:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/e0/1ee07bf5cbd627475c53ce32cf023a8a/0110575489.jpeg "Unternehmen, die von Datenlecks betroffen sind, haben ein 7-fach höheres Risiko, auch einen Angriff durch Ransomware zu erleiden. Das zeigen Ergebnisse der Darknet-Studie von Botiguard. (Bild: Arthur Kattowitz - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ac/20/ac20783291a95cf067da1ec768834933/0110551872.jpeg "Der Threat Report von Arctic Wolf Labs für 2023 zeigt, dass Cyberangriffe immer raffinierter werden und Unternehmen zunehmend Schwierigkeiten haben, mit der Bedrohung durch Ransomware, Social Engineering und Supply-Chain-Angriffe umzugehen. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/47/21/4721b85a3c99b2a726f2c14f10595d75/0110512209.jpeg "Eavesdropping-Angriffe zielen darauf ab, während einer Datenübertragung, Informationen wie Passwörter, Kartendetails und andere sensible Daten zu erbeuten. (Bild: Thaut Images - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/74/3274604501b9d26401961bf864f1dc65/0109811934.jpeg "Mit dem Security Monitoring Tool Zeek, das auch mit kommerziellen IDS- und SIEM-Werkzeugen zusammenarbeitet, lassen sich mittlere und große Umgebungen überwachen. (Bild: The Zeek Project)")
:quality(80)/p7i.vogel.de/wcms/91/75/9175edeb1bd68cad2b5c77f653f79036/0110576453.jpeg "Unternehmen müssen robuste IT-Security-Maßnahmen implementieren, die sowohl ihre IT- als auch ihre OT-Systeme schützen. (Bild: panuwat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6c/65/6c65a1a9648d14f9555e7e8e008a7f9c/0109735694.jpeg "Mit dem App Traffic Optimizer von Bitdefender können Nutzer jeder Anwendung Bandbreite auf Wunsch zuteilen. (Bild: Bitdefender)")
:quality(80)/p7i.vogel.de/wcms/97/16/97161bc650bf4d7681114ab563c92d70/0110588372.jpeg "Der Update-Dienst „Azure Update Management“ ermöglicht die einfache Aktualisierung von Windows- und Linux-VMs und auch von lokalen Servern. (Bild: Miha Creative - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/64/da64bfed6115566a6d71e7aaa4b64bbb/0109715450.jpeg "Ein wesentlicher Bestandteil für eine erfolgreiche Strategie gegen Ransomware-Angriffe ist die Resilienz des Systems und der Daten. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/90/02/90023abcb6d26dbfda9c9abb4b0e3c73/0110590578.jpeg "Messenger sind ein zentrales Kommunikationstool in Unternehmen und sollten die gleiche Sicherheit aufweisen, wie die gesamte IT-Infrastruktur. (Bild: ra2 studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/33/6f/336f669803411ad2c995f22cae0a8bd7/0110318812.jpeg "Eine SBOM listet sämtliche Komponenten einer Softwareanwendung samt wichtiger Informationen zu Lizenzierung und Sicherheit. (Bild: <a href=https://pixabay.com/users/camellia_sasanqua-2366387/>sasanqua camellia</a>)")
:quality(80)/p7i.vogel.de/wcms/87/4c/874c0af5c15ec80f0d2e20afd9ca476b/0109840850.jpeg "Open-Source-Software birgt Risiken. Synopsys untersucht jährlich, welche das sind. (Bild: © – Words Collage Cloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fe/90/fe90d3face7af97b97babf86c0001d32/0110317541.jpeg "Privileged-Access-Management-Lösungen unterstützen Unternehmen bei der Abwehr von Cyberangriffen. Doch IT-Verantwortliche bemängeln, dass die PAM-Lösungen häufig zu komplex für einen nutzerfreundlichen Einsatz sind. (Bild: magele-picture - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc3f3ceb1b8e33ad874eb0fd6d3e225/0110390941.jpeg "So knacken Hacker Passwörter und das kann man als Schutz dagegen tun. (Bild: jariyawat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4c/b9/4cb9d66fafd8d20bf909bfd236e254b6/0110382436.jpeg "Zwar existiert heute noch kein Quantencomputer, der aktuelle Verschlüsselungsmethoden knacken kann, aber Unternehmen sollten dennoch schon heute entsprechende Vorbereitungen für den Tag treffen, wenn der Fall eintritt. (Bild: Siarhei - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/dc/af/dcaf041113e7b5b8202309088e3893f1/0110591636.jpeg "„Wer sein Unternehmen erfolgreich führen will, muss Cybersecurity zu einem wichtigen Teil der Unternehmensstrategie machen“, meint Markus Robin, Managing Director von SEC Consult Deutschland. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/56/ff/56ff577ef3d84e5690210417e4e551c5/0110554219.jpeg "Das Handbuch "Management von Cyber-Risiken" widmet sich einer umfassenden Unternehmenskultur, die Cyber-Sicherheit jederzeit berücksichtigt und so die Resilienz der Unternehmen erhöht. (Bild: jijomathai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/50/84501585e0f44b12e33125acd91fa5dd/0109580130.jpeg "Unicode ist ein Standard für die universelle Codierung von allen weltweit bekannten Textzeichen in Binärdarstellung. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/ac/ec/acec2e8899c63372cfa6416fb2c12cb8/0109580606.jpeg "Microservices sind kleine, unabhängige Dienste für bestimmte Aufgaben einer Anwendung und bilden einen Gegenentwurf zu monolithischen Anwendungen. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/b1/68/b168e398bcf5fb44337e5a40214e5f56/0109580616.jpeg "Eine API ist eine Schnittstelle zum strukturierten Austausch von Befehlen und Informationen zwischen Programmen oder Programmteilen, mit vorgegebener Syntax. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Video-Tipp: Shielded-VMs – Teil 1 Shielded-VMs und Host Guardian Service in Hyper-V
Microsoft ermöglicht mit Hyper-V einen besonderen Schutz für virtuelle Maschinen (VM). Dazu werden Shielded-VMs eingeführt, die durch einen internen Serverdienst überwacht und geschützt werden. Wir zeigen in diesem Video-Tipp, wie man den Dienst einrichtet und dazu den Host Guardian Service aufsetzt.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087fe6e823c7/arvatosystems-logo-600x600.jpg "ArvatoSystems-Logo_600x600.jpg (Arvato Systems)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Shielded VMs werden von anderen VMs und Hosts im Netzwerk abgeschottet und deren Daten mit Bitlocker verschlüsselt. Für den Betrieb wird ein Cluster oder Server benötigt, auf dem der Host Guardian Service installiert und eingerichtet ist. Die Hyper-V-Hosts bindet man an diesen Server als Guarded-Hosts an und erstellt die Shielded VMs danach auf den Guarded-Hosts.
In Windows Server 2019 kann der Host Guardian Service (HGS) auch Shielded-VMs auf Basis von Linux überwachen und schützen. Für den Einsatz des HGS sind Server mit Windows Server 2019 Datacenter-Edition notwendig. Im Zentrum einer Infrastruktur mit HGS steht ein Cluster, auf dem der Host Guardian Service installiert wird. Dabei handelt es sich um einen Serverdienst, der in Windows Server 2019 getrennt zu Hyper-V installiert wird.
Wie man unter Hyper-V einen Host Guardian Serviceeinrichtet und Shielded-VMs nutzt, zeigen wir hier im Video-Tipp und in der Bildergalerie.
:quality(80)/images.vogel.de/vogelonline/bdb/1638700/1638711/original.jpg "Der Host Guardian Dienst ermöglicht das Absichern von VMs auf Basis von Shielded-VMs. Der Dienst wird auf einem Server im Netzwerk installiert, der am besten noch nicht an Active Directory angebunden ist.")
:quality(80)/images.vogel.de/vogelonline/bdb/1638700/1638712/original.jpg "Die Installation des HGS erfolgt auf Anforderung auch in der PowerShell. Da die komplette Einrichtung ohnehin in der PowerShell erfolgt, lässt sich auch die Installation einbinden.")
:quality(80)/images.vogel.de/vogelonline/bdb/1638700/1638713/original.jpg "Für die Verwaltung von Shielded-VMs wird auf den Guarded-Hosts, die wiederum an den HGS angebunden sind, das Feature für die Unterstütung des HGS installiert.")
:quality(80)/images.vogel.de/vogelonline/bdb/1638700/1638714/original.jpg "Die Verwaltung der Vorlagen für die Erstellung von Shielded-VMs erfolgt mit den VM-Abschirmungstools. Diese werden gesondert installiert.")
Die komplette Verwaltung des HGS-Servers erfolgt in der PowerShell. Es ist also durchaus sinnvoll einen Core-Server mit Windows Server 2019 zu installieren. Die geschützten VMs (Shielded VM) werden wiederum am besten mit System Center Virtual Machine Manager betrieben. Microsoft beschreibt die Vorgehensweise in der Dokumentation auf der Seite „Guarded fabric and shielded VMs“.
HGS installieren und einrichten
Während der Installation des HGS findet keine Konfiguration statt. Das wird erst nachträglich durchgeführt. Sobald der Cluster mit dem HGS im Einsatz ist, werden die Hyper-V-Hosts im Netzwerk an den HGS angebunden. In diesem Zusammenhang werden aus den Hyper-V-Hosts jeweils ein „Guarded Host“. Auf den Guarded-Hosts lassen sich wiederum herkömmliche VMs (non-shielded VMs) und geschützte VMs (shielded VMs betreiben). Der erste Schritt besteht also darin den HGS zu installieren und einzurichten. Die Installation kann über den Server-Manager, das Windows Admin Center, oder in der PowerShell mit dem folgenden Befehl erfolgen:
Install-WindowsFeature -Name HostGuardianServiceRole -IncludeManagementTools -RestartNachdem die Serverrolle installiert ist, wir auf dem Server zunächst eine eigene Domäne erstellt, auf deren Basis die Absicherung der Umgebung erfolgt. Auch das kann in der PowerShell erfolgen:
Install-HgsServer -HgsDomainName „hostgs.com“ -SafeModeAdministratorPassword (read-host -prompt Kennwort -assecurestring) -RestartHier gibt es viele Möglichkeiten der Einrichtung. Microsoft zeigt diese in der Dokumentation zu diesem Thema. Microsoft beschreibt auch die Möglichkeit den HGS in einer bereits vorhandenen AD-Gesamtstruktur zu betreiben. Allerdings muss hier vorsichtig vorgegangen werden. Denn die Administratoren dieser Umgebung haben Zugriff auf die Schlüssel mit denen die VMs geschützt werden. Die Vorgehensweise dazu wird auf der Seite „Choose whether to install HGS in its own dedicated forest or in an existing bastion forest“ besprochen.
Wenn der HGS-Server installiert wurde, besteht der nächste Schritt darin, diesen zu initialisieren. Er wird dazu mit einem Zertifikat ausgestattet. Die Konfiguration erfolgt am besten mit Variablen, die im Vorfeld definiert werden:
Initialize-HGSServer -HgsServiceName $HgsServiceName -SigningCertificatePath $signingCertPath -SigningCertificatePassword $certificatePassword -EncryptionCertificatePath $encryptionCertPath -EncryptionCertificatePassword $certificatePassword -TrustActiveDirectory -ForceDie ausführliche Vorgehensweise beschreibt Microsoft in der Dokumentation. Für Testumgebungen lassen sich auch selbstsignierte Zertifikate verwenden. Die Einrichtung beschreibt Microsoft auf der Seite „Obtain certificates for HGS“.
Guarded Hosts verwalten
Wenn eine HGS-Infrastruktur generell im Einsatz ist, besteht der nächste Schritt darin, die Hyper-V-Hosts an die HGS-Infrastruktur anzufinden. Dazu sind auf den Hyper-V-Hosts drei verschiedene Features notwendig, die am schnellsten über die PowerShell installiert werden:
Install-WindowsFeature -Name HostGuardianInstall-WindowsFeature -Name RSAT-Shielded-VM-ToolsInstall-WindowsFeature -Name FabricShieldedTools -RestartMit den Tools lassen sich zum Beispiel auch Vorlagen definieren, mit denen verschlüsselte VMs erstellt werden.
Wie man unter Hyper-V einen Host Guardian Serviceeinrichtet und Shielded-VMs nutzt, zeigen wir hier im Video-Tipp und in der Bildergalerie.
(ID:46220597)
:quality(80)/images.vogel.de/vogelonline/bdb/1917400/1917476/original.jpg "In diesem Video-Tipp zeigen wir, wie man mit der PowerShell Patches herunterladen, installieren, deinstallieren und anzeigen kann. (Alexander Limbach - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1922100/1922143/original.jpg "Mit diesen 10 Tipps lassen sich virtuelle Maschinen (VMs) in Microsoft Azure sicherer betreiben. (greenbutterfly - stock.adobe.com)")