ADMIN

2022

02

2022-01-30T12:00:00

Cloudmanagement

PRAXIS

038

Windows Server 2022

Security

Security-Funktionen in Windows Server 2022

Feinarbeiten

von Thomas Joos

Veröffentlicht in Ausgabe 02/2022 - PRAXIS

Mit Windows Server 2022 ergänzt Microsoft sein Server-Betriebssystem auch um neue Sicherheitsfunktionen. Es handelt sich zwar nicht um weltbewegende Änderungen, doch mit Secured Core, DNS-over-HTTPs, TLS 1.3 und HCI gibt es Neuerungen, die Admins beim sicheren Betrieb des Servers unterstützen.

Spektakuläre Änderungen sind im Vergleich zu Windows Server 2019 zwar kaum enthalten, aber in der Summe der Verbesserungen ist Windows Server 2022 sicherer im Betrieb als Windows Server 2019 und seine Vorgänger. Das jüngste Release bietet zum Beispiel neue Group Managed Service Accounts (gMSA) für Windows-Container, ohne den Host in die Domäne aufnehmen zu müssen. Das erhöht die Sicherheit für Container-Hosts, die kein Bestandteil des Active Directory sein sollen.
Wer Windows Server 2022 in Microsoft Azure bereitstellt, kann Images auswählen, auf denen Azure-Sicherheitsrichtlinien automatisch aktiviert sind. Das verdeutlicht den Fokus, den Microsoft bei seinem neuen Betriebssystem auf die Sicherheit legt. Hierbei spielt auch das Ersetzen des betagten Internet Explorer auf Servern eine Rolle. Windows Server 2022 kommt auch in der Core-Installation mit dem modernen Edge-Browser, der standardmäßig vorinstalliert ist.
Dazu kommt die neue Security Baseline von Microsoft für Windows Server 2022. Diese ermöglicht mit zusätzlichen Sicherheitseinstellungen und -empfehlungen über Gruppenrichtlinien ebenfalls einen verbesserten Schutz. Im Zusammenspiel mit Windows 11 bietet Win­dows Server 2022 daher mehr Sicherheit als die Kombination Windows 10 und Windows Server 2019. Es lohnt sich also, die Möglichkeiten dieser Neuerungen genauer anzuschauen.
Spektakuläre Änderungen sind im Vergleich zu Windows Server 2019 zwar kaum enthalten, aber in der Summe der Verbesserungen ist Windows Server 2022 sicherer im Betrieb als Windows Server 2019 und seine Vorgänger. Das jüngste Release bietet zum Beispiel neue Group Managed Service Accounts (gMSA) für Windows-Container, ohne den Host in die Domäne aufnehmen zu müssen. Das erhöht die Sicherheit für Container-Hosts, die kein Bestandteil des Active Directory sein sollen.
Wer Windows Server 2022 in Microsoft Azure bereitstellt, kann Images auswählen, auf denen Azure-Sicherheitsrichtlinien automatisch aktiviert sind. Das verdeutlicht den Fokus, den Microsoft bei seinem neuen Betriebssystem auf die Sicherheit legt. Hierbei spielt auch das Ersetzen des betagten Internet Explorer auf Servern eine Rolle. Windows Server 2022 kommt auch in der Core-Installation mit dem modernen Edge-Browser, der standardmäßig vorinstalliert ist.
Dazu kommt die neue Security Baseline von Microsoft für Windows Server 2022. Diese ermöglicht mit zusätzlichen Sicherheitseinstellungen und -empfehlungen über Gruppenrichtlinien ebenfalls einen verbesserten Schutz. Im Zusammenspiel mit Windows 11 bietet Win­dows Server 2022 daher mehr Sicherheit als die Kombination Windows 10 und Windows Server 2019. Es lohnt sich also, die Möglichkeiten dieser Neuerungen genauer anzuschauen.
Passgenaue Hardware: Secured Core
Mit Windows Server 2022 führt Microsoft den Secured-Core-Server ein. Dabei handelt es sich, einfach ausgedrückt, um den Sicherheitsstandard eines Windows-Servers, bei dem das Betriebssystem optional die Hardwarefunktionen für mehr Sicherheit nutzt und umgekehrt die Hardware eines Servers passgenau auf Windows Server 2022 ausgelegt ist. Mit Secured-Core-Server erhalten Unternehmen eine stimmige Kombination aus Hardware, Treiber, Software und Windows Server 2022.
Secured Core nutzt die Sicherheitsfunktionen HVCI, Boot DMA Protection, System Guard, Secure Boot, Virtual Based Security, VBS und TPM 2.0. Diese Technologien müssen auf dem Server vorhanden und auch aktiviert sein. Kunden, die einen Secured-Core-Server erwerben, erhalten in Zusammenarbeit mit einem Hardwarehersteller auch Serverhardware, die mit den Funktionen umgehen kann.
Wenn Windows Server 2022 noch nicht für die Unterstützung der Secured-Core-Funktionen konfiguriert ist, lassen sich die Features zentral im Windows Admin Center (WAC) einrichten. Hier sind die einzelnen Punkte zu sehen, die für Windows Server 2022 als Secured-Core-Server notwendig sind und auch die Aktivierung der Sicherheitsfunktionen ist an dieser Stelle möglich.
Um Secured Core im Bereich der Hardware zu verwalten, ist die neue Version der Erweiterung "Security" für das WAC notwendig. Diese bringt einen neuen Menüpunkt mit der Bezeichnung "Secured Core" mit. Hier ist zu sehen, ob die Hardware die einzelnen Funktionen unterstützt und ob diese auch in Windows Server 2022 aktiviert sind. Damit Ihnen die Erweiterung angezeigt wird, tragen Sie in den Einstellungen des Admin Centers bei "Erweiterungen" und "Feeds" den Feed mit der Adresse "https://aka.ms/wac-insiders-feed" ein. Danach sollten die Erweiterungen aktualisiert und die neue Version von "Security" verwendet werden.
Unterstützt die Hardware des Servers einzelne Bereiche für Secured Core nicht oder sind diese im UEFI/BIOS nicht aktiviert, zeigt das WAC die Meldung "Not supported" an. Unterstützt die Hardware die jeweilige Funktion für Secured Core, bekommen Sie hier "Not configured" angezeigt für den Fall, dass die Funktion zwar im Server verbaut, aber nicht aktiv ist. Im WAC lassen sich diese Funktionen anschließend mit "Enable" einschalten und konfigurieren, falls nötig. Praktisch: Beim Überfahren mit dem Mauszeiger erläutert das Windows Admin Center die genaue Bedeutung der Sicherheitsfunktion.
Sichere Namensauflösung: DNS-over-HTTPs
Eine weitere Neuerung in Windows Server 2022 ist die Unterstützung von DNS-over-HTTPs (DoH) auf Clientseite. Diese Neuerung ist auch in Windows 11 integriert. Die Konfiguration dazu nehmen Sie in der Einstellungs-App von Windows Server 2022 und Windows 11 im Bereich "Netzwerk und Internet" unter "Ethernet" vor. In den Settings des Netzwerkadapters sind die Optionen bei "DNS-Einstellungen" und "Bearbeiten" zu finden.
Die Einstellungen lassen sich auch über Gruppenrichtlinien definieren. Die Anpassungen dazu nehmen Sie unter "Computerkonfiguration / Administrative Vorlagen / Netzwerk / DNS-Client / Namensauflösung von DNS über HTTP (DoH) konfigurieren" vor. Beachten Sie jedoch: Wenn Sie DoH in Win­dows Server 2022 über Gruppenrichtlinien aktivieren, aber die verwendeten DNS-Server kein DoH unterstützen, funktioniert die Namensauflösung nicht mehr.
Bei der verschlüsselten Verbindung zwischen DNS-Client und DNS-Server werden die Abfragen vor Angriffen geschützt. Allerdings unterstützt Windows Server 2022, genauso wie Windows 11, DoH nur als Client. So ist Windows Server 2022 nicht in der Lage, als sicherer DoH-Server zu fungieren. In den Einstellungen gibt es drei Möglichkeiten, um Clients mit DNS-Servern zu verbinden:
- Nur unverschlüsselt: Der Client mit Windows 11 und Windows Server 2022 nutzt keine Verschlüsselung der DNS-Abfragen mit DoH.
- Nur verschlüsselt: Der Client nutzt ausschließlich verschlüsselte Verbindungen für die Auflösung mit DNS. Steht keine sichere Verbindung zum DNS-Server bereit, findet keine Namensauflösung statt.
- Verschlüsselt bevorzugt, unverschlüsselt zulässig: Ermöglicht die Verwendung von verschlüsselten Verbindungen, nutzt aber bei Bedarf auch unverschlüsselte Verbindungen.
Die Optionen stehen erst dann zur Verfügung, wenn der angegebene DNS-Server die Funktionen unterstützt und entsprechend in Windows Server hinterlegt ist. Beispiele dafür sind die Server mit den IP-Adressen 1.1.1.1 (Cloudflare) und 8.8.8.8 (Google). In der PowerShell von Windows Server 2022 und Windows 11 können Sie sich die aktuell unterstützen DNS-Server mit dem Cmdlet "Get-DNSClientDohServerAddress" anzeigen lassen. Neue Server fügen Sie mit dem folgenden Befehl hinzu:
Add-DnsClientDohServerAddress -ServerAddress <IP-Adresse> -DohTemplate <Vorlage> -AllowFallbackToUdp $False -AutoUpgrade $True
Sie können an dieser Stelle auch die Tabelle der Namensauflösungsrichtlinien (NRPT) verwenden, um Abfragen an einen DNS-Namensraum so zu konfigurieren, dass ein fest definierter DNS-Server zum Einsatz kommt. In diesem Fall lassen sich für bestimmte Abfragen verschlüsselte DNS-Verbindungen nutzen.
Bild 1: Im Windows Admin Center lassen sich die Secured-Core-Funktionen verwalten.
Geschützter Datentransfer: SMB-Verschlüsselung
Windows Server 2022 unterstützt die SMB-Verschlüsselung mit AES-256-GCM (Galois/Counter-Mode) und AES-256-CCM (Counter mit Chain-Block-Cipher-MAC). Die Verwendung von HTTPS und TLS 1.3 sind Standard in Windows Server 2022. Bauen Clients eine Verbindung mit dem Server auf, versucht dieser möglichst HTTPS und TLS 1.3 zu verwenden.
Cluster-Knoten unterstützen in Windows Server 2022 auch für die interne Kommunikation Verschlüsselung. Das gilt auch für den Zugriff auf Cluster Shared Volumes (CSV) und bei der Kommunikation in Storage Spaces Direct. Auch beim Einsatz von RDMA und SMB Direct kommen Verschlüsselungstechnologien zum Einsatz. Dabei setzt Windows Server 2022 auf AES-128 und AES-256. An verschiedenen Stellen sind standardmäßig immer die maximal sicheren Verbindungsvarianten und Verschlüsselungstechnologien aktiviert. Das soll die Sicherheit im Netzwerkverkehr verbessern. Ideal ist auch hier der Einsatz von Windows 11 oder zumindest Windows 10 21H2.
Hotpatching in der Cloud: Azure Edition
Windows Server 2022 Datacenter: Azure Edition ist eine neue Variante, die nur in Azure und in Azure Stack HCI zum Einsatz kommen kann. Wir beleuchten in einem weiteren Absatz in diesem Beitrag noch die Vorteile von Azure Stack HCI im Netzwerk. Mit der Version 21H2 nutzt die lokale Installation von Azure auch Funktionen aus Windows Server 2022. Die aktuelle Version Azure Stack HCI 20H2 setzt noch auf Windows Server 2019 als Basisbetriebssystem.
Allerdings hat Microsoft auch klargestellt, dass Azure Stack HCI nicht einfach Windows Server als Basisbetriebssystem nutzt, sondern dessen Funktionen auch ausweitet. Es sind also Features in Azure Stack HCI 21H2 integriert, die Microsoft nicht in Windows Server 2022 einbaut. Dazu gehören zum Beispiel verschiedene Optimierungen für Storage Spaces Direct. Thin Provisioning ist zum Beispiel für HCI-Volumes Bestandteil von Azure Stack HCI. Diese Technik ist in Windows Server 2022 Datacenter nicht an Bord. Auch die Unterstützung für physische Grafikkarten für VMs ist in Azure Stack HCI integriert, kommt aber nicht für Windows Server 2022. Wer im Netzwerk auf Cluster setzt, sollte daher bei der Migration zu Windows Server 2022 den Einsatz von Azure Stack HCI zumindest überdenken.
Stretched-Clustering, also Cluster in mehreren Rechenzentren, ist nur noch mit Azure Stack HCI möglich. Extended Security Updates verlängern derweil den Support von Microsoft-Betriebssystemen. Diese Möglichkeiten gibt es nur für VMs auf Azure Stack HCI und in Microsoft Azure. Das sind nur einige Beispiele für die Funktionsunterschiede. Interessant ist das für Unternehmen, die noch auf Windows Server 2012/2012 R2 oder SQL Server 2012 setzen. Denn hier läuft der Support 2022 und 2023 aus. Azure Stack HCI wird übrigens nach dem Pay-per-Use-Modell abgerechnet.
Ebenfalls interessant aus Security-Sicht: Die Azure-Edition unterstützt das Hotpatching. Bei dieser Technologie muss nicht der ganze Server nach der Aktualisierung neu starten, sondern nur einzelne Bereiche des Kernels und des Betriebssystems. Das vereinfacht die Installation von Updates und der Server steht den Anwendern ohne Unterbrechungen zur Verfügung. Das Neustarten einzelner Bereiche des Betriebssystems führt so etwa nicht zu Ausfällen von Workloads und Anwender bemerken davon kaum etwas. Wer den Server lokal im Netzwerk einsetzen will, kann die Edition auch auf Azure Stack HCI 21H2 bereitstellen.
SMB über QUIC ist ebenfalls eine Funktion, die nur in Windows Server 2022 Datacenter: Azure Edition zur Verfügung steht. Dabei nutzen die Clients das QUIC-Protokoll für die Kommunikation und nicht TCP. Zusammen mit TLS 1.3 können Anwendungen wesentlich sicherer auf Daten zugreifen, vor allem wenn die Server in Edge-Netzwerken positioniert sind.
Bild 2: DNS-over-HTTPS in Windows Server 2022 sichert die Namensauflösung ab, muss vom DNS-Server aber unterstützt werden.
Virtuelle Sicherheit: HCI anstatt Shielded-VMs
In Hyper-V gibt es zwar nicht so viele Neuerungen im Vergleich zu Windows Server 2019, dennoch sind die Änderungen durchaus maßgeblich für die Sicherheit. Auch hier gilt, dass Windows 11 und Windows Server 2022 bei den Neuerungen recht ähnlich sind. Die Neuerungen im Bereich Hyper-V sind auch in Azure Stack HCI 21H2 verfügbar, halten aber nicht in Azure Stack HCI 20H2 Einzug.
Für Windows Server 2022 wird es keinen kostenlosen Hyper-V-Server mehr geben. Die letzte freie Version ist Hyper-V Server 2019. Nach der offiziellen Empfehlung sollen Unternehmen, die einen eigenständigen Server für die Virtualisierung suchen, auf Azure Stack HCI setzen. Der Nachteil dabei ist aber auch, dass diese Edition eben nicht kostenlos zur Verfügung steht. Mit Azure Stack HCI bietet Microsoft ein eigenes Betriebssystem an, das Azure-Funktionen und eine HCI-Infrastruktur in das lokale Rechenzentrum bringt. Azure Stack HCI lässt sich, wie Windows Server 2022 auch, mit dem Windows Admin Center verwalten.
Ebenfalls in Windows Server 2022 gestrichen hat Microsoft die Shielded-VMs. Diese Technik ist zwar in Windows Server 2022 noch integriert, wird aber nicht mehr weiterentwickelt und ist auch für den Betrieb nicht mehr empfohlen. Wer eine gesicherte Fabric einsetzen möchte, soll gemäß Microsoft auch hier auf Azure Stack HCI setzen. Die HCI-Umgebung von Microsoft ist für den sicheren Betrieb von VMs optimiert.
Mit Windows Server 2022 und Windows 11 führen die Redmonder die neue Version 10 für VMs ein. Windows 10 und Windows Server 2019 nutzen noch Version 9. Bei der direkten Aktualisierung eines Hyper-V-Hosts verbleiben die VMs auf der vorherigen Version. Auf dem Host können Sie mit dem Cmdlet "Get-VMHostSupportedVersion" überprüfen, welche Versionen ein Host unterstützt. Die Versionen der einzelnen VMs sind im Hyper-V-Manager zu erkennen und auch im WAC. In der PowerShell lassen Sie sich die Versionen der einzelnen VMs mit dem folgenden Cmdlet anzeigen:
Get-VM * | Format-Table Name, Version
Um auf die neue Version zu wechseln, verwenden Sie den folgenden Befehl:
Update-VMVersion <Name der VM>
Bei veralteten Versionen steht im Hyper-V-Manager auch die Option "Konfigurationsversion Upgrade" im Kontextmenü der VM zur Verfügung. Beim Erstellen von VMs in der PowerShell ist es möglich, die Edition zu steuern, zum Beispiel mit:
New-VM -Name "WindowsCV9" -Version 9.0
Bezüglich der eingebetteten Virtualisierung (Nested Virtualization) unterstützen Windows Server 2022 und Windows 11 jetzt auch Computer mit AMD-Prozessoren. In Windows 10 und Server 2019 können für diese Technologie nur Rechner mit Intel-Prozessoren zum Einsatz kommen. Die eingebettete Virtualisierung spielt für Test- und Entwicklungsumgebungen, Container-Hosts und für virtuelle Cluster eine wichtige Rolle.
Virtuelle Switches unterstützen in Win­dows Server 2022 nun das "Receive Segment Coalescing" (RSC). Dabei können die Switches Netzwerkpakete zusammenfassen und gemeinsam versenden. Erst auf dem Host beziehungsweise in der VM, für die das Segment gedacht ist, werden die Daten wieder entpackt. Auch der Datenverkehr zwischen virtuellen Netzwerkadaptern auf dem gleichen Host lässt sich über diesen Weg steuern und optimieren.
Das beschleunigt den Netzwerkverkehr, verbessert die Sicherheit und entlastet gleichzeitig die Netzwerkadapter und Hardware der beteiligten Computer. Auch die CPUs entlastet das deutlich. Zwar unterstützt auch Windows Server 2019 bereits RSC, allerdings hat Microsoft die Technologie in Windows Server 2022 deutlich überarbeitet. Die Einstellungen dazu lassen sich auf jedem Hyper-V-Host festlegen. Die Befehle zur Aktivierung und Deaktivierung lauten:
Set-VMSwitch -Name vSwitchName -EnableSoftwareRsc $false
 
Set-VMSwitch -Name vSwitchName -EnableSoftwareRsc $True
Den Status der Einstellungen erhalten Sie mit dem folgenden Befehl:
Get-VMSwitch -Name vSwitchName | Select-Object *RSC*
Stehen auf einem Hyper-V-Host mehrere Netzwerkadapter zur Verfügung, schlägt das Windows Admin Center beim Erstellen von neuen virtuellen Switches automatisch das Anlegen eines SET-Switches vor (Switch Embedded Teaming). Hier sollten Sie im Vorfeld nicht mit den Teaming-Funktionen in Windows Server 2022 arbeiten, sondern gleich mit den SET-Möglichkeiten im Admin Center.
Bild 3: Das Anzeigen der unterstützten VM-Versionen auf Hyper-V-Hosts ist mit der PowerShell möglich.
Neue Schaltzentrale: Verwaltung mit dem WAC
Microsoft verlagert immer mehr Funktionen zur Verwaltung von Clustern und auch von Hyper-V in das Windows Admin Center. Das gilt auch für Windows Server 2022. Es ist daher sinnvoll, wenn Sie sich beim Einsatz von Windows Server 2022 auch die Möglichkeiten des WAC näher anschauen. Natürlich sind die Einstellungsmöglichkeiten auch noch Bestandteil des Failovercluster-Managers, diese lassen sich jedoch über das Windows Admin Center meistens besser steuern.
In den Einstellungen von VMs sind im WAC die "Affinity Rules" (Affinitätsregeln) zu finden. Hierüber legen Sie fest, wie der Cluster VMs positionieren soll. Windows Server 2022 und das Windows Admin Center bieten hierfür sehr umfangreiche Einstellungsmöglichkeiten. Die Regeln hinterlegt Windows dann als Cluster-Objekt, damit diese stets verfügbar sind. So legen Sie zum Beispiel fest, welche VMs zusammen auf einem Host positioniert sein sollen und welche VMs der Cluster besser voneinander trennt. Diese Regeln sind natürlich auch in der PowerShell verfügbar, wie generell alle Funktionen, die im Windows Admin Center oder im Failovercluster-Manager zur Verfügung stehen.
Im Rahmen der Erstellung und des Betriebs eines Clusters kommen auch in Windows Server 2022 noch die Cluster-Validation-Tests zum Einsatz. Diese hat Microsoft mit Windows Server 2022 erweitert, sodass mehr Funktionen für Hyper-V im Cluster bei den Tests Berücksichtigung finden. Das stellt sicher, dass der Cluster nach der Installation optimal und sicher mit Windows Server 2022 und Hyper-V zusammenarbeitet. Bei den Tests überprüft der Assistent zum Beispiel auch die Teaming-Funktionen der Switches und die RDMA-Funktionen.
Fazit
Es sind keine weltbewegenden Neuerungen, die Microsoft seinem jüngsten Spross Windows Server 2022 spendiert. Doch bei genauerem Hinschauen zeigt sich, dass die Detailarbeit aus Redmond Organisationen viele Vorteile im täglichen Betrieb bietet – das gilt natürlich auch für Sicherheitsfragen.
(dr)