Der Betrieb von Hyper-V in Unternehmen erlaubt die Virtualisierung und damit auch Skalierung an­gebotener Dienste. Hyper-V-Cluster erhöhen dabei die Verfügbarkeit der einzelnen VMs. Allerdings öffnet der Betrieb auch Möglichkeiten für Angreifer, um von nur einem Host unterschiedliche Dienste anzugreifen, die sonst auf unterschiedlichen Bare-Metal-Maschinen liegen würden. Unterschiedliche Administratorgruppen benötigen Zugriff auf Hyper-V-Hosts.

Je nach Größe Ihres Unternehmens haben Sie etwa Netzwerk-, Backup- oder Speicheradministratoren. Damit sind auch alle Hyper-V-VMs für diese Gruppen zugänglich. Allein der Zugriff auf das virtuelle Festplattenimage in Form von VHD-Dateien genügt, um den in der VM angebotenen Dienst zu kompromittieren. Ein Debugger ermöglicht über VM-Introspection den Blick in die laufenden Maschinen und die darin angebotenen Dienste. Schadsoftware auf dem Host gefährdet damit auch alle laufenden virtuellen Maschinen.

Microsoft verspricht unter dem Begriff "Abgeschirmte VMs" den Schutz der virtuellen Maschinen auf Basis kryptografischer Verfahren und stellt dabei auch die Sicherheit der Host-Systeme auf die Probe. Bereits seit Windows Server 2016 können Sie die dafür benötigte Rolle "Host Guardian Service" (HGS) installieren. Diese ermöglicht Attestation- und Key-Protec-

tion-Services. Bei Attestation handelt es sich um die Zertifizierung der Vertrauenswürdigkeit und Sicherheit der Host-Systeme, sogenannter "Guarded Hosts".

Der Key-Protection-Service verwaltet die kryptografischen Schlüssel, die für den Betrieb der VMs notwendig sind, etwa zur Entschlüsselung der VHDs. So entsteht gemeinsam mit dem seit Windows 10 eingeführten Virtual Secure Mode und einem virtuellen TPM die "Guarded Fabric" für VMs. Dabei empfiehlt Microsoft die redundante Auslegung des HGS auf einem Cluster mit mindestens drei Servern. So stellt der IT-Verantwortliche sicher, dass der HGS dauerhaft erreichbar ist und jederzeit VMs angelegt und gestartet werden können.

Attestation mit und ohne TPM

Die Attestation der Guarded Hosts erlaubt drei unterschiedliche Betriebsmodi. Dabei werden ausgestellte Attestation-Zertifikate alle acht Stunden erneuert. Systeme mit TPM-2.0-Hardware und UEFI ab Version 2.3.1 bilden die Grundlage für die "TPM-trusted Attestation". In diesem Modus startet das System mit Secure-Boot und alle Boot-Aktivitäten sind im TCG-Log des Systems gespeichert. Alle Treiber sind digital signiert und sogenannte Code-Integritäts-Richtlinien stellen nach dem Boot die Absicherung der ausgeführten Software sicher. Auch der Zustand der installierten Antivirus-Software wird neben dem TCG-Log bei der Attestation überprüft.

Die "Host-Key-Attestation" als zweiter Modus basiert auf Public-Key-Kryptographie. Sie erstellen ein Schlüsselpaar für jeden Host und hinterlegen die öffentlichen Schlüssel auf dem HGS. Jeder Host muss also im HGS angelegt sein. Eine Prüfung der Vertrauenswürdigkeit des Hosts obliegt dabei dem HGS-Administrator.

Der dritte Attestation-Modus "Admin-trusted Attestation", manchmal auch "Directory-based Attestation", gilt seit Win­dows Server 2019 als veraltet. Er basiert auf dem Active Directory und ist im Gegensatz zur TPM-trusted Attestation weniger umfangreich bei der Konfiguration. Sie überprüft lediglich die Gruppenzugehörigkeit des Hosts in einem eigenen Ac­tive-Directory-Forest. Befindet sich der Computer-Account in der als vertrauenswürdig geltenden Gruppe, erhält der Host die benötigte Attestation. Die Attestation auf Basis des Active Directory oder eines Host-Keys sind deutlich einfacher umgesetzt, erreichen vom Sicherheitsniveau aber nicht die TPM-basierte Variante. Wenn Sie also Hardware mit TPM 2.0 besitzen, sollten Sie für die Attestation auch die Nutzung dieses Chips in Erwägung ziehen.

Abgeschirmt dank Virtual Secure Mode

Für den Betrieb von abgeschirmten VMs dient der "Virtual Secure Mode" (VSM). Dieser in Windows 10 eingeführte Modus bietet "Secure Kernel" und "Isolated User Mode" für virtuelle Maschinen. Secure Kernel bietet bestimmte Systemfunktionen über einen zusätzlichen Micro-Kernel, der etwa die Funktionen des Local Security Subsystems (LSA) übernimmt. Damit wird etwa der Local Security Authority Subsystem Service (LSASS) gegen Angriffe auf Autorisierungs-Token und Passwort-Hashes abgesichert.

Ein wichtiges Feature des Virtual-Secure-Mode ist der virtuelle TPM-2.0-Chip für die VMs. Damit können Sie die Festplatte der VM mit Bitlocker und einem Schlüssel im TPM verschlüsseln. Das verhindert etwa das Anlegen einer Kopie der VHD einer VM und den anschließenden Betrieb auf einem nicht verifizierten Host-System. Die Schlüssel des virtuellen TPM verwaltet der HGS ebenfalls und gibt sie nur an erfolgreich attestierte Hosts heraus. Der Device-Guard des VSM isoliert den Code-Integrity-Service und sichert so die Signaturprüfung der ausgeführten Software innerhalb einer VM ab. Nicht signierte Programme lassen sich nachträglich mit einer Signatur der Hashwerte genutzter Dateien absichern. Das ermöglicht Ihnen auch den Betrieb von Software kleinerer Hersteller oder Open-Source-Software ohne Signatur.

Geschützte VM erstellen

Zum Erstellen einer abgeschirmten VM verwenden Sie entweder die PowerShell, den Virtual Machine Manager oder das Microsoft Azure Pack. Mögliche Betriebssysteme für die Nutzung in einer abgeschirmten VM sind alle Windows-Versionen ab Windows Server 2012. Mit dem Virtual Machine Manager ist für Sie das Anlegen genau so einfach wie das einer normalen VM. Als Template wählen Sie ein Template für abgeschirmte VMs oder ein signiertes Festplattenabbild einer VM. Um eine bereits existierende VM in eine abgeschirmte VM umzuwandeln, sollten Sie zunächst alle Festplatten der VM mit Bitlocker verschlüsseln. Das erreichen Sie über das Menü der VM, indem Sie die "Abschirmung aktivieren". Nun fahren Sie die Maschine herunter, exportieren sie und importieren diese anschließend wieder auf dem Guarded-Host. Dieser Vorgang führt unweigerlich zu einem kurzen Ausfall des durch die VM angebotenen Dienstes.

Beim Start einer abgeschirmten VM sieht der Ablauf aus wie im Bild dargestellt. Nachdem der verantwortliche Benutzer die Maschine gestartet hat (1), wird die Attestation beim HGS abgefragt. Dafür werden alle notwendigen Informationen für die Attestierung mitgeliefert (2). Der Attestation-Service überprüft die Dokumente, signiert mit seinem privaten Schlüssel das Attestation-Zertifikat (3) und sendet dieses an den Host. Das Attestation-Zertifikat ist nun vom Host bei allen kritischen Vorgängen an VMs vorzulegen.

Für den Start der VM schickt also der Server das Zertifikat mit an den Key-Protec-tion-Service (5). Dort erfolgt bei gültiger Attestation die Freigabe der Keys für den Zugriff auf die VM (6) und der Versand an das Hostsystem (7). Die freigeschaltete VM wird nun im Virtual Secure Mode entschlüsselt und gestartet (8). Nach dem Start der VM können Sie nicht mehr über die Hyper-V-Konsole auf die VM zugreifen. Das dient der Sicherheit der VM und verringert die Angriffsoberfläche. Vielmehr müssen Sie für die Administration nun den Remote-Desktop-Zugang verwenden.

Fazit

Dieser Security-Tipp hat Ihnen den Attestation-Service und den Key-Protection-Service der Windows-Server-Rolle Host Guardian Service vorgestellt und den Betrieb von abgeschirmten VMs erläutert. Damit sorgen Sie für die Sicherheit der Hosts wie auch der VMs.

(dr)

von Matthias Wübbeling Artikel aus dem IT-Administrator Magazin November 2020