(0) exportieren Drucken
Alle erweitern

Planen der Hyper-V-Sicherheit

Letzte Aktualisierung: Februar 2009

Betrifft: Windows Server 2008, Windows Server 2008 R2

Sie sollten die Sicherheit des Virtualisierungsservers mit den gleichen Maßnahmen schützen, mit denen Sie jeden Server unter Windows Server 2008 schützen würden. Zusätzlich sollten Sie Maßnahmen zum Schutz der virtuellen Computer, der Konfigurationsdateien und der Daten ausführen. Weitere Informationen zum Schutz der Arbeitsauslastung unter Windows Server 2008 finden Sie im Windows Server 2008-Sicherheitshandbuch (http://go.microsoft.com/fwlink/?LinkId=134200, möglicherweise in englischer Sprache).

In diesem Handbuch sind außerdem die folgenden sicherheitsbezogenen Themen enthalten:

Sie sollten die auf dem Virtualisierungsserver ausgeführten virtuellen Computer mit Ihren üblichen Verfahren für diese Art von Server oder Arbeitslauslastung sichern. Für virtuelle Computer sind keine besonderen Schutzmaßnahmen erforderlich. Wenn Ihre Richtlinien und Verfahren beispielsweise die Ausführung von Antivirensoftware vorsehen, führen Sie diese auf dem virtuellen Computer aus. Wenn durch die Richtlinien die Segmentierung des physischen Servers in ein bestimmtes Netzwerk gefordert wird, folgen Sie den Richtlinien auch für den virtuellen Computer.

Die folgenden bewährten Methoden werden zur Verbesserung der Sicherheit der Server mit Hyper-V empfohlen.

noteHinweis
Sie können die BitLocker-Laufwerkverschlüsselung zum Schutz von virtuellen Computern und Daten verwenden. Allerdings ist dazu eine sorgfältige Bereitstellung und Planung der Wiederherstellung erforderlich. Weitere Informationen finden Sie in den Entwurfs- und Bereitstellungsanleitungen zur Windows BitLocker-Laufwerkverschlüsselung (http://go.microsoft.com/fwlink/?LinkId=93107, möglicherweise in englischer Sprache).

Bewährte Methoden für die Hyper-V-Sicherheit

  • Verwenden Sie eine Server Core-Installation von Windows Server 2008 als Verwaltungsbetriebssystem. Eine Server Core-Installation bietet die kleinste Angriffsfläche. Außerdem wird die Anzahl der erforderlichen Patches, Updates und Neustarts für die Wartung reduziert. Ausführliche Informationen und Installationsanweisungen finden Sie in der schrittweisen Anleitung zur Server Core-Installationsoption für Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkId=134202, möglicherweise in englischer Sprache).

    Weitere Informationen zum Aktivieren der Hyper-V-Rolle auf einem Server mit einer Server Core-Installation finden Sie unter Installieren der Hyper-V-Rolle in einer Server Core-Installation von Windows Server 2008.

    noteHinweis
    Ein Upgrade einer Server Core-Installation auf eine vollständige Installation von Windows Server 2008 ist nicht möglich. Wenn Sie die Windows-Benutzeroberfläche oder eine Serverrolle benötigen, die in einer Server Core-Installation nicht unterstützt wird, müssen Sie eine vollständige Installation von Windows Server 2008 installieren.

    Für die Remoteverwaltung von Hyper-V in einer Server Core-Installation können Sie die Hyper-V-Verwaltungstools für Windows Server 2008 und Windows Vista Service Pack 1 (SP1) verwenden. Weitere Informationen finden Sie in den Artikeln 950050 (http://go.microsoft.com/fwlink/?prd=12079) und 952627 (http://go.microsoft.com/fwlink/?LinkID=122189) in der Microsoft Knowledge Base (möglicherweise in englischer Sprache). Weitere Informationen zum Konfigurieren von Tools zur Remoteverwaltung von Hyper-V finden Sie unter Installieren und Konfigurieren der Hyper-V-Tools zur Remoteverwaltung.

  • Führen Sie keine Anwendungen im Verwaltungsbetriebssystem aus, sondern führen Sie alle Anwendungen auf virtuellen Computern aus. Wenn Sie das Verwaltungsbetriebssystem frei von Anwendungen halten und eine Server Core-Installation von Windows Server 2008 ausführen, sind weniger Updates des Verwaltungsbetriebssystems nötig, da Softwareupdates ausschließlich für die Server Core-Installation, die Hyper-V-Dienstkomponenten und den Hypervisor erforderlich sind.

    noteHinweis
    Wenn Sie Programme im Verwaltungsbetriebssystem ausführen, sollten Sie auch die Antiviruslösung dort ausführen und den Ausschlüssen Folgendes hinzufügen:

    • Das Verzeichnis der Konfigurationsdateien des virtuellen Computers. Standardmäßig ist dies C:\ProgramData\Microsoft\Windows\Hyper-V.

    • Das Verzeichnis der Dateien für die virtuelle Festplatte des virtuellen Computers. Standardmäßig ist dies C:\Users\Public\Documents\Hyper-V\Virtual Hard Disks.

    • Das Verzeichnis der Snapshotdateien. Standardmäßig ist dies %systemdrive%\ProgramData\Microsoft\Windows\Hyper-V\Snapshots.

    • Vmms.exe

    • Vmwp.exe

    Wenn Sie die vollständige Version von Windows Server 2008 verwenden und Anwendungen unter dem Verwaltungsbetriebssystem ausführen müssen, sollten Sie dort ein Antivirenprogramm ausführen.

  • Bestimmen Sie die Sicherheitsstufe des Verwaltungsbetriebssystems entsprechend der Sicherheitsstufe der virtuellen Computer. Sie sollten virtuelle Computer auf Virtualisierungsservern mit ähnlichen Sicherheitsanforderungen bereitstellen. Angenommen, Sie klassifizieren die Risikostufe und den Sicherungsaufwand für die Server in drei Kategorien: "sicher", "sicherer" und "sehr sicher". Dann würden Sie auf den sehr sicheren Servern umfangreichere Sicherungsmaßnahmen und Kontrollverfahren anwenden als auf den sicheren Servern. Dies gilt für physische Server ebenso wie für virtuelle Computer. Wenn Sie sowohl sichere als auch sehr sichere virtuelle Computer im Verwaltungsbetriebssystem bereitstellen, sollten sie den Virtualisierungsserver als einen "sehr sicheren" Server sichern. Die Bereitstellung virtueller Computer mit ähnlichen Sicherheitsstufen auf einem Virtualisierungsserver kann die Verwaltung und Verschiebung der virtuellen Computer vereinfachen.

  • Erteilen Sie den Administratoren virtueller Computer keine Berechtigungen für das Verwaltungsbetriebssystem. Nach dem Prinzip der geringsten Rechte sollten Sie Administratoren eines virtuellen Computers (manchmal als Abteilungsadministratoren oder delegierte Administratoren bezeichnet) die minimalen erforderlichen Berechtigungen erteilen. Das Verwalten der erforderlichen Berechtigungen für alle zu einem virtuellen Computer gehörigen Objekte kann komplex sein. Zudem können falsch zugeordnete Berechtigungen zu Sicherheitsproblemen führen. Der rollenbasierte Zugriff ermöglicht das Angeben der Zugriffssteuerung entsprechend der Organisationsstruktur eines Unternehmens. Dazu erstellen Sie ein neues Objekt, das als Rolle bezeichnet wird. Sie weisen einen Benutzer einer Rolle zu, um ihm einen Aufgabenbereich zuzuordnen. In Hyper-V werden Richtlinien des Autorisierungs-Managers für die rollenbasierte Zugriffssteuerung verwendet.

  • Stellen Sie sicher, dass virtuelle Computer vollständig aktualisiert sind, bevor sie in einer Produktionsumgebung bereitgestellt werden. Da virtuelle Computer wesentlich einfacher zu verschieben und schneller bereitzustellen sind als physische Computer, besteht ein größeres Risiko, dass ein virtueller Computer bereitgestellt wird, auf dem nicht alle Updates und Patches installiert sind. Um dieses Risiko wirkungsvoll zu beschränken, sollten Sie zum Aktualisieren von virtuellen Computern die gleichen Methoden und Verfahren verwenden wie bei physischen Servern. Wenn Sie beispielsweise die Verwendung automatischer Updates mit Windows Update, Microsoft System Center Configuration Manager oder einer anderen Softwareverteilungsmethode zulassen, sollten Sie sicherstellen, dass auf virtuellen Computern vor der Bereitstellung alle Updates und/oder Patches installiert wurden.

    Sie können dazu Wartungshosts und die Schnellmigration in Hyper-V verwenden. Ein Wartungshost ist ein Hostcomputer, den Sie zum Patchen gespeicherter Ressourcen und für das Staging virtueller Computer vor der Verschiebung in die Produktionsumgebung verwenden. Weitere Informationen zu Wartungshosts finden Sie unter "Planen von Hosts" (http://go.microsoft.com/fwlink/?LinkId=134482, möglicherweise in englischer Sprache). Weitere Informationen zum Verschieben virtueller Computer auf einen Wartungshost mithilfe der Schnellmigration finden Sie unter "Schrittweise Anleitung zu Hyper-V: Testen von Hyper-V und Failover-Clusterunterstützung" (http://go.microsoft.com/fwlink/?LinkId=134481, möglicherweise in englischer Sprache).

  • Stellen Sie sicher, dass die Integrationsdienste auf den virtuellen Computern installiert sind. Die Genauigkeit von Zeitstempeln und Überwachungsprotokolleinträgen ist wichtig für die Computerforensik und die Einhaltung von Richtlinien. Durch die Integrationsdienste wird sichergestellt, dass die Zeit zwischen virtuellen Computern und dem Verwaltungsbetriebssystem synchronisiert wird. Diese Synchronisierung stellt die Konsistenz der Zeit mit dem physischen Standort des virtuellen Computers sicher, wenn virtuelle Computer zwischen Datacentern in verschiedenen Zeitzonen migriert oder von früheren Snapshots wiederhergestellt werden.

  • Verwenden Sie eine dedizierte Netzwerkkarte für das Verwaltungsbetriebssystem des Virtualisierungsservers. Standardmäßig ist für das Verwaltungsbetriebssystem kein virtueller Netzwerkbetrieb konfiguriert. Verwenden Sie eine dedizierte Netzwerkkarte zum Verwalten des Servers mit Hyper-V, und machen Sie sie nicht für nicht vertrauenswürdigen Netzwerkdatenverkehr verfügbar. Lassen Sie nicht zu, dass diese Netzwerkkarte von virtuellen Computern verwendet wird. Verwenden Sie mindestens eine dedizierte Netzwerkkarte für das Netzwerk der virtuellen Computer. Auf diese Weise können Sie verschiedene Ebenen von Netzwerksicherheits-Richtlinien und Konfigurationen auf die virtuellen Computer anwenden. Sie können den Netzwerkbetrieb beispielsweise so konfigurieren, dass die virtuellen Computer über einen anderen Netzwerkzugriff verfügen als das Verwaltungsbetriebssystem. Dies umfasst die Verwendung virtueller lokaler Netzwerke (VLANs), der Internetprotokollsicherheit (Internet Protocol Security, IPSec), des Netzwerkzugriffsschutzes (Network Access Protection, NAP) und von Microsoft Forefront Threat Management Gateway. Weitere Informationen zum Konfigurieren von Netzwerken finden Sie unter Konfigurieren virtueller Netzwerke.

    Weitere Informationen zu NAP finden Sie unter http://go.microsoft.com/fwlink/?LinkID=117804 (möglicherweise in englischer Sprache). Weitere Informationen zu Microsoft Forefront Threat Management Gateway und Microsoft Forefront "Stirling" finden Sie unter http://go.microsoft.com/fwlink/?LinkId=134452 (möglicherweise in englischer Sprache).

  • Verwenden Sie die BitLocker-Laufwerkverschlüsselung zum Schutz von Ressourcen. Die BitLocker-Laufwerkverschlüsselung ermöglicht mithilfe von Features der Serverhardware und der Firmware sichere Betriebssystemstarts und Laufwerkverschlüsselung, auch wenn der Server nicht eingeschaltet ist. Dies trägt zum Schutz der Daten bei, wenn ein Datenträger gestohlen und in einem anderen Computer für Data Mining bereitgestellt wird. Die BitLocker-Laufwerkverschlüsselung trägt auch zum Schutz der Daten bei, wenn ein Angreifer ein anderes Betriebssystem oder ein Softwarehackingtool zum Zugriff auf einen Datenträger verwendet.

    Der Verlust eines physischen Datenträgers stellt vor allem in Szenarien mit kleinen und mittleren Unternehmen sowie in Remotebüros ein Risiko dar, wo die physische Sicherheit des Servers u. U. nicht so streng überwacht wird wie im Datacenter eines Unternehmens. Die Verwendung der BitLocker-Laufwerkverschlüsselung ist jedoch für alle Computer sinnvoll. Sie sollten die BitLocker-Laufwerkverschlüsselung auch auf allen Volumes verwenden, auf denen Dateien virtueller Computer gespeichert werden. Dazu gehören die virtuellen Festplatten, Konfigurationsdateien, Snapshots und alle Ressourcen virtueller Computer, wie z. B. ISO-Abbilder und virtuelle Disketten. Für eine höhere Sicherheitsstufe, die einen sicheren Start umfasst, erfordert die BitLocker-Laufwerkverschlüsselung TPM-Hardware (Trusted Platform Module). Weitere Informationen zur TPM-Verwaltung finden Sie in der schrittweisen Anleitung zur Windows TPM-Verwaltung (http://go.microsoft.com/fwlink/?LinkId=134227, möglicherweise in englischer Sprache).

    Weitere Informationen zum Konfigurieren der BitLocker-Laufwerkverschlüsselung für den Schutz des Servers und der darauf ausgeführten virtuellen Computer finden Sie unter "Windows Server 2008 Hyper-V und BitLocker-Laufwerkverschlüsselung" (http://go.microsoft.com/fwlink/?LinkID=123534, möglicherweise in englischer Sprache).

    Beachten Sie auch die häufig gestellten Fragen (FAQ) zur Windows BitLocker-Laufwerkverschlüsselung (http://go.microsoft.com/fwlink/?LinkId=134228) und die Informationen zum BitLocker-Reparaturtool (http://go.microsoft.com/fwlink/?LinkId=134229, möglicherweise in englischer Sprache).

    ImportantWichtig
    Verwenden Sie die BitLocker-Laufwerkverschlüsselung im Hyper-V-Verwaltungsbetriebssystem und zum Schützen von Volumes, die Konfigurationsdateien, virtuelle Festplatten und Snapshots enthalten. Führen Sie die BitLocker-Laufwerkverschlüsselung nicht innerhalb eines virtuellen Computers aus. Die BitLocker-Laufwerkverschlüsselung wird in einem virtuellen Computer nicht unterstützt.

  • Deaktivieren Sie die BIOS-Einstellungen für die Virtualisierung, wenn sie nicht benötigt werden. Wenn Sie einen Server nicht mehr für die Virtualisierung verwenden, z. B. in einem Test- oder Entwicklungsszenario, sollten sie die BIOS-Einstellungen für die hardwareunterstützte Virtualisierung deaktivieren, die für Hyper-V erforderlich waren. Wenden Sie sich ggf. an den Hardwarehersteller, um Anweisungen zum Deaktivieren der Einstellungen zu erhalten.

Weitere Ressourcen

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Microsoft führt eine Onlineumfrage durch, um Ihre Meinung zur MSDN-Website zu erfahren. Wenn Sie sich zur Teilnahme entscheiden, wird Ihnen die Onlineumfrage angezeigt, sobald Sie die MSDN-Website verlassen.

Möchten Sie an der Umfrage teilnehmen?
Anzeigen:
© 2014 Microsoft