Fachartikel

Security mit Shielded-VMs und Host Guardian Service (2)

Der Host Guardian Service sorgt in der Datacenter Edition für die Sicherheit von VMs. Virtuelle Server lassen sich so härten und vor anderen Administratoren, Angreifern und unberechtigten Zugriffen abschotten. Zusammen mit Shielded-VM verweigert dieser Sicherheitsmechanismus Angreifern und Malware den Zugriff auf die Daten der VM. Auch Netzwerke, die von Angreifern übernommen wurden oder bei denen andere Bereiche kompromittiert sind, stellen keine Gefahr für derart gesicherte VMs dar. In der zweiten Folge des Workshops beschäftigen wir uns mit der Konfiguration des Host Guardian Service und zeigen, wie Sie Shielded-VMs erstellen und mit SCVMM verwalten.
Gewusst wie, lassen sich virtuelle Server vor unberechtigten Zugriffen wirkungsvoll abschirmen.
Host Guardian Service konfigurieren
Wenn Sie auf einem Server die HGS-Serverrolle installiert haben, zum Beispiel in der PowerShell mit
Install-WindowsFeature 
 -Name HostGuardianServiceRole 
 -IncludeManagementTools -Restart
erstellen Sie auf dem Server zunächst eine neue AD-Domäne. Danach initialisieren Sie den HGS-Server. Im ersten Schritt öffnen Sie dazu eine PowerShell-Sitzung und konfigurieren die neue Domäne für HGS:
Install-HgsServer -HgsDomainName "hostgs.com" 
 -SafeModeAdministratorPassword (read-host  -prompt <Kennwort> -assecurestring) 
 -Restart
Danach richten Sie die Umgebung ein. Sie können für Testumgebungen ein selbstsigniertes Zertifikat verwenden, in produktiven Umgebungen ist jedoch ein Zertifikat aus den AD-Zertifikatsdiensten zu bevorzugen. Die Konfiguration ist am einfachsten, wenn Sie die einzelnen Werte, die Sie in der PowerShell angeben müssen, zuvor in Variablen speichern, wie im Listing "Zertifikat für HGS erzeugen" gezeigt. Tragen Sie bei den jeweiligen Befehlen die Daten Ihrer Umgebung ein. Die Ausführung der Befehle darf keine Fehler verursachen.


 
Anschließend müssen Sie sicherstellen, dass die Namensauflösung zwischen den beiden Active-Directory-Gesamtstrukturen funktioniert. Dazu arbeiten Sie am besten mit bedingten Weiterleitungen in beiden Umgebungen. Ihr DNS-Server kann nur Anfragen der Clients beantworten, für die Zonen hinterlegt wurden. Wollen Sie auch andere Zonen auflösen, müssen Sie im DNS konfigurieren, welche Server gefragt werden sollen. Der DNS-Server überprüft zunächst, ob er für die Domäne zuständig ist. Wenn er weder Zone noch Delegation findet, werden die DNS-Server gefragt, die über den Eintrag "Bedingte Weiterleitungen" in der Konsolenstruktur hinterlegt sind.

Sobald die Namensauflösung funktioniert, können Sie auf dem HGS-Server die Vertrauensstellung zwischen HGSAD und dem Fabric-AD einrichten, also Ihrem produktiven AD, in dem sich die Guarded Hosts befinden. In der PowerShell erledigen Sie dies beispielsweise wie folgt:
$HGSDomainName = "hostgs.com"
$ADDomainName = "contoso.int"
$ADDomainUser = "Administrator"
$ADAdminPasswd = "Kennwort" netdom trust $HGSDomainName 
 /domain:$ADDomainName /userD:$ADDomainName\$ADDomainUser 
 /passwordD:$ADAdminPasswd /add
Die Hyper-V-Hosts, die Sie mit HGS absichern wollen, müssen Mitglied einer neuen AD-Gruppe sein. Dazu legen Sie die AD-Gruppe an und nehmen die Hyper-V-Hosts auf. Zusätzlich müssen Sie noch die SIDs der Hyper-V-Hosts auslesen und auf dem HGS-Server importieren. In dieser Umgebung gehen wir davon aus, dass die Fabric-Domäne die Bezeichnung "contoso.int" hat und der erste Guarded Host die Bezeichnung "hpdl20.contoso.int":
$GuardedGroupName="GuardedHosts"
$guardedhost="hpdl20.contoso.int" 
$GroupMember="CN=hpdl20,OU=Computers,DC=contoso,DC=int"
$guardedGroup = New-ADGroup -Name 
$GuardedGroupName -SamAccountName "GuardedHosts" -GroupCategory Security 
-GroupScope Global Add-ADGroupMember -Identity $GuardedGroupName 
-Members $GroupMember
In der PowerShell lesen Sie auch die SID aus, die Sie später wiederum auf dem HGS-Server einlesen, um den Hyper-V-Host als Guarded Host zu konfigurieren. Danach legen Sie fest, welche AD-Gruppe in der Fabric-Domäne die sicheren Hyper-V-Host enthält:
Add-HgsAttestationHostGroup -Name "GuardedHosts" 
 -Identifier "S-1-5-21-260484123-1724494931-1379840826-1109"
Den Befehl führen Sie wiederum in der PowerShell des HGS-Servers aus. Die SID können Sie auch in der PowerShell mit
get-adgroup <Name der Gruppe>
auslesen. Sind alle notwendigen Features für die HGS-Anbindung von Hyper-V installiert, melden Sie sich in der PowerShell des Hyper-V-Hosts am HGS an. Dazu ist es wichtig, dass in der Gesamtstruktur mit den Hyper-V-Hosts die HGS-Domäne als DNS-Weiterleitung konfiguriert ist und umgekehrt. Im folgenden Beispiel ist der Name der GHS-Domäne "hostgs.com". Den Befehl führen Sie auf dem Hyper-V-Host aus. Beachten Sie, im Befehl die korrekten Daten Ihrer Umgebung einzugeben:
Set-HgsClientConfiguration -AttestationServerUrl "http://hostgs.com/Attestation" 
-KeyProtectionServerUrl "http://hostgs.com/KeyProtection" -confirm:$false
Die erfolgreiche Anmeldung testen Sie am Guarded Host durch
Get-HgsClientConfiguration
Auf dem HGS-Server überprüfen Sie die Konfiguration des Host Guardian Services mit dieser Zeile:
Get-HgsTrace -RunDiagnostics
Die korrekte Konfiguration der Umgebung bringen Sie in der PowerShell mit
Test-HGSServer -HgsDomainName <HGS-Domäne>
in Erfahrung. Vor allem in Umgebungen, in denen Sie die Bereitstellung erst testen und dann aktiv schalten, sollten Sie vor der Übernahme in die Produktivumgebung einen Blick auf das Ergebnis dieses Cmdlets werfen. Microsoft bietet Whitepaper [1] zur Fehlerbehandlung, wenn einzelne Bereiche nicht korrekt funktionieren. Zusätzlich rufen Sie mit
Get-HgsServer
Get-HgsAttestationPolicy
Informationen zur erstellten Umgebung ab. Hier sollten die URLs und Daten fehlerfrei erscheinen. Die geschützten Hyper-V-Hosts und die angebundenen SCVMM-Server müssen über diese URLs mit den Servern kommunizieren können.

Außerdem sollten Sie mit dem Internet Explorer auf dem Server überprüfen, ob der HGS auf Anfragen antwortet. Dazu rufen Sie die URL "http://localhost/KeyProtection/servic/metadata/2014-07/metadata.xml" auf. Als Antwort erscheint eine XML-Seite mit Informationen.

In produktiven Umgebungen sollten Sie noch die Einträge in der Ereignisanzeige der HGS-Server überwachen. Entweder nutzen Sie dazu Tools wie System Center Operations Manager oder andere Überwachungswerkzeuge. Sie können dazu auch ein Ereignisabonnement erstellen. Im Rahmen des Abonnements können Sie die Ereignisse filtern:
Microsoft-Windows-HostGuardianService-Attestation/Admin,
MicrosoftWindows-HostGuardianService-Attestation/Operational,
Microsoft-Windo ws-HostGuardianService-KeyProtection/Admin,
Microsoft-WindowsHostGuardianService-KeyProtection/Operational
Seite 2: Shielded-VMs erstellen und mit SCVMM verwalten


Seite 1 von 2 Nächste Seite >>
11.10.2021/jp/ln/Thomas Joos

Nachrichten

FreeOffice 2021 für Linux, Mac und Windows unter einer Lizenz [19.10.2021]

SoftMaker hat mit FreeOffice 2021 eine neue, komplett überarbeitete Version herausgebracht. Diese soll dank Unterstützung aktueller wie klassischer Microsoft-Formate nahtlos kompatibel zu Microsoft Office sein. Neben der erstmaligen Unterstützung des SVG-Grafikformats, neuen Funktionen und verbesserten Import- und Exportfunktionen bietet FreeOffice 2021 auch die Möglichkeit, eine Lizenz gleichzeitig mit Windows, macOS und Linux einzusetzen. [mehr]

Schutz vor Ransomware: Backups absichern [19.10.2021]

Da immer mehr Unternehmen mit Ransomware-Bedrohungen konfrontiert sind, müssen IT-Teams proaktive Schritte heranziehen, um Daten und Anwendungen zu schützen, die für Angreifer zu einem wertvollen Ziel geworden sind. Einer dieser Schritte ist die Aktivierung der Multi-Faktor-Authentifizierung insbesondere in der Backupumgebung. [mehr]

Tipps & Tools

Vorschau November 2021: Collaboration [20.10.2021]

Die Zusammenarbeit in Unternehmen steht seit anderthalb Jahren auf dem Kopf. Entsprechend groß sind die Herausforderungen für die IT-Abteilungen. In der November-Ausgabe beleuchtet IT-Administrator den Themenschwerpunkt "Collaboration". Darin erfahren Sie unter anderem, wie Sie die quelloffene EGroupware 21.1 in Betrieb nehmen und administrieren. Daneben zeigen wir, wie das Backup von Microsoft-365-Daten funktioniert und welche Lektionen uns das Remote-Working bislang gelehrt hat. In den Produkttests schauen wir uns mit Threema Work einen sicheren Messenger für Unternehmen an. [mehr]

Download der Woche: SyncBackFree [20.10.2021]

Wer ein Backupwerkzeug sucht, das möglichst einfach zu bedienen und günstig ist, der wird bei möglicherweise "SyncBackFree" fündig. Die kostenfreie und dennoch umfassende Lösung kann mit wenigen Klicks ein Backup einzelner Verzeichnisse wie ganzer Laufwerke erstellen und die Daten dann in vielfältigen Zielen sichern. [mehr]

Buchbesprechung

Windows 10 Power-Tipps

von Günter Born

Anzeigen