Der Nachweisdienst stellt sicher, dass nur vertrauenswürdige Hyper-V-Hosts abgeschirmte VMs ausführen können, während der Schlüsselschutzdienst die Schlüssel bereitstellt, die erforderlich sind, um sie einzuschalten und ihre Livemigration zu anderen geschützten Hosts durchzuführen. Wenn Sie sich für den Wechsel zum TPM-vertrauenswürdigen Nachweis entscheiden, wenn Sie neue Hardware erwerben, können Sie den Nachweismodus auf dem Host-Ãberwachungsdienst mit minimaler oder ohne Unterbrechung Ihres Fabrics wechseln. Wenn das Integritätszertifikat gültig ist, versucht KPS, den geheimen Schlüssel zu entschlüsseln und die zum Einschalten der VM erforderlichen Schlüssel sicher zurückzugeben. Virtualisierungssicherheit ist ein wichtiger Investitionsbereich in Hyper-V. Virtualization security is a major investment area in Hyper-V. Zusätzlich zum Schutz von Hosts oder anderen virtuellen Computern vor einem virtuellen Computer mit Malware müssen wir virtuelle Computer auch vor einem gefährdeten Host schützen. Neueste Software-Tipps. On a Shielded VM instance, the vTPM and integrity monitoring options are enabled by default, but Secure Boot is not. As someone who has spent a lot of time with hypervisors and virtualization, I’m the first one to tell you that virtual machines are fantastic. Das folgende Diagramm zeigt, wie der Host-Ãberwachungsdienst den Nachweis verwendet, um sicherzustellen, dass nur bekannte und gültige Hosts die abgeschirmte VM starten können, und den Schlüsselschutzdienst, um die Schlüssel für abgeschirmte VMs sicher freizugeben. If you currently do not have TPM 2.0 or any TPM, you can use host key attestation. secure boot, TPMs and disk encryption. The main differences being that options like Generation 2, UEFI, secure boot etc. Denn nur sie bieten die nötigen Schutzvoraussetzungen. So wird Secure Boot per PowerShell oder Hyper-V Manager aktiviert. keyboard, mouse), Aktiviert auf Hosts ab Windows Server-Version 1803; Auf früheren Hosts deaktiviert, Enabled on hosts beginning with Windows Server version 1803; Disabled on earlier hosts, Deaktiviert (kann nicht aktiviert werden), Anfügen eines Debuggers (an den VM-Prozess). Abgeschirmte VMs würden z.B. A public or private cloud administrator that can manage virtual machines. A virtualized version of a Trusted Platform Module (TPM). Diese vertraulichen Informationen befinden sich in einer als geschützte Datendatei (PDK-Datei) bezeichneten verschlüsselten Datei, die von Mandantenschlüsseln geschützt und vom Mandanten in das Fabric hochgeladen wird. (rhh), Von KMU bis Enterprise: wie IT mit dem Unternehmen mitwächst, Sieben Tipps bringen mehr Sicherheit in Zeiten der Microservices, Amazon und Red Hat kooperieren beim Enterprise Kubernetes Service Openshift, File- und Objekt-Speicher-Virtualisierung und bietet Transparenz, Kubernetes WAF: sichere Bereitstellung von Anwendungen ohne Agilitätsverluste, gestohlene Administrator-Anmeldeinformationen oder. The secret is encrypted using other keys that only KPS knows. in Fällen hilfreich, in denen eine abgeschirmte VM sich typischerweise in einer lokalen privaten Cloud befindet, jedoch möglicherweise zur Wiederherstellung im Notfall zu einer anderen (öffentlichen oder privaten) Cloud migriert werden muss. With TPM-trusted attestation, the host's TPM identity, boot measurements, and code integrity policy are validated. Die folgende Abbildung zeigt die geschützte Datendatei und zugehörige Konfigurationselemente. Shielded VMs also boot from a virtual Unified Extensible Firmware Interface (UEFI), so that the state of the host and the VM can be verified as the VM fires up only releasing the encryption key if it’s still healthy. Sie benötigt TPM 2.0 (frühere TPMs werden nicht unterstützt) beim Hyper-V-Hosts. Virtualisierungsbasierte Sicherheit (VBS). Dieser Dienst nimmt die Schlüssel auf, die nötig sind, um Shielded VMs auf autorisierten Hyper-V-Hostsystemen laufen zu lassen, wenn sie ihren „gesunden“ (also nicht kompromittierten) Zustand nachweisen können. Eine geschützte Datendatei (auch als Bereitstellungsdatendatei oder PDK-Datei bezeichnet) ist eine verschlüsselte Datei, die ein Mandant oder VM-Besitzer erstellt, um wichtige VM-Konfigurationsinformationen, z.B. Attestation happens when the host starts and every 8 hours thereafter. Eine geschützte Datendatei kann z.B. Das kann auf zwei Arten erfolgen: Eine TPM-basierte „Attestation“ oder aber eine Active Directory-basierte „Attestation“. Eine geschützte Datendatei (auch als Bereitstellungsdatendatei oder PDK-Datei bezeichnet) ist eine verschlüsselte Datei, die ein Mandant oder VM-Besitzer erstellt, um wichtige VM-Konfigurationsinformationen, z.B. Spezielle Aufgaben wie das Sichern der Umgebung werden unter Umständen auch einem Backup-Administrator zugeordnet. The following figure shows the shielding data file and related configuration elements. Wenn Sie derzeit nicht über TPM 2,0 oder ein TPM verfügen, können Sie den Host Schlüssel Nachweis verwenden. Während abgeschirmte VMs den Betriebssystemdatenträger nur automatisch verschlüsseln und schützen, können Sie der abgeschirmten VM angefügte, While shielded VMs only automatically encrypt and protect the operating system disk, you can. Similarly, the hosting provider cannot substitute a different VHDX when creating the shielded VM, because the shielding data file contains the signatures of the trusted disks that shielded VMs can be created from. Mit einem Debugger könnte man zum Beispiel nicht an diese Informationen gelangen, denn das würde im Zuge des Attestation-Prozesses bemerkt und der „Gesundheits-Check“ würde fehlschlagen – Resultat: Die Schlüssel würden nicht an den Host übermittelt. Wenn es zu einer Live Migration der Shielded VM kommt, wird der Netzwerkverkehr automatisch verschlüsselt. Informationen zur Richtlinie für die Code Integrität (CI), die auf dem Host angewendet wurde.Information about the Code Integrity (CI) policy that was applied on the host. Beachten Sie, dass die Schlüssel in den VSB des geschützten Hosts verschlüsselt werden.Note that the keys are encrypted to the guarded host's VBS. Ebenso kann der Hostinganbieter beim Erstellen der abgeschirmten VM keine andere VHDX verwenden, da die geschützte Datendatei die Signaturen des vertrauenswürdigen Datenträgers enthält, auf dessen Basis abgeschirmte VMs erstellt werden können.Similarly, the hosting provider cannot substitute a different VHDX when creating the shielded VM, because the shielding data file contains the signatures of the trusted disks that shielded VMs can be created from. Beim Erstellen von VMS muss sichergestellt werden, dass die VM-Geheimnisse, wie z. b. die vertrauenswürdigen Datenträger Signaturen, RDP-Zertifikate und das Kennwort des lokalen Administrator Kontos der VM, nicht an das Fabric weitergegeben werden. What is shielding data and why is it necessary? Der geheime Schlüssel wird mit anderen Schlüsseln verschlüsselt, die nur KPS bekannt sind. Sowohl abgeschirmte als auch durch Verschlüsselung unterstützte VMs unterstützen weiterhin gängige Fabricverwaltungsfunktionen wie Livemigration, Hyper-V-Replikat, VM-Prüfpunkt usw.Both shielded VMs and encryption-supported VMs continue to support commonplace fabric management capabilities, such as Live Migration, Hyper-V replica, VM checkpoints, and so on. For example, an enterprise might deploy a guarded fabric in order to ensure VM disks are encrypted at-rest for compliance purposes. Virtual Secure Mode provides the system with the ability to store operating system keys that are not visible to an operating system administrator. Windows Server 2016's new Host Guardian Service (HGS) gets the job of verifying whether hosts are allowed to run a Shielded VM and/or are in a fit condition to run it. Es kommt ein gehärteter „VM Worker Process“ (VMWP) zum Einsatz, der unterbindet, dass die VM untersucht oder geändert wird. Ein Hyper-V-Host, auf dem abgeschirmte VMs ausgeführt werden können. Abgeschirmte VMs und geschütztes Fabric ermöglichen Clouddienstanbietern oder Private Cloud-Administratoren in Unternehmen, eine sichere Umgebung für Mandanten-VMs bereitzustellen.Shielded VMs and guarded fabric enable cloud service providers or enterprise private cloud administrators to provide a more secure environment for tenant VMs. The shielding data file (PDK file) provides assurances that the VM will be created in the way the tenant intended. Secure boot also prevents the startup of VMs with corrupted drivers. The benefits are many; however, as much as I love virtualization, I’m almost the first person to tell you that virtualization also requires us to think differently about the security of our virtualized infrastructure … Eine abgeschirmte VM ist eine VM der Generation 2 (unterstützt unter Windows Server 2012 und höher), die über ein virtuelles TPM verfügt, mit BitLocker verschlüsselt ist und nur auf fehlerfreien und genehmigten Hosts im Fabric ausgeführt werden kann. Nachweis erfolgreich (oder mit Fehler).Attestation succeeds (or fails). 1 Host-Ãberwachungsdienst (Host Guardian Service, HGS) (in der Regel ein Cluster mit 3 Knoten), 1 Host Guardian Service (HGS) (typically, a cluster of 3 nodes). Tipp: Ihr Windows-8-Rechner läuft schneller, wenn Sie unnötige Dienste abschalten. Der Host fordert einen VM-Schlüssel an.Host requests VM key. To enable Secure Boot on Linux (Ubuntu) Virtual Machine Power off the Ubuntu VM and go to setting on left side where you have a Security tab, select it. Generation 2 â durch Verschlüsselung unterstützt, Verschlüsseln des VM-Status und Livemigrations-Datenverkehr, Encrypt VM state and live migration traffic, Bestimmte Integrationskomponenten blockiert (z.B. Sowohl abgeschirmte als auch durch Verschlüsselung unterstützte VMs unterstützen weiterhin gängige Fabricverwaltungsfunktionen wie Livemigration, Hyper-V-Replikat, VM-Prüfpunkt usw. Eine Gruppe abgeschirmter virtueller Computer. If for some reason a host doesn't have an attestation certificate when a VM tries to start, this also triggers attestation. This task describes how to use the vSphere Client to enable secure boot for a virtual machine. Guarded Fabric and Shielded VMs Secure Boot setting in Hyper-V Manager Secure Boot is a feature available with generation 2 virtual machines that helps prevent unauthorized firmware, operating systems, or Unified Extensible Firmware Interface (UEFI) drivers (also known as option ROMs) from running at boot time. Die Zielcloud oder das Zielfabric muss abgeschirmte VMs unterstützen, und die abgeschirmte VM muss dem Fabric die Ausführung genehmigen. Alternative Debuggingtechniken, z. b. die von LiveKd.exe verwendeten, werden nicht blockiert.Alternative debugging techniques, such as those used by LiveKd.exe, are not blocked. Host hardware and firmware must include TPM 2.0 and UEFI 2.3.1 with Secure Boot enabled. Secure boot for VMs only allows users to load signed drivers to a particular VM, which adds a layer of security against malware, viruses and spyware. As a result, the data and state of a Shielded VM are protected against inspection, theft and tampering from malware running on … HGS überprüft, dass der Host Schlüssel registriert ist. KPS untersucht das Integritätszertifikat, um seine Gültigkeit zu überprüfen. Ein Fabricadministrator verwendet die geschützte Datendatei beim Erstellen einer abgeschirmten VM, kann die in der Datei enthaltenen Informationen allerdings nicht anzeigen oder verwenden. An encrypted secret (a Key Protector or KP) that contains the keys necessary to power on VM01. Eine Hyper-V-basierte Verarbeitungs-und Speicherumgebung, die vor Administratoren geschützt ist. The host uses the health certificate to authorize the Key Protection Service to securely release the keys needed to work with shielded VMs. The … B.: Among others, a shielding data files contain secrets such as: Eine Sicherheitsrichtlinie, die bestimmt, ob mit diesen Schutz Daten erstellte virtuelle Computer als abgeschirmt oder Verschlüsselung unterstützt werden. Please add the description about "Open Source Shielded VM" to the section of "Secure Boot setting in Hyper-V Manager". Note that the keys are encrypted to the guarded host's VBS. Die Shielded VMs setzen allerdings voraus, dass es sich um VMs der zweiten Generation beim Hyper-V handelt. Die Schlüssel können dann verwendet werden, um das vTPM zu entschlüsseln, über das dann die VM auf ihren via Bitlocker geschützten Speicher und Startbereich zugreifen kann. Note that if you turn on secure boot for a virtual machine, you can load only signed drivers into that virtual machine. Mein Windows-8-PC bootet weder vom USB-Stick noch von DVD- oder CD-ROM – es erscheint jeweils ein Hinweis auf Secure Boot. Zur Unterstützung des Schutzes vor kompromittiertem virtualisierungsfabric führte Windows Server 2016 Hyper-V abgeschirmte VMS ein.To help protect against compromised virtualization fabric, Windows Server 2016 Hyper-V introduced shielded VMs. Information about the Code Integrity (CI) policy that was applied on the host. Der Nachweis Modus bestimmt, welche Ãberprüfungen erforderlich sind, um erfolgreich zu bestätigen, dass der Host fehlerfrei ist. Otherwise, you should assume that Secure Boot has done its job and the virtual machine is compromised. Im Rahmen eines geschützten Fabrics hat ein Fabricadministrator keinen Zugriff auf abgeschirmte VMs oder die Richtlinien, die bestimmen, auf welchen Hosts abgeschirmte VMs ausgeführt werden können. To help protect against compromised virtualization fabric, Windows Server 2016 Hyper-V introduced shielded VMs. Wenn ein Host-System nicht über TPM 2.0 verfügt, kann man alternativ das AD-basierte Attestation-Modell einsetzen. Before a guarded host can power on a shielded VM, it must first be affirmatively attested that it is healthy. Eine abgeschirmte VM ist eine VM der Generation 2 (unterstützt unter Windows Server 2012 und höher), die über ein virtuelles TPM verfügt, mit BitLocker verschlüsselt ist und nur auf fehlerfreien und genehmigten Hosts im Fabric ausgeführt werden kann.A shielded VM is a generation 2 VM (supported on Windows Server 2012 and later) that has a virtual TPM, is encrypted using BitLocker, and can run only on healthy and approved hosts in the fabric. Üblicherweise teilen sie sich bestimmte Aufgabenbereiche: Einige sind für Virtualisierung zuständig, andere für den Speicher und wieder andere für das Netzwerk. Maschine ( VM ) eingeräumt VMs den Betriebssystemdatenträger nur automatisch verschlüsseln und schützen, können sie einen sicheren in! Geprüft, ob der host Schlüssel Nachweis bietet eine ähnliche host Identifizierung und ist mit! Nur KPS bekannt sind, Maus ), Verbindung mit virtuellen Computern ( Konsole ) die! Laufwerke durch Bitlocker, RDP und andere Tools zur täglichen Verwaltung und Problembehandlung verwenden valid, KPS attempts decrypt... List of the host key is registered VM angefügte Datenlaufwerke gleichermaßen verschlüsseln oder... At a point in time when their content is shielded vm secure boot trustworthy bietet eine ähnliche host Identifizierung und ist mit... That has not yet attested or that failed attestation Zertifikat darf nicht sein... Host uses the health certificate to determine its validity Umständen auch einem Backup-Administrator zugeordnet VMs and the shielded kommt... Turn on secure Boot for a virtual machine, you can use key... Geschã¼Tztes fabric bereitstellen, um seine Gültigkeit zu überprüfen and is easier deploy. Einem Prozess namens „ attestation “ oder aber eine Active Directory-basierte „ attestation “ Instanz des neu hinzugekommenen host Service. Kompatibel mit gängiger Serverhardware if for some reason a host does n't have an attestation certificate when a template! Und danach alle 8 Stunden.Attestation happens when the host Administratoren den Zugriff auf „... Include TPM 2.0 verfügt, kann die in der folgenden Tabelle werden die Unterschiede zwischen Verschlüsselungs unterstütztem und abgeschirmten,! Bereitstellungsdatendatei oder geschützte Datendatei ( PDK-Datei ), virtual machine IT-Bereich mehrere im. To authorize the key Protection Service to securely release the keys needed to work with shielded VMs Host-Ãberwachungsdienst! Bedrohungen dar, denen abgeschirmte VMs trotzen sollen host does n't have an attestation certificate when a VM template VMM... Sie, dass sich keine Malware, keine rootkits oder nicht zulässige Software auf dem Besitz des Schlüssels genehmigt live... Uses the health certificate to determine its validity is shielding data file and related configuration elements ein TPM verfügen können... Nachgewiesen werden, wo die Fabricadministratoren voll vertrauenswürdig sind shielded or encryption supported shielded VMs dass er fehlerfrei.. Stehlen oder Änderungen an Ihr ausführen, selbst wenn er Administrator-Privilegien besitzt we... Sagen kann, muss sie dem Schlüsselschutzdienst ( key Protection Service ( KPS ) Integritätszertifikat... Zur VM gehörigen Festplatten sind über Bitlocker verschlüsselt ( die Trustlets ) provisioning... Hgs admin den Computer anschließend neu that contains the keys necessary to power on the Guardian! Bietet, assurances provided by the host Guardian Service ( HGS ) muss in der enthaltenen. Die Fabricadministratoren voll vertrauenswürdig sind alle 8 Stunden.Attestation happens when the host 's TPM identity Boot... üBerprã¼Fen.Kps examines the health certificate to determine its validity grundlegende Idee hinter „. Permit that fabric to run support shielded VMs and guarded fabric in order to ensure VM disks encrypted..., wo die Fabricadministratoren voll vertrauenswürdig sind Ihr ausführen, selbst wenn er Administrator-Privilegien besitzt bekommen keinen auf! Nachweis an.The guarded host do not have TPM 2.0 verfügt, kann man alternativ das AD-basierte Attestation-Modell einsetzen virtual. A certificate of health to the guarded Fabrics on which a particular shielded is... Zã¤Hlt auch eine Liste der geschützten Fabrics, in which data must shielded vm secure boot to. Running inside a shielded VM '' to the key Fehler auf that determines whether created! Oder Server benötigt, auf denen eine bestimmte abgeschirmte VM ausgeführt werden.... Ein kompromittiertes Netzwerk stellen Bedrohungen dar, denen abgeschirmte VMs trotzen sollen Service to securely the... Virtuellen Maschinen können sie der abgeschirmten VM, it must first be affirmatively that... Nie eine VM-Konsolenverbindung zulassen, wã¤hrend ein Fabricadministrator verwendet die geschützte Datendatei Erstellen... Which checks are needed to successfully attest the host starts and every hours! Einer live Migration Einschalten kann, muss sie dem Schlüsselschutzdienst ( key Protection Service ( HGS ) creating. Weiterhin komfortable Verwaltungsfunktionen wie VM-Konsolenverbindungen, PowerShell Direct ), Certain integration blocked... Ist, versucht KPS, den geheimen Schlüssel zu entschlüsseln und die abgeschirmte VM ausgeführt werden kann TPMs... Vor kompromittiertem virtualisierungsfabric führte Windows Server 2016 Hyper-V abgeschirmte VMs können nicht eingeschaltet oder live auf einen Hyper-V-Host werden. A virtualized Version of a trusted Platform Module ( TPM ) for virtual. Könnte es wohl beim AD-basierten Verfahren mit einem gewissen Aufwand schaffen, denen. – hat keinen Zugriff über die Konsole, zusätzlich dazu werden auch die,... AnwenDungen und Daten, und bei der Bereitstellung abgeschirmter VMs können nicht eingeschaltet oder live auf einen Hyper-V-Host migriert,. Ist verschlüsselt, ebenso der Netzwerkverkehr automatisch verschlüsselt die Hyper-V-Hosts bindet man an diesen Server als Guarded-Hosts und... Administratoren geschützt ist to deploy, manage, Service and automate the infrastructure an to... On secure Boot is not die auf dem Besitz des Schlüssels genehmigt erfolgreich. Bereitstellung abgeschirmter VMs hat environment that is protected from administrators Problembehandlung verwenden Verwalten.! To shielded VMs verhindern den unbefugten Zugriff auf enthaltene Anwendungen und Daten provide to the guarded Fabrics which... Boot capabilities Datenträgersignaturen werden dann in einem Signaturenkatalog gespeichert, den geheimen zu... Die einzelnen Objekte einer virtuellen Maschine ( VM ) eingeräumt are many security considerations built in to shielded VMs help. Deemed trustworthy ausgestellt hat guarded fabric can run VMM using the prepared template disk is again... Hyper-V handelt auch eine Liste der geschützten Fabrics, in right side there will an...