Mit dem Einzug der Virtualisierung in Unternehmens-Rechenzentren verschob sich zunächst die Gefahrenlage für die Infrastruktur- und Anwendungsdienste etwas weg von der Hardware. Veraltete Firmware am KVM-Switch, eine im Betrieb entnehmbare Spiegelfestplatte oder ein ungepatchter, aber aktiver LAN-Adapter führten nicht mehr unmittelbar zu einer Gefährdung der produktiven Workloads.

Doch mit der Zeit entdeckten sowohl Sicherheitsforscher als auch gewerbsmäßige Angreifer die Vorzüge der Virtualisierung, sodass bei einigen der jüngsten Ransomware-Angriffe die virtuellen Maschinen gar nicht mehr von innen heraus, sondern bereits auf der Hypervisor-Ebene verschlüsselt wurden.

Und auch zum Aushorchen der angegriffenen Infrastruktur eignet sich eine Virtualisierungsplattform vorzüglich (sofern der Angreifer sie unter seine Kontrolle bringen kann), da sämtliche Kommunikation in Software abgebildet ist. Angesichts dieser Entwicklung ist das Härten der Plattformdienste wie Virtualisierung und Storage wieder stark in den Fokus der IT-Verantwortlichen gerückt.

Die besondere Stellung von Hyper-V

Ein Hyper-V-Host ist stets auch ein vollwertiger Windows-Server, denn der kostenlose und in der Funktion beschränkte Hyper-V-Server wird von Microsoft nicht mehr angeboten. Oft sind Hyper-V-Hosts Mitglied im Active Directory, unterliegen also Gruppenrichtlinien und anderen Managementparadigmen, die Ihr Unternehmen für den Betrieb von Windows-Servern etabliert hat. Dies führt dazu, dass alle bekannten Angriffsvektoren auf Windows und die Maßnahmen zur Abwehr dieser Angriffe auch für Ihre Virtualisierungsplattform zu betrachten sind.

Halten Sie Ihre Virtualisierungshosts stets aktuell. Betreiben Sie diese in Clustern, so kann das Cluster Aware Updating (CAU) dafür sorgen, dass die Windows-Updates ohne Downtime der virtuellen Workloads und praktisch ohne Zutun der Administratoren durchgeführt werden.

Da die meisten Windows-Systeme, die heutzutage in Unternehmen und Organisationen in Betrieb sind, auf virtuellen Maschinen laufen, vernachlässigen insbesondere unerfahrene Administratoren oft das Aktualisieren der Systemsoftware und -firmware auf den physischen Hostsystemen. Sie sollten am besten ein zentralisiertes Managementsystem für Ihre Hardware einsetzen, das Sie über das Erscheinen neuer Firmwareversionen für Ihre physischen Server auf dem Laufenden hält. Beispiele solcher Systeme sind HPE OpenView und DELL OpenManage.

Wenden Sie auf Ihre Hyper-V-Hosts die Systemhärtung nach dem in Ihrer Organisation dafür vorgesehenen Framework (CIS, MCT oder andere) an. Denken Sie bei geclusterten Hyper-V-Hosts daran, dass potenziell das Cluster Name Object und die anderen Clusterknoten sowohl Zugriff als auch Berechtigungen benötigen, damit das Cluster einwandfrei funktioniert.

Die nahe Artverwandtschaft von Hyper-V zu Windows Server verleitet einige Administratoren dazu, andere Dienste oder gar Drittanbieter-Anwendungen auf den Hyper-V-Hosts zu betreiben. Abgesehen davon, dass dies in Bezug auf Funktionalität und Performance keine gute Idee ist, beeinträchtigen solche "Zusatzfunktionen" die Sicherheit der Plattform erheblich. Sorgen Sie unbedingt dafür, dass auf Ihren Hyper-V-Hosts keine Anwendungen installiert und ausgeführt werden, die für den Betrieb als Hypervisor-Host nicht zwingend erforderlich sind.

Installierte Features beschränken

Dies schließt nicht nur Drittprodukte, sondern auch Windows-Server-Rollen und -Features ein. Besonders gefährlich sind auf Virtualisierungshosts betriebene Infrastrukturdienste wie Active Directory, DNS, DHCP oder Network Policy Server. Doch auch jede andere Rolle sorgt dafür, dass sich die Angriffsfläche vergrößert. Mit jedem neuen Feature werden mehr Netzwerkports geöffnet und Berechtigungen im Betriebssystem vergeben, die potenziell missbraucht werden können. Neben dem Windows-Kernsystem und der Hyper-V-Rolle sind normalerweise folgende Funktionen relevant:

• BitLocker Drive Encryption (zumindest die Systemplatte sollten Sie immer verschlüsseln),
• Failover Clustering, falls es sich beim Host um einen Clusterknoten handelt,
• Multipath I/O, falls der Hyper-V-Host auf blockbasierten Storage (Fibre Channel und/oder iSCSI) zugreifen soll.

In fortgeschrittenen Szenarien kommen außerdem folgende Features zum Einsatz:

• BitLocker Network Unlock, falls dieses Feature bei Ihnen zum Einsatz kommt, um unbeaufsichtigte Host-Restarts zu ermöglichen,
• Data Center Bridging (DCB), sofern hyperkonvergente Adapter oder Software-defined Networking Verwendung finden,
• Host Guardian Hyper-V Support, falls der Host Teil einer "Guarded Fabric” ist oder Sie den Einsatz dieser Technologie planen,
• Network Virtualization, falls Sie Software-defined Networking einsetzen,
• SMB Bandwidth Limit, falls Sie SMB3-basierten Storage für Hyper-V implementiert haben,
• Windows Server Backup, sofern Sie auf native Datensicherung für diesen Host setzen.

Oft kommen für die Verwaltung der Infrastruktur Drittanbieter-Produkte zum Einsatz, die auch die Virtualisierungsplattform umfassen. Für einen Hyper-V-Host sollte sich die Auswahl normalerweise auf folgende Dienste beschränken:

• Third-Party-Antivirus, falls die in Ihrer Organisation geltende Richtlinie ein bestimmtes Produkt vorschreibt. Vergessen Sie in diesem Fall nicht, die von Microsoft dokumentierten Ausnahmen einrichten zu lassen.
• Datensicherungsagenten. Beachten Sie, dass hier manchmal zusätzliche Komponenten mit installiert werden, die potenziell für Angriffe auf die Plattform missbraucht werden könnten. Setzen Sie sich daher mit der Feature-Auswahl Ihres Backupanbieters auseinander und installieren Sie nur die Komponenten, die Sie tatsächlich benötigen.
• Monitoringagenten: Auch hier gilt, nur die notwendigen Bestandteile zu installieren. Leider können Sie die Auswahl hier nicht immer beeinflussen. Der Microsoft-eigene System Center Operations Manager ist beispielsweise sehr großzügig mit der Auswahl der lokal installierten Module seines Agenten.

Idealerweise sollten Sie auf Ihren Hyper-V-Hosts die Windows Defender Application Control einrichten, um das Ausführen nicht vorgesehener Software mit technischen Mitteln zu unterbinden. Dies wird ohnehin erforderlich sein, falls Sie Ihre Hyper-V-Umgebung in eine "Guarded Fabric" (siehe unten) überführen wollen.

Beachten Sie jedoch, dass Microsoft seit Windows Server 2019 keine Empfehlungen mehr dafür ausspricht, welche Windows-Dienste Sie gefahrlos deaktivieren können. Dies bedeutet nicht, dass überflüssige Dienste nicht länger eine höhere Gefährdung darstellen, sondern lediglich, dass Microsoft auf diese Weise gehärtete Systeme nicht ohne weiteres supportet.

Im zweiten Teil der Workshopserie gehen wir darauf ein, wie Server Core als Solide Basis für Hyper-V fungiert und wie Sie den Netzwerkzugriff sinnvoll beschränken. Im dritten und letzten Teil zeigen wir, wie Sie Hyper-V sicher an Storage anbinden und stets den Überblick über Zugriffsrechte behalten.

Über den Autor: Evgenij Smirnov ist Senior Solutions Architect bei Semperis und Microsoft-MVP für Cloud & Datacenter Management und VMware Certified Implementation Expert für Datacenter-Virtualisierung.