• Artykuł

Windows Server 2008

Planowanie zabezpieczeń platformy Hyper-V Udostępnij na: Facebook

Opublikowano: 17 kwietnia 2009 | Zaktualizowano: 17 kwietnia 2009

Zawartość strony
Stosowanie instalacji Server Core dla partycji nadrzędnej.   Stosowanie instalacji Server Core dla partycji nadrzędnej.
Nie należy uruchamiać żadnych aplikacji w partycji nadrzędnej.   Nie należy uruchamiać żadnych aplikacji w partycji nadrzędnej.
Administratorom maszyny wirtualnej nie należy przydzielać uprawnień do partycji nadrzędnej.   Administratorom maszyny wirtualnej nie należy przydzielać uprawnień do partycji nadrzędnej.
Przed włączeniem maszyn wirtualnych w środowisku produkcyjnym należy upewnić się, że zostały one w pełni zaktualizowane.   Przed włączeniem maszyn wirtualnych w środowisku produkcyjnym należy upewnić się, że zostały one w pełni zaktualizowane.
Używanie dedykowanej karty sieciowej do zarządzania serwerem wirtualizacji.   Używanie dedykowanej karty sieciowej do zarządzania serwerem wirtualizacji.
Program Windows BitLocker™ Drive Encryption powinien być używany do ochrony zasobów maszyny wirtualnej.   Program Windows BitLocker™ Drive Encryption powinien być używany do ochrony zasobów maszyny wirtualnej.

Informacje na tej stronie mają pomóc specjalistom IT ochronić swoje systemy przed robakiem Conficker. Mają również pomóc przywrócić zainfekowane systemy do życia.

Po zainstalowaniu systemu operacyjnego Windows Server® 2008 i włączeniu roli platformy Hyper-V system jest gotowy do uruchamiania na serwerze maszyn wirtualnych (VM).

Jaki ma to wpływ na bezpieczeństwo? Niezbyt wielki. Platforma Hyper-V została zaprojektowana tak, by była dość przezroczysta. Maszyny wirtualne są zabezpieczane w ten sam sposób, co komputery fizyczne. Przykładowo, jeśli na komputerze fizycznym uruchamiane jest oprogramowanie antywirusowe, trzeba je uruchomić na maszynie wirtualnej (nie na hoście). Jeśli serwer fizyczny przydzielany jest do danej sieci, to samo trzeba wykonać z maszyną wirtualną.

Zabezpieczanie samego serwera wirtualizacji związane jest z realizacją wszystkich operacji, które potrzebne są do zabezpieczenia każdej roli serwera Windows Server 2008 plus kilka dodatkowych czynności zabezpieczania maszyn wirtualnych, plików konfiguracji i danych. Dodatkowe informacje pomocne podczas zabezpieczania pracy systemu Windows Server 2008 znaleźć można w artykule „Windows Server 2008 Security Guide” (j.ang.).

Poniżej wymienione zostały zalecenia praktyczne firmy Microsoft, zwiększające bezpieczeństwo serwerów wirtualizacji platformy Hyper-V. Wiele z tych zaleceń stosuje się także do innych serwerów wirtualizacji.

Stosowanie instalacji Server Core dla partycji nadrzędnej.

Instalacja Server Core systemu Windows Server 2008 przedstawia sobą najmniejszy obszar zagrożeń i zmniejsza liczbę poprawek, aktualizacji i ponownych uruchomień wymaganych do konserwacji systemów.

Szczegółowe informacje i poradniki na temat instalacji Server Core znaleźć można w artykule „Hyper-V Planning and Deployment Guide” (j.ang.), w którym zamieszczono dokładne instrukcje włączenia roli Hyper-V dla instalacji Server Core i dla pełnej instalacji systemu Windows Server 2008.

Warto pamiętać, że nie istnieje metoda aktualizowania instalacji Server Core do pełnej instalacji systemu Windows Server 2008. Jeśli zachodzi potrzeba korzystania z interfejsu użytkownika systemu Windows Server lub roli serwera, która nie jest obsługiwana przez instalację Server Core, trzeba zainstalować pełną wersję systemu Windows Server 2008. Platforma Hyper-V w instalacji Server Core będzie zarządzana zdalnie przy użyciu narzędzi zarządzania platformy Hyper-V dla systemu Windows Server 2008 i Windows Vista® Service Pack 1 (SP1). Dodatkowe informacje na ten temat znaleźć można w artykule 952627 i artykule 950050 w Bazie Wiedzy Microsoft. Dodatkowe informacje na temat narzędzi konfigurowania do zarządzania zdalnego platformy Hyper-V znaleźć można w poradniku „Hyper-V Planning and Deployment Guide”.

Dobrym rozwiązaniem jest budowanie obrazu instalacji systemu Windows Server 2008 z włączoną rolą Hyper-V, aby mógł być używany jako bazowy system operacyjny dla maszyn wirtualnych. Robert Larson napisał doskonały artykuł krok-po-kroku (j.ang.) na temat, w jaki sposób dla systemu Windows Server 2008 posługiwać się zestawem WAIK (Windows Automated Installation Kit) do wprowadzenia do obrazu aktualizacjiplatformy Hyper-V i zintegrowanych składników, by uprościć instalację. Wystarczy dodać instalację Server Core do swojej „receptury” i gotowe.

 Do początku strony Do początku strony

Nie należy uruchamiać żadnych aplikacji w partycji nadrzędnej.

Wszystkie aplikacje należy uruchamiać na maszynach wirtualnych, które korzystają z partycji podrzędnych. Przykładowo, jeśli wymagany jest program antywirusowy, należy zapewnić, by był uruchamiany na maszynach wirtualnych, a nie na partycji nadrzędnej.

Utrzymanie partycji nadrzędnej wolnej od aplikacji oraz funkcjonowanie w oparciu o instalację Core systemu Windows Server 2008 oznacza mniejszą liczbę aktualizacji hosta, ponieważ żadne oprogramowanie nie wymaga aktualizacji oprócz instalacji Server Core, składników usługi Hyper-V i niewielkiego składnika hypervisor (ok. 600 kB).

Program Microsoft® System Center Virtual Machine Manager używany jest do konwersji serwera w maszynę wirtualną i uruchamiania go na serwerze wirtualizacji jako maszyna wirtualna. W programie Virtual Machine Manager proces ten nazywany jest konwersją P2V (physical-to-virtual). Dodatkowe informacje na temat konwersji P2V znaleźć można w artykule „Converting Physical Computers to Virtual Machines” (j.ang.). Jeśli administrator nie chce korzystać z zestawu WAIK, może posługiwać się konwersją P2V na instalacji Server Core i używać jej jako baza dla wszystkich maszyn wirtualnych VM.

Poziom zabezpieczeń maszyny wirtualnej powinien określać poziom zabezpieczeń hosta. Maszyny wirtualne powinny być instalowane na serwerach, które mają podobne wymagania bezpieczeństwa. Przykładowo, jeśli ryzyko i nakłady na zabezpieczenia klasyfikowane są poprzez trzy poziomy – bezpieczny, bardziej bezpieczny, najbezpieczniejszy – najwyższy stopień zgodności z wymaganiami i procedurami kontrolnymi należy stosować dla „najbezpieczniejszych” serwerów, a mniejsze wymagania zabezpieczeń stosowane będą do serwerów, których wymogi bezpieczeństwa zostały sklasyfikowane niżej.

Zasada ta obowiązuje niezależnie od tego, czy używany jest serwer fizyczny, czy uruchomiony na maszynie wirtualnej. Jeśli na hoście zainstalowane są „bezpieczne” i „bardziej bezpieczne” maszyny wirtualne, to host powinien być zabezpieczony jako „bardziej bezpieczny” serwer. W celu ułatwienia zarządzania można instalować maszyny wirtualne o podobnych poziomach bezpieczeństwa na serwerze wirtualizacji i nie mieszać na tym samym hoście maszyn wirtualnych o różnych poziomach zabezpieczeń.

Działanie takie pozwala także przenosić maszyny wirtualne pomiędzy różnymi hostami o tym samym poziomie zabezpieczeń bez obaw lub dodatkowej pracy – przy użyciu na przykład grup hosta programu Virtual Machine Manager 2007.

 Do początku strony Do początku strony

Administratorom maszyny wirtualnej nie należy przydzielać uprawnień do partycji nadrzędnej.

Zgodnie z zasadą możliwie najmniejszych uprawnień, administratorom maszyny wirtualnej (czasami nazywanych administratorami działu lub administratorami delegowanymi) powinno się przydzielać minimalne uprawnienia – tylko te, które są wymagane.

Zarządzanie wymaganymi uprawnieniami dla wszystkich obiektów skojarzonych z maszyną wirtualną może być dużym obciążeniem, a ewentualne błędy mogą potencjalnie doprowadzić do zagrożenia bezpieczeństwa. Usługa kontroli dostępu, bazująca na roli (RBAC), pozwala definiować kontrolę dostępu w odniesieniu do struktury organizacyjnej przedsiębiorstwa. Usługa RBAC realizuje to zadanie poprzez tworzenie nowego obiektu nazwanego rolą. Użytkownik przypisywany jest do roli, aby mógł wykonywać swoje funkcje. Platforma Hyper-V korzysta z zasad AzMan (Authorization Manager) do zrealizowania kontroli RBAC.

 Do początku strony Do początku strony

Przed włączeniem maszyn wirtualnych w środowisku produkcyjnym należy upewnić się, że zostały one w pełni zaktualizowane.

Ponieważ maszyny wirtualne można znacznie łatwiej przenosić i szybciej instalować niż komputery fizyczne, znacznie wzrasta ryzyko, że może zostać zainstalowana maszyna wirtualna, która nie została w pełni zaktualizowana. Aby skutecznie zminimalizować to zagrożenie, należy stosować te same metody i procedury aktualizacji maszyn wirtualnych, co w przypadku aktualizowania serwerów fizycznych.

Przykładowo, jeśli dopuszczone są automatyczne aktualizacje przy użyciu usługi Windows® Update, Microsoft System Center Configuration Manager lub innej metody dystrybucji oprogramowania, to należy zapewnić, by przed zainstalowaniem maszyn wirtualnych zostały one zaktualizowane.

Zadanie to można zrealizować stosując w platformie Hyper-V hosty konserwacji i usługę szybkiej migracji. Host konserwacji jest hostem dedykowanym do aktualizowania przechowywanych zasobów i przygotowania maszyn wirtualnych przed przeniesieniem ich do środowiska produkcyjnego.

Dodatkowe informacje na temat hostów konserwacji znaleźć można w artykule „Planning for Hosts” (j.ang.). Dodatkowe informacje na temat używania usługi szybkiej migracji do przenoszenia maszyn wirtualnych do hosta konserwacji zamieszczono w artykule „Hyper-V Step-by-Step Guide: Testing Hyper-V and Failover Clustering” (j.ang.).

W celu zaktualizowania maszyn wirtualnych przed ich włączeniem można posłużyć się oprogramowaniem Offline Virtual Machine Servicing Tool. Dodatkowe informacje na temat tego narzędzia znaleźć można w artykule „Offline Virtual Machine Servicing Tool Executive Overview” (j.ang.).

 Do początku strony Do początku strony

Używanie dedykowanej karty sieciowej do zarządzania serwerem wirtualizacji.

Domyślnie karta sieciowa NIC0 przeznaczona jest dla partycji nadrzędnej. Należy jej używać do zarządzania serwerem platformy Hyper-V i nie dopuszczać do niej ruchu sieci niezaufanych. Żadna maszyna wirtualna nie powinna korzystać z tej karty sieciowej.

Dla sieci maszyn wirtualnych należy używać jednej lub kilku dedykowanych kart sieciowych. Dzięki temu do maszyn wirtualnych można stosować różne poziomy i konfiguracje zasad zabezpieczeń sieci. Na przykład można tak skonfigurować sieć, aby maszyny wirtualne na hoście miały inny dostęp do sieci niż host, wliczając w to używanie sieci VLAN (Virtual Local Area Networks), Internet Protocol Security (IPsec), Network Access Protection (NAP) i oprogramowanie Microsoft Forefront™ Threat Management Gateway.

Ponadto, jeśli maszyna wirtualna zajmuje zbyt wiele pasma sieci, dedykowana karta sieciowa pozwala uzyskać dostęp do serwera wirtualizacji i przedsięwziąć działania na tej maszynie wirtualnej, by poprawić zaistniałą sytuację. Dodatkowe informacje na temat konfigurowania sieci znaleźć można w artykule „Configuring virtual networks” w poradniku Hyper-V Planning and Deployment Guide.

Dodatkowe informacje na temat usługi NAP znaleźć można w artykule https://www.microsoft.com/technet/network/nap/napoverview.mspx. Dodatkowe informacje na temat oprogramowania Microsoft Forefront Threat Management Gateway i Forefront Code Name „Stirling” (następna generacja programu Integrated Security System w rodzinie produktów zabezpieczania przedsiębiorstw) znaleźć można w artykule https://www.microsoft.com/presspass/press/2008/apr08/04-08ForefrontBetaPR.mspx.

 Do początku strony Do początku strony

Program Windows BitLocker™ Drive Encryption powinien być używany do ochrony zasobów maszyny wirtualnej.

Program BitLocker Drive Encryption funkcjonuje w oparciu o funkcje sprzętu i oprogramowanie układowe serwera w celu zapewnienia bezpiecznego szyfrowania dysku i rozruchu systemu operacyjnego, nawet jeśli serwer nie jest zasilany i włączony.

Funkcja ta chroni dane w przypadku kradzieży dysku i próby podłączenia dysku do innego komputera. Program BitLocker Drive Encryption ułatwia także ochronę danych, jeśli atakujący korzysta z innego systemu operacyjnego lub uruchamia specjalne narzędzia pozwalające uzyskać dostęp do dysku.

Utrata dysku fizycznego jest najistotniejszym zagrożeniem w niewielkiej lub średniej wielkości przedsiębiorstwach i biurach zdalnych, gdzie ochrona fizyczna serwera może nie być tak bardzo rygorystyczna, jak w centrach danych korporacji. Jednak stosowanie ochrony ma sens dla wszystkich hostów.

Program BitLocker Drive Encryption powinien być używany dla wszystkich woluminów, na których przechowywane są pliki maszyn wirtualnych, co obejmuje maszyny wirtualne, wirtualne dyski twarde, pliki konfiguracji, migawki i pozostałe zasoby maszyn wirtualnych, takie jak dyski ISO czy VFD.

Dla zapewnienia wyższego poziomu bezpieczeństwa, który obejmuje bezpieczne uruchamianie, program BitLocker Drive Encryption wymaga sprzętowego modułu TPM (Trusted Platform Module). Zarządzanie modułem TPM opisane zostało w poradniku „Windows Trusted Platform Module Management Step-by-Step Guide”.

Dodatkowe informacje na temat sposobów konfigurowania programu BitLocker Drive Encryption do ochrony serwera i uruchomionych na nim maszyn wirtualnych znaleźć można w artykule „Windows Server 2008 Hyper-V and BitLocker Drive Encryption”.

Wartościowe informacje znaleźć można także w artykule „Windows BitLocker Drive Encryption Frequently Asked Questions” i „BitLocker Repair Tool”.

Ważne: Programu BitLocker Drive Encryption należy używać wyłącznie dla partycji nadrzędnej platformy Hyper-V. Ponieważ program BitLocker Drive Encryption nie jest obsługiwany wewnątrz maszyny wirtualnej, nie należy go uruchamiać w tym środowisku.

 Do początku strony Do początku strony

Windows Server 2008