:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a0/95/a095168ae2294c8b7ff3a1128643d10a/0114443428.jpeg "Im Einzelhandel herrscht in Sachen Datensicherheit noch Verbesserungsbedarf, wie eine aktuelle Arcserve-Studie zeigt. (Bild: Werner Moser)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0a/1d/0a1d5160bd84f148343b99829afb77cf/0115212172.jpeg "Die Verwaltung von TLS-Maschinenidentitäten ist keine leichte Aufgabe. Wenn die Zertifikate nicht ersetzt werden, bevor sie ablaufen, verursachen sie einen Ausfall der Website oder Anwendung, die sie schützen. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/46/8446ae030778a3654d2b3e6dab91209b/0115650702.jpeg "Das neue eBook dreht sich um intelligente Cyberschutzmaßnahmen als Antwort auf aktuelle Herausforderungen. (Bild: stock.adobe.com / Blue Planet Studio / VIT)")
:quality(80)/p7i.vogel.de/wcms/c8/d1/c8d1f3442178098f90def365545bda6f/0115034228.jpeg "Sicherheit heißt Kontrolle über den Zugriff auf Edge-Geräte und Elemente sowie alle lokalen Schnittstellen, Terminals und Portale. (Bild: putilov_denis - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e4/12/e412ce4886ae7a9735f2e41ed5044be8/0115212283.jpeg "Alle Unternehmen, die für ihre Anwendungen einen Cloud-nativen Ansatz verfolgen, sollten die Sicherheit von Anfang an einbeziehen. (Bild: Flo - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0e/dd/0edd1f78dc564fcb3a474cd7670fc655/0114777783.jpeg "CyberArk hat neue Funktionen für seinen Secure Cloud Access vorgestellt. (Bild: frei lizenziert Lee Jie Jie - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/85/dc/85dc8937392c9ee9c8050e17cbd61e9f/0115596163.jpeg "Um das gesamte Sicherheitsmaßnahmenspektrum abzudecken, braucht es nicht nur die entsprechenden Produkte, sondern auch qualifizierte Managed Security Service Provider. (Bild: janews094 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c3/99/c3993faccfec24f2fb4380ec8129cdd9/0115631702.jpeg ""Wie die Cloud E-Mails schützen kann", ein Interview von Oliver Schonschek, Insider Research, mit Günter Esch von SEPPmail. (Bild: Vogel IT-Medien / SEPPmail / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9184a82eabf262e6ab3ceadb1890309/0112150345.jpeg "Unsere Reise durch Metavers startet bei isolierten 3D-Welten und führt uns über interoperable Plattformen bis zu spezialisierten, industriellen Anwendungen. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/79/9b/799bd1b922182554e787754eef6ddc12/0115212110.jpeg "Der Kampf um sichere Logins ist in vollem Gange. Dieser Beitrag erklärt, warum Passkeys schneller, einfacher und sicherer sind als Passwörter. (Bild: bloomicon - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/43/12/43126efe9769dd09bcc69ddf76be9165/0115212299.jpeg "Die Umsetzung des Datenschutzes wird nie abgeschlossen sein. Unternehmen müssen fortlaufend an ihrem Datenschutzkonzept arbeiten, um die darin definierten Maßnahmen wirksam zu halten. (Bild: fotohansel - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d7/d1d77deeabe6acbcda7494c86f59d6f0/0115212147.jpeg "Die ISO/IEC 27001 stellt sicher, dass alle Aspekte der Informationssicherheit angemessen berücksichtigt werden – und dies systematisch und nach einem einheitlichen, weltweit gültigen Schema. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Video-Tipp: Shielded-VMs – Teil 1 Shielded-VMs und Host Guardian Service in Hyper-V
Microsoft ermöglicht mit Hyper-V einen besonderen Schutz für virtuelle Maschinen (VM). Dazu werden Shielded-VMs eingeführt, die durch einen internen Serverdienst überwacht und geschützt werden. Wir zeigen in diesem Video-Tipp, wie man den Dienst einrichtet und dazu den Host Guardian Service aufsetzt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Shielded VMs werden von anderen VMs und Hosts im Netzwerk abgeschottet und deren Daten mit Bitlocker verschlüsselt. Für den Betrieb wird ein Cluster oder Server benötigt, auf dem der Host Guardian Service installiert und eingerichtet ist. Die Hyper-V-Hosts bindet man an diesen Server als Guarded-Hosts an und erstellt die Shielded VMs danach auf den Guarded-Hosts.
In Windows Server 2019 kann der Host Guardian Service (HGS) auch Shielded-VMs auf Basis von Linux überwachen und schützen. Für den Einsatz des HGS sind Server mit Windows Server 2019 Datacenter-Edition notwendig. Im Zentrum einer Infrastruktur mit HGS steht ein Cluster, auf dem der Host Guardian Service installiert wird. Dabei handelt es sich um einen Serverdienst, der in Windows Server 2019 getrennt zu Hyper-V installiert wird.
Wie man unter Hyper-V einen Host Guardian Serviceeinrichtet und Shielded-VMs nutzt, zeigen wir hier im Video-Tipp und in der Bildergalerie.
:quality(80)/images.vogel.de/vogelonline/bdb/1638700/1638711/original.jpg "Der Host Guardian Dienst ermöglicht das Absichern von VMs auf Basis von Shielded-VMs. Der Dienst wird auf einem Server im Netzwerk installiert, der am besten noch nicht an Active Directory angebunden ist.")
:quality(80)/images.vogel.de/vogelonline/bdb/1638700/1638712/original.jpg "Die Installation des HGS erfolgt auf Anforderung auch in der PowerShell. Da die komplette Einrichtung ohnehin in der PowerShell erfolgt, lässt sich auch die Installation einbinden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1638700/1638713/original.jpg "Für die Verwaltung von Shielded-VMs wird auf den Guarded-Hosts, die wiederum an den HGS angebunden sind, das Feature für die Unterstütung des HGS installiert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1638700/1638714/original.jpg "Die Verwaltung der Vorlagen für die Erstellung von Shielded-VMs erfolgt mit den VM-Abschirmungstools. Diese werden gesondert installiert.")
Die komplette Verwaltung des HGS-Servers erfolgt in der PowerShell. Es ist also durchaus sinnvoll einen Core-Server mit Windows Server 2019 zu installieren. Die geschützten VMs (Shielded VM) werden wiederum am besten mit System Center Virtual Machine Manager betrieben. Microsoft beschreibt die Vorgehensweise in der Dokumentation auf der Seite „Guarded fabric and shielded VMs“.
HGS installieren und einrichten
Während der Installation des HGS findet keine Konfiguration statt. Das wird erst nachträglich durchgeführt. Sobald der Cluster mit dem HGS im Einsatz ist, werden die Hyper-V-Hosts im Netzwerk an den HGS angebunden. In diesem Zusammenhang werden aus den Hyper-V-Hosts jeweils ein „Guarded Host“. Auf den Guarded-Hosts lassen sich wiederum herkömmliche VMs (non-shielded VMs) und geschützte VMs (shielded VMs betreiben). Der erste Schritt besteht also darin den HGS zu installieren und einzurichten. Die Installation kann über den Server-Manager, das Windows Admin Center, oder in der PowerShell mit dem folgenden Befehl erfolgen:
Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -RestartNachdem die Serverrolle installiert ist, wir auf dem Server zunächst eine eigene Domäne erstellt, auf deren Basis die Absicherung der Umgebung erfolgt. Auch das kann in der PowerShell erfolgen:
Install-HgsServer -HgsDomainName „hostgs.com“ -SafeModeAdministratorPassword (read-host -prompt Kennwort -assecurestring) -RestartHier gibt es viele Möglichkeiten der Einrichtung. Microsoft zeigt diese in der Dokumentation zu diesem Thema. Microsoft beschreibt auch die Möglichkeit den HGS in einer bereits vorhandenen AD-Gesamtstruktur zu betreiben. Allerdings muss hier vorsichtig vorgegangen werden. Denn die Administratoren dieser Umgebung haben Zugriff auf die Schlüssel mit denen die VMs geschützt werden. Die Vorgehensweise dazu wird auf der Seite „Choose whether to install HGS in its own dedicated forest or in an existing bastion forest“ besprochen.
Wenn der HGS-Server installiert wurde, besteht der nächste Schritt darin, diesen zu initialisieren. Er wird dazu mit einem Zertifikat ausgestattet. Die Konfiguration erfolgt am besten mit Variablen, die im Vorfeld definiert werden:
Initialize-HGSServer -HgsServiceName $HgsServiceName -SigningCertificatePath $signingCertPath -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath $encryptionCertPath -EncryptionCertificatePassword $certificatePassword -TrustActiveDirectory -ForceDie ausführliche Vorgehensweise beschreibt Microsoft in der Dokumentation. Für Testumgebungen lassen sich auch selbstsignierte Zertifikate verwenden. Die Einrichtung beschreibt Microsoft auf der Seite „Obtain certificates for HGS“.
Guarded Hosts verwalten
Wenn eine HGS-Infrastruktur generell im Einsatz ist, besteht der nächste Schritt darin, die Hyper-V-Hosts an die HGS-Infrastruktur anzufinden. Dazu sind auf den Hyper-V-Hosts drei verschiedene Features notwendig, die am schnellsten über die PowerShell installiert werden:
Install-WindowsFeature -Name HostGuardianInstall-WindowsFeature -Name RSAT-Shielded-VM-ToolsInstall-WindowsFeature -Name FabricShieldedTools -RestartMit den Tools lassen sich zum Beispiel auch Vorlagen definieren, mit denen verschlüsselte VMs erstellt werden.
Wie man unter Hyper-V einen Host Guardian Serviceeinrichtet und Shielded-VMs nutzt, zeigen wir hier im Video-Tipp und in der Bildergalerie.
(ID:46220597)
:quality(80)/p7i.vogel.de/wcms/e9/d4/e9d4123dc40cf9482fc81d9654bcd4cb/0109226021.jpeg "Unternehmen müssen ihr Active Directory unbedingt härten und vor Angriffen schützen, da hier alle Anmeldedaten der Benutzer gespeichert sind und damit auch die Rechte, mit denen Benutzer auf Ressourcen im Unternehmen zugreifen können. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")