknüpft ist, werden die Einstellungen auch nicht umgesetzt. Erst bei der Verknüpfung wenden die Server die Einstellungen an. Um die Richtlinieneinstellungen in die neue Richtlinie zu integrieren, wählen Sie über das Kontextmenü der neu erstellten Richtlinie den Befehl "Einstellungen importieren". Über einen Assistenten können Sie die Vorlagen der Empfehlungen von Microsoft importieren. Die Dateien dazu befinden sich im Verzeichnis "GPOs". Mit "Einstellungen anzeigen" sehen Sie die Einstellung der zu importierenden Richtlinie. Hierbei handelt es sich im Grunde genommen aber auch nur um den Bericht, der auch in "GP Reports" zu finden ist.
Zusätzlich zu den Baselines, die Microsoft zur Verfügung stellt, bieten auch Drittanbieter Empfehlungen für den sicheren Betrieb von Windows in Unternehmensnetzwerken. Bekannte Drittanbieter sind die Defense Information System Agency (DISA) [3] und das Center for Internet Security (CIS) [4]. Generell lohnt sich, auch diese Empfehlungen sorgfältig durchzuarbeiten und an die eigenen Anforderungen anzupassen.
Eigene Netzwerke für Hyper-V nutzen
Grundsätzlich sollten Sie Hyper-V-Hosts in getrennten Netzwerken betreiben. Auf dem Server verwenden Sie dabei dedizierte Netzwerkadapter für die Verwaltung des Hyper-V-Hosts und zur Anbindung von VMs. Für den Zugriff über das Netzwerk auf die Konfiguration von VMs sowie auf die Dateien der virtuellen Festplatten sollten Sie auch ein abgesichertes Netzwerk nutzen. Gleiches gilt für die Livemigration.
Generell bietet sich hierbei der Einsatz von IPSec für diese Netzwerke an. Für die Kommunikation mit Dateifreigaben nutzen Sie am besten SMB 3.0 mit Ende-zu-Ende-Verschlüsselung. Man-in-the-Middle-Angriffe lassen sich somit ver- hindern. Durch den Einsatz verschiedener Netzwerke besteht die Möglichkeit, einzelne Bereiche stärker abzusichern. Über die Firewall-Einstellungen können Sie dabei verschiedene Regeln definieren, die den Zugriff auf den jeweiligen Netzwerkadapter beschränken.
Scan mit dem Best Practices Analyzer
Mit Windows Server 2019 erweiterte Microsoft die automatische Überprüfung der Serverrollen durch den Best Practices Analyzer (BPA). Diese gehören zu den Bordmitteln und stehen im Server-Manager auch für die Überprüfung von Serverrollen über das Netzwerk zur Verfügung. Nahezu alle Serverrollen lassen sich dadurch testen und das Ergebnis zentral anzeigen. Der BPA ist für Hyper-V besonders interessant, da sich mit ihm nicht nur lokale Server optimieren lassen, sondern auch virtuelle. Die virtuellen Netzwerk-Switches lassen sich durch den BPA ebenfalls scannen. Um eine Überprüfung für Hyper-V zu starten, verwenden Sie
Invoke-BpaModel -ModelId Microsoft/Windows/Hyper-V
Die Ergebnisse des Scans können Sie in einen bestimmten Pfad umleiten, den Sie allerdings zuvor anlegen müssen:
Invoke-BpaModel -ModelId Microsoft/Windows/Hyper-V -RepositoryPath C:\temp\BPA
Möchten Sie einen Scanvorgang für einen Server im Netzwerk starten, verwenden Sie den Befehl
Invoke-BpaModel -ComputerName dl20 -ModelId Microsoft/Windows/Hyper-V
Im von Ihnen angegebenen Pfad landen die Ergebnisdateien im XML-Format, in Unterverzeichnisse sortiert nach Serverrolle und Server. Diese lassen sich damit auch im Browser oder durch andere Programme auslesen. Die Scanergebnisse werden dabei auf dem lokalen Server gespeichert – auch dann, wenn Sie einen Hyper-V-Host über das Netzwerk scannen. Möchten Sie beispielsweise in der PowerShell alle Scanergebnisse für Hyper-V anzeigen, verwenden Sie
Get-BpaResult -ModelId Microsoft/Windows/Hyper-V
Haben Sie die Ergebnisse in einem bestimmten Verzeichnis gespeichert, hilft dieser Befehl:
Get-BpaResult -ModelId Microsoft/Windows/Hyper-V -RepositoryPath C:\temp\BPA
Die Ergebnisse können Sie auch in eine HTML-Datei exportieren mit
Get-BpaResult -ModelId Microsoft/Windows/Hyper-V | ConvertTo-Html | Out-File C:\temp\BPA\results.htm
Natürlich stehen Ihnen die Resultate auch in der GUI zur Verfügung. Haben Sie die BPA-Überprüfung gestartet, sehen Sie auf den einzelnen Kacheln im Server-Manager die Ergebnisse. Diese lassen sich durch einen Klick auf die Kachel öffnen. Klicken Sie auf das Ergebnis der BPA-Überprüfung, zeigt der Server-Manager die gefundenen Fehler an. Hierüber sehen Sie auch alle Fehler von allen Servern im Netzwerk.
Über das Kontextmenü eines Ergebnisses können Sie eine erneute Überprüfung für den entsprechenden Server starten, das Ergebnis ausblenden oder es in die Zwischenablage kopieren, zum Beispiel für eine Recherche im Internet. Die BPA-Ergebnisse finden sich zudem in der Ansicht "Lokaler Server" und "Alle Server" im Bereich "Best Practices Analyzer" im Server-Manager. Wird für eine Serverrolle auf einem der Server ein BPA-Ergebnis angezeigt, wechselt die Kachel die Farbe. Auf diese Weise erkennen Sie sofort, wenn für einen Server Verbesserungen möglich sind. Durch das Ausschließen eines Ergebnisses lassen sich die einzelnen Meldungen bei Bedarf deaktivieren. Über die Ansicht im BPA können Sie bei Schweregrad, Server und Kategorien das Ergebnis auch filtern lassen.
Defender Credential Guard und Shielded-VMs
Um Hyper-V weiter abzusichern empfiehlt Microsoft darüber hinaus die Nutzung erweiterter Sicherheitstechnologien. Auf Hyper-V-Servern sollten Sie den Betrieb von Windows Defender Credential Guard [5] in Betracht ziehen. Dieser nutzt eine virtualisierungsbasierte Sicherheit, um Credentials zu schützen. Dadurch kann nur definierte Systemsoftware auf derlei Daten zugreifen und NTLM-Kennwort-Hashes, Kerberos-Tickets sowie Domänenanmeldeinformationen sind geschützt. Die Konfiguration erfolgt über Richtlinien.
Hyper-V-Hosts sollten Sie ferner als Guarded-Fabric betreiben, die VMs verschlüsseln und als Shielded-VM nutzen. Dadurch erreichen Sie deutlich mehr Sicherheit im Netzwerk, auch wenn die Konfiguration etwas komplexer ausfällt.
Schon seit Windows Server 2016 erhöht Microsoft durch den Host Guardian Service (HGS) die Sicherheit von VMs. Virtuelle Server lassen sich in Hyper-V härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Ausgesperrte Administratoren dürfen bestimmte VMs zwar noch steuern, also beenden oder starten, haben aber keinen Zugriff mehr auf die Daten der VM. Das gilt natürlich auch für unberechtigte Anwender oder Malware. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für gesicherte VMs dar.
Der HGS stellt hierfür sicher, dass VMs in Hyper-V besser voneinander getrennt sind. Kompromittiert ein Angreifer oder eine Malware eine VM, verhindert dieser Dienst den Übergriff beziehungsweise die Ausbreitung auf weitere VMs. Zusätzlich unterstützt der Service auch die Verschlüsselung und ermöglicht so das Absichern von VMs auf vielfältigen Wegen. So lassen sich die Festplatten mit BitLocker verschlüsseln, der Zugriff auf die Konsole einschränken und festlegen, auf welchen Hyper-V-Hosts eine gesicherte VM starten darf.
Sie können mit dem HGS Hyper-V-Server unter Windows Server 2016 und 2019 in der Datacenter-Edition schützen. Ältere Versionen oder Windows Server 2019 in der Standard-Edition lassen sich nicht mit HGS absichern. In den VMs haben Sie wiederum die Möglichkeit, neben Windows Server 2016 und 2019 auch 2012 sowie 2012 R2 zu betreiben. Windows Server 2019 Datacenter sowie der kostenlose Hyper-V-Server 2019 unterstützen Shielded-VMs auch mit Linux. In Windows Server 2016 lassen sich diese verschlüsselten VMs nur mit Windows Server 2016 verwenden. Neben dieser Neuerung hat Microsoft die Technik der Shielded-VMs weiter verbessert. Diese starten dank des Offline-Modus jetzt auch, wenn der HGS nicht kontaktiert werden kann.
Um Shielded-VMs zu nutzen, benötigen Sie zunächst einen Server beziehungsweise Cluster mit dem Host Guardian Service. Auf den zu schützenden Hyper-V-Hosts müssen Sie neben Hyper-V noch das Server-Feature "Hyper-V-Unterstützung durch Host Guardian" installieren. Dieses erweitert die Funktionen von Hyper-V um Möglichkeiten, Shielded-VMs zu betreiben.
Außerdem müssen Sie bei der Installation des Hyper-V-Hosts sowie der Anbindung an den Host Guardian Service die Remoteserver-Verwaltungstools für Shielded-VMs installieren. Diese tragen die Bezeichnung "Abgeschirmte VM-Tools" und werden nicht automatisch auf Hyper-V-Hosts aufgespielt, sondern sind immer manuell einzurichten.
Neue Shielded-VMs erstellen Sie mit dem Typ "Generation 2". Bei der Absicherung durch den HGS kommt ein virtueller TPM-Chip (vTPM) zum Einsatz. Dazu bietet sich auch das Add-VMTPM- Cmdlet in der PowerShell an. Die notwendigen Werkzeuge, um Hyper-V mit dem Host Guardian Service zu verbinden, können Sie auch einfach in der PowerShell installieren:
Install-WindowsFeature -Name HostGuardian
Install-WindowsFeature -Name RSAT-Shielded-VM-Tools
Install-WindowsFeature -Name FabricShieldedTools
Die Absicherung von Hyper-V-Hosts erfolgt dann zum Beispiel über die Mitgliedschaft in einer Active-Directory-Gruppe, wenn Sie nicht auf UEFI und TPM setzen. Wenn Sie nicht wissen, ob ein Host bereits mit einem HGS-Server verbunden ist, können Sie das mit den folgenden Cmdlets überprüfen:
Get-WindowsFeature HostGuardian
Get-HgsClientConfiguration
Verschlüsselung ohne Shielded-VMs durchführen
Wer die virtuellen Festplatten seiner VMs verschlüsseln will, muss nicht unbedingt auf Shielded-VMs setzen. Seit Windows Server 2016 lassen sich auch virtuelle Trusted Platform Modules (TPM) zu VMs hinzufügen. Dazu steht in den Eigenschaften von VMs der Menüpunkt "Sicherheit" zur Verfügung. Durch Betätigen der Funktion "Trusted Platform Module aktivieren" steht in der VM ein virtuelles TPM bereit, das sich für die Verschlüsselung von BitLocker nutzen lässt. VMs, die auf Basis von BitLocker mit einem vTPM verschlüsselt werden, können Sie jederzeit in eine Guarded Fabric mit Shielded-VMs integrieren. Auch eine Livemigration ist möglich. Wichtig ist dabei, dass es sich bei der VM um eine Generation-2-VM handelt. Neben dem Hyper-V-Manager lassen sich die Einstellungen auch in der PowerShell vornehmen:
Enable-VMTPM -VMname <Name>
aktiviert die Technik, und mit
Disable-VMTPM -VMName <Name>
wird sie deaktiviert. Das TPM wird im Gerätemanager der VM unter "Sicherheitsgeräte" angezeigt. Durch Auswahl von "tpm.msc" können Sie das Modul initialisieren und einrichten.
Zugriffsberechtigungen und Antivirus
Administratoren von VMs benötigen keinen administrativen Zugriff auf das Host-Betriebssystem. Aus diesem Grund sollten Sie die Berechtigungen für Administratoren auf Hyper-V-Hosts anpassen. Admins, die nicht den Host verwalten müssen, benötigen auch keine administrativen Zugriffe auf das Betriebssystem des Hosts. Es reicht generell aus, wenn Hyper-V-Administratoren nur Mitglied in der Gruppe "Hyper-V-Administratoren" auf dem Server sind. Auch auf Hyper-V-Hosts sollte ferner ein Virenschutz installiert sein. Dabei sind allerdings Ausschlüsse in Sachen Malware-Scans sinnvoll. Beim Einsatz von Microsoft Defender ist das automatisch der Fall, viele andere Scanner unterstützen Hyper-V ebenfalls. Um die Ausnahmen auszuschalten, geben Sie folgenden Befehl ein:
Set-MpPreference -DisableAutoExclusions $true
Generell sollten Sie jedoch darauf achten, dass die notwendigen Komponenten von Hyper-V überwacht werden, aber nicht unnötige Bereiche oder sogar Dienste und Verzeichnisse, die zu Leistungsproblemen führen können. Hier scannt Windows Defender folgende Dateitypen nicht: VHD, VHDX, AVHD, AVHDX, VSV, ISO, RCT, VMCX und VMRS. Zusätzlich nehmen Sie folgende Verzeichnisse vom Scan aus:
- %ProgramData%\Microsoft\Windows\Hyper-V
- %ProgramFiles%\Hyper-V
- %SystemDrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots
- %Public%\Documents\Hyper-V\Virtual Hard Disks
Besonders wichtig sind darüber hinaus die folgenden Prozesse:
- %systemroot%\System32\Vmms.exe
- %systemroot%\System32\Vmwp.exe
Weitere Informationen zu Ausschlüssen finden Sie unter "Empfohlene Antiviren-Ausschlüsse für Hyper-V-Hosts" [6].
Gefahr durch fremde VHDs und Nested Virtualization
Eigentlich schon eine Selbstverständlichkeit: Auf Hyper-V-Hosts sollten Sie keinesfalls fremde VHDs mounten. Dabei besteht die Gefahr von Angriffen auf Dateisystemebene. Auch VMs sollten Sie nicht mit unbekannten VHDs bereitstellen. Hier führen Sie zunächst ausführliche Tests durch, bevor Sie VHDs von anderen Anbietern für eine VM auf einem Host implementieren. Wenn es notwendig ist, spielen Sie fremde VHDs zunächst auf Testservern ein und überprüfen diese dort auf Schadsoftware oder verdächtige Aktionen.
Daneben empfiehlt Microsoft generell, die verschachtelte (nested) Virtualisierung auf Hyper-V-Hosts nicht zu nutzen. Ansonsten könnten Administratoren von VMs mit aktivierter Virtualisierung selbst VMs erstellen, die wiederum eine Gefahr und Belastung für den Hyper-V-Host darstellen. Die verschachtelte Virtualisierung sollte nur für absolut notwendige Szenarien umgesetzt werden, und das idealerweise unter stark beobachteten Umgebungen.
Für eine noch höhere Sicherheit empfiehlt Microsoft, möglichst Generation 2-VMs für unterstützte Betriebssysteme zu nutzen. In den VMs sollten Sie zudem Secure Boot (sicherer Start) aktivieren. Dies verhindert, dass unautorisierter Code mit dem Betriebssystem startet, ohne zuvor von einem Virenscanner überprüft zu werden. Die Funktion steht auch für Linux-Server zur Verfügung, wenn die Distribution Generation-2-VMs in Hyper-V unterstützt. Die Einstellungen dazu finden Sie in den Eigenschaften einer VM unter dem Punkt "Sicherheit". Hier aktivieren Sie bei Generation-2-VMs den sicheren Start, wählen die Vorlage aus und aktivieren auf Anforderung auch den TPM in der VM sowie die Abschirmung.
Die Möglichkeiten für sichere Generation-2-VMs erläutert Microsoft auf der Seite "Generation 2 virtual machine security settings for Hyper-V" [7]. Wie beim Hyper-V-Host auch sollten Sie die VMs immer möglichst aktuell halten, das gilt vor allem für Sicherheitsupdates. Die Integrationsdienste für die unterstützten Gastbetriebssysteme spielen Sie am besten ebenfalls ein. Die Aktualisierung erfolgt auch hier über Windows Update.
Hochverfügbarkeit in Windows Server 2019
Nicht zuletzt ist auch die Verfügbarkeit von Diensten ein Sicherheitsaspekt. Mit Hyper-V-Replica lassen sich in Windows Server 2019 virtuelle Festplatten und ganze Server asynchron zwischen verschiedenen Hyper-V-Hosts im Netzwerk replizieren und synchronisieren. Die Replikation findet über das Dateisystem statt, ein Cluster ist nicht notwendig.
Die Replikation ist manuell, automatisiert oder nach einem Zeitplan durchführbar. Die Einrichtung nehmen Sie über einen Assistenten im Hyper-V-Manager vor. Außerdem ist die Livemigration von virtuellen Servern ohne Cluster möglich. Damit Hyper-V-Hosts die Replikation zulassen, müssen Sie diese zunächst aktivieren. Auch eine Replikation zum kostenlosen Hyper-V Server 2019 ist möglich. Den entsprechenden Vorgang steuern Sie über einen Assistenten, den Sie über das Kontextmenü von virtuellen Servern im Hyper-V-Manager starten.
Fazit
Es gibt viele Wege, um die Sicherheit von Hyper-V-Hosts und -VMs zu verbessern. Bevor Sie auf kostenpflichtige Zusatztools und erweiterte Sicherheitsmaßnahmen setzen, sollten Sie die internen Möglichkeiten von Windows Server ausschöpfen. Microsoft stellt Anleitungen zur Verfügung, mit denen Sie Hyper-V-Hosts grundsätzlich sicherer betreiben. Mit dem Best Practices Analyzer überprüfen Sie zudem, ob es in Hyper-V Probleme gibt, die mit wenigen Schritten zu beheben sind.
(dr)
Link-Codes
[1] Schließen der Lücke CVE-2020-16891: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16891/
[2] Microsoft Security Compliance Toolkit: https://www.microsoft.com/en-us/download/details.aspx?id=55319/
[3] Defense Information System Agency: https://www.disa.mil/
[4] Windows-Sicherheit nach Center for Internet Security: https://www.cisecurity.org/benchmark/microsoft_windows_server
[5] Windows Defender Credential Guard: https://docs.microsoft.com/de-de/windows/security/identity-protection/credential-guard/credential-guard/
[6] Empfohlene Antiviren-Ausschlüsse für Hyper-V-Hosts: https://docs.microsoft.com/en-us/troubleshoot/windows-server/virtualization/antivirus-exclusions-for-hyper-v-hosts/
[7] Generation-2-Sicherheitseinstellungen für VMs: https://github.com/MicrosoftDocs/windowsserverdocs/blob/master/WindowsServerDocs/virtualization/hyper-v/learn-more/Generation-2-virtual-machine-security-settings-for-Hyper-V.md/