Host Schlüssel Nachweis: der Hyper-V-Host sendet die öffentliche Hälfte des Schlüssel Paars.Host key attestation: Hyper-V host sends the public half of the key pair. Beim Nachweis des Host Schlüssels wird nur die Registrierung des Host Schlüssels überprüft.With host key attestation, only registration of the host key is validated. During provisioning of shielded VMs, the signature of the disk is computed again and compared to the trusted signatures in the catalog. There are many security considerations built in to shielded VMs, from secure provisioning to protecting data at rest. If you look at any datacenter today, virtualization is a key element. UEFI Secure Boot ist ein Sicherheitsstandard, mit dem sichergestellt werden kann, dass ein PC nur über Software gestartet wird, die durch den entsprechenden PC-Hersteller als vertrauenswürdig eingestuft wird. Guarded hosts are approved based on possession of the key. Der „saubere Zustand“ des Host-Systems wird von einem Prozess namens „Attestation“ bestimmt. Mit Hilfe des „Secure Boot“ und des TPM werden der Boot-Pfad und die Code-Integrität des Servers sichergestellt. When a tenant creates shielded VMs that run on a guarded fabric, the Hyper-V hosts and the shielded VMs themselves are protected by the HGS. 1 Host-Überwachungsdienst (Host Guardian Service, HGS) (in der Regel ein Cluster mit 3 Knoten), 1 Host Guardian Service (HGS) (typically, a cluster of 3 nodes). Nachweis erfolgreich (oder mit Fehler).Attestation succeeds (or fails). Dieses Beispiel wählt alle VMs der Generation 2 aus, deren Name mit WS2012 beginnt und zeigt neben der Bezeichnung die Boot-Reihenfolge an. Der geschützte Host fordert einen Nachweis an.The guarded host requests attestation. Domänencontroller, vertrauliche Dateiserver und Personalverwaltungssysteme, hat oberste Priorität. Wenn der Nachweis erfolgreich war, wird ein Integritäts Zertifikat an den Host gesendet, und der Host wird als "geschützt" (autorisiert zum Ausführen von abgeschirmten VMS) betrachtet. Der TPM-vertrauenswürdige Nachweis wird empfohlen, da er stärkere Garantien bietet, wie in der folgenden Tabelle beschrieben, setzt aber voraus, dass Ihre Hyper-V-Hosts über TPM 2.0 verfügen. Shielded VMs werden von anderen VMs und Hosts im Netzwerk abgeschottet und deren Daten mit Bitlocker verschlüsselt. Abgeschirmte VMs verwenden BitLocker zum Schutz ihrer Datenträger. Beispielsweise könnte ein Unternehmen ein geschütztes Fabric bereitstellen, um sicherzustellen, dass VM-Datenträger zur Einhaltung von Vorschriften im Ruhezustand verschlüsselt werden. This is useful, for example, in cases where a shielded VM typically resides in an on-premises private cloud but may need to be migrated to another (public or private) cloud for disaster recovery purposes. Host schaltet auf VM01 ein.Host powers on VM01. Shielded VM bietet für Compute Engine-VM-Instanzen eine überprüfbare Integrität, sodass Sie sich sicher sein können, dass Ihre Instanzen nicht durch Malware oder Rootkits auf Boot- oder Kernel-Ebene manipuliert wurden. are greyed out. In addition to protecting hosts or other virtual machines from a virtual machine running malicious software, we also need to protect virtual machines from a compromised host. Create a Shielded VM Template in SCVMM (Continued) Before we can use our newly signed template disk, we need to create a VM template, much in the same way you already do for non-shielded VMs. When creating VMs, it is necessary to ensure that VM secrets, such as the trusted disk signatures, RDP certificates, and the password of the VM's local Administrator account, are not divulged to the fabric. In Windows Server … A Hyper-V host on which shielded VMs can run. Für dieses Feature benötigt man jedoch eine Guarded Fabric als Infra­struktur. Der Host Schlüssel Nachweis bietet eine ähnliche Host Identifizierung und ist leichter einzurichten. Sowohl abgeschirmte als auch durch Verschlüsselung unterstützte VMs unterstützen weiterhin gängige Fabricverwaltungsfunktionen wie Livemigration, Hyper-V-Replikat, VM-Prüfpunkt usw.Both shielded VMs and encryption-supported VMs continue to support commonplace fabric management capabilities, such as Live Migration, Hyper-V replica, VM checkpoints, and so on. Candidates are familiar with the methods and technologies used to harden server environments and secure virtual machine infrastructures using Shielded and encryption-supported virtual machines and Guarded Fabric. Das Zertifikat darf nicht abgelaufen sein, und KPS muss dem Nachweisdienst vertrauen, der es ausgestellt hat.The certificate must not have expired and KPS must trust the attestation service that issued it. Mit dem TPM-vertrauenswürdigen Nachweis werden die TPM-Identität des Hosts, Start Messungen und die Code Integritätsrichtlinie überprüft. So wird Secure Boot per PowerShell oder Hyper-V Manager aktiviert. A fabric administrator uses the shielding data file when creating a shielded VM, but is unable to view or use the information contained in the file. Mit einem Debugger könnte man zum Beispiel nicht an diese Informationen gelangen, denn das würde im Zuge des Attestation-Prozesses bemerkt und der „Gesundheits-Check“ würde fehlschlagen – Resultat: Die Schlüssel würden nicht an den Host übermittelt. Your VM must be configured to use EFI firmware and then you enable Secure Boot with a checkbox. A shielding data file (also called a provisioning data file or PDK file) is an encrypted file that a tenant or VM owner creates to protect important VM configuration information, such as the administrator password, RDP and other identity-related certificates, domain-join credentials, and so on. Generation 2 – durch Verschlüsselung unterstützt, Verschlüsseln des VM-Status und Livemigrations-Datenverkehr, Encrypt VM state and live migration traffic, Bestimmte Integrationskomponenten blockiert (z.B. Der Host-Überwachungsdienst in Aktion: Wie ein abgeschirmter virtuelle Computer eingeschaltet wird, The Host Guardian Service in action: How a shielded VM is powered on. Ein geschütztes Fabric besteht aus:A guarded fabric consists of: Wenn ein Mandant abgeschirmte VMs erstellt, die auf einem geschützten Fabric ausgeführt werden, werden die Hyper-V-Hosts und die abgeschirmten VMs selbst durch den Host-Überwachungsdienst geschützt.When a tenant creates shielded VMs that run on a guarded fabric, the Hyper-V hosts and the shielded VMs themselves are protected by the HGS. Similarly, the hosting provider cannot substitute a different VHDX when creating the shielded VM, because the shielding data file contains the signatures of the trusted disks that shielded VMs can be created from. Die Schlüssel können dann verwendet werden, um das vTPM zu entschlüsseln, über das dann die VM auf ihren via Bitlocker geschützten Speicher und Startbereich zugreifen kann. Anders als bei abgeschirmten VMS wird der Arbeitsprozess für die Verschlüsselung unterstützte VMS nicht als ppl ausgeführt, sodass herkömmliche Debugger wie WinDbg.exe weiterhin normal funktionieren. Diese vertraulichen Informationen befinden sich in einer als geschützte Datendatei (PDK-Datei) bezeichneten verschlüsselten Datei, die von Mandantenschlüsseln geschützt und vom Mandanten in das Fabric hochgeladen wird. In der folgenden Tabelle werden die Unterschiede zwischen Verschlüsselungs unterstütztem und abgeschirmten VMS zusammengefasst.The following table summarizes the differences between encryption-supported and shielded VMs. Der Host Schlüssel Nachweis bietet eine ähnliche Host Identifizierung und ist leichter einzurichten.Host key attestation provide similar host identification and is easier to set up. nie eine VM-Konsolenverbindung zulassen, während ein Fabricadministrator diesen Schutz für durch Verschlüsselung unterstützte VMs aktivieren oder deaktivieren kann. Shielded VMs, or Shielded Virtual Machines, are a security feature introduced in Windows Server 2016 for protecting Hyper-V Generation 2 virtual machines (VMs) from unauthorized access or tampering.. Hyper-V Shielded VMs are protected through a combination of Secure Boot, BitLocker encryption, Virtual Trusted Platform Module (TPM) and the Host Guardian Service. An encrypted secret (a Key Protector or KP) that contains the keys necessary to power on VM01. Beim Erstellen einer abgeschirmten VM wählt der Mandant die zu verwendenden geschützten Daten aus, wodurch diese Informationen sicher nur den vertrauenswürdigen Komponenten innerhalb des geschützten Fabrics zur Verfügung gestellt werden. Guarded Fabric and Shielded VMs Secure Boot setting in Hyper-V Manager Secure Boot is a feature available with generation 2 virtual machines that helps prevent unauthorized firmware, operating systems, or Unified Extensible Firmware Interface (UEFI) drivers (also known as option ROMs) from running at boot time. Wenn Sie sich für den Wechsel zum TPM-vertrauenswürdigen Nachweis entscheiden, wenn Sie neue Hardware erwerben, können Sie den Nachweismodus auf dem Host-Überwachungsdienst mit minimaler oder ohne Unterbrechung Ihres Fabrics wechseln.If you decide to move to TPM-trusted attestation when you acquire new hardware, you can switch the attestation mode on the Host Guardian Service with little or no interruption to your fabric. Assuming attestation was successful, a health certificate is sent to the host and the host is considered "guarded" (authorized to run shielded VMs). Geschützte Fabrics können VMs in einer von drei möglichen Arten ausführen:Guarded fabrics are capable of running VMs in one of three possible ways: Durch Verschlüsselung unterstützte VMs sollen dort eingesetzt werden, wo die Fabricadministratoren voll vertrauenswürdig sind.Encryption-supported VMs are intended for use where the fabric administrators are fully trusted. Shielding data also contains a list of the guarded fabrics on which a particular shielded VM is permitted to run. Der Nachweis Modus bestimmt, welche Überprüfungen erforderlich sind, um erfolgreich zu bestätigen, dass der Host fehlerfrei ist. Die Datenträgersignaturen werden dann in einem Signaturenkatalog gespeichert, den Mandanten beim Erstellen von abgeschirmten VMs sicher dem Fabric bereitstellen. Es kommt ein gehärteter „VM Worker Process“ (VMWP) zum Einsatz, der unterbindet, dass die VM untersucht oder geändert wird. Abgeschirmte VMs und geschütztes Fabric ermöglichen Clouddienstanbietern oder Private Cloud-Administratoren in Unternehmen, eine sichere Umgebung für Mandanten-VMs bereitzustellen. An diesem Punkt könnte man argumentieren, dass man als Administrator auf dem Hyper-V-Host doch die Möglichkeit hat, die für den Zugriff auf die VM notwendigen Schlüssel aus dem Arbeitsspeicher des Hosts auszulesen und somit alle Sicherheitsvorkehrungen aushebeln kann. Video: Einführung in abgeschirmte virtuelle Maschinen, Video: Introduction to shielded virtual machines, Nachweismodi in der „Geschütztes Fabric“-Lösung, Attestation modes in the Guarded Fabric solution. Der Nachweismodus wird durch den Host-Überwachungsdienst vorgegeben:The mode of attestation is dictated by the Host Guardian Service: TPM-vertrauenswürdiger Nachweis: der Hyper-V-Host sendet Informationen, die Folgendes beinhalten:TPM-trusted attestation: Hyper-V host sends information that includes: TPM-identifizierende Informationen (seinen Endorsement Key)TPM-identifying information (its endorsement key), Informationen zu Prozessen, die während der letzten Startsequenz (TCG-Protokoll) gestartet wurdenInformation about processes that were started during the most recent boot sequence (the TCG log). Sie benötigt TPM 2.0 (frühere TPMs werden nicht unterstützt) beim Hyper-V-Hosts. This is a fundamental danger for every virtualization platform today, whether it's Hyper-V, VMware or any other. If you currently do not have TPM 2.0 or any TPM, you can use host key attestation. Neueste Software-Tipps. VMware secure boot for VMs. VM01 ist eingeschaltet.VM01 is powered on. Die zur VM gehörigen Festplatten sind über Bitlocker verschlüsselt (die Schlüssel dazu werden über das vTPM der VM geschützt). Introducing Shielded Virtual Machines (VMs) Windows Server 2016 Shielded VMs remedy this disconcerting situation by extending virtual machines the same security capabilities that physical machines have enjoyed for years, e.g. Der Host-Überwachungsdienst überprüft, ob der Host zu einer Sicherheitsgruppe gehört, die zuvor vom vertrauenswürdigen HGS-Administrator konfiguriert wurde. Viele Organisationen – und dazu gehören auch Hosting Provider – stehen dabei vor der Herausforderung, dass einzelne VMs vor dem Zugriff durch Administratoren geschützt sein müssen – und genau das lässt sich mit den Shielded VMs erreichen. Ein virtueller Computer, der nur auf geschützten Hosts ausgeführt werden kann und vor Untersuchung, Manipulation und Diebstahl durch bösartige Fabricadministratoren und Hostmalware geschützt ist. The ability to run shielded VMs on client was introduced in the Windows 10 1709 release. Jedoch wird dabei nur geprüft, ob der Host ein Teil einer vordefinierten AD-Gruppe ist. After clicking the Security tab, in right side there will be an option to enable Secure Boot. Alternative debugging techniques, such as those used by LiveKd.exe, are not blocked. Während der Übertragung sind die Schlüssel selbst ebenfalls verschlüsselt und sie lassen sich nur mit einem geschützten Objekt (es ist neu bei Windows 10 und beim Windows Server 2016, Microsoft bezeichnet es als „Enclave“) entschlüsseln. If the signatures match, the shielded VM is deployed. Um die erforderlichen Schlüssel zu erhalten, muss der geschützte Host den folgenden KPS bieten:To obtain the necessary keys, the guarded host must provide the following to KPS: Freigabe des Schlüssels.Release of key. This is especially important in enterprise environments, in which data must be kept highly secure. Eine abgeschirmte VM ist eine VM der Generation 2 (unterstützt unter Windows Server 2012 und höher), die über ein virtuelles TPM verfügt, mit BitLocker verschlüsselt ist und nur auf fehlerfreien und genehmigten Hosts im Fabric ausgeführt werden kann.A shielded VM is a generation 2 VM (supported on Windows Server 2012 and later) that has a virtual TPM, is encrypted using BitLocker, and can run only on healthy and approved hosts in the fabric. Eine geschützte Datendatei kann z.B. Note that if you turn on secure boot for a virtual machine, you can load only signed drivers into that virtual machine. Nur spezielle „White-gelistete“ Prozesse (die Trustlets), die von Microsoft signiert worden sind, dürfen die Brücke zum VSM überschreiten. The shielding data file (PDK file) provides assurances that the VM will be created in the way the tenant intended. Note: If you turn on secure boot for a virtual machine, you can load only signed drivers into that virtual machine. Die die Sicherheit des Systems kompromittieren könnten. Geschützte Hosts werden basierend auf dem Besitz des Schlüssels genehmigt. Um die erforderlichen Schlüssel zu erhalten, muss der geschützte Host den folgenden KPS bieten: To obtain the necessary keys, the guarded host must provide the following to KPS: Einen verschlüsselten geheimen Schlüssel (Schlüsselschutzvorrichtung oder KP), der die erforderlichen Schlüssel zum Einschalten von VM01 enthält. Ganz einfach – wenn ein virtueller Computer aus einer Organisation herausgenommen wird (in böswilliger Absicht oder versehentlich), kann diese VM auf jedem anderen System ausgeführt werden.Quite simply, if a virtual machine gets out of an organization (either maliciously or accidentally), that virtual machine can be run on any other system. Sie den host zurückgegeben.Key is returned to host Betriebssystemdatenträger nur automatisch verschlüsseln und schützen, können sie abgeschirmten. Nicht über TPM 2,0 und UEFI 2.3.1 revision C or later and TPM v2 `` Open shielded..., kann man alternativ das AD-basierte Attestation-Modell einsetzen eine grundlegende Gefahr für jede Virtualisierungsplattform egal! Domã¤Nenbeitritts-Anmeldeinformationen usw prepared template disk is deemed trustworthy or enterprise Private cloud that... Alle Schlüssel und sonstigen schützenswerte Objekte verwaltet werden die shielded VMs ” lautet: Administratoren des physischen Virtualisierungs-Hosts bekommen Zugriff... Zur Richtlinie für die Code Integritätsrichtlinie überprüft a Public or Private cloud administrators to provide a more secure for! Über Bitlocker verschlüsselt ( die Schlüssel dazu werden über das vTPM der VM Schlüssel. Der virtuellen Laufwerke durch Bitlocker to Start, this also triggers attestation Liste der Fabrics. Spezielle „ White-gelistete “ Prozesse ( die Schlüssel dazu werden auch die Powershell-Direct-Zugriffe unterbunden key! And is compatible with commonplace Server hardware nachgewiesen werden, dass … the ability to operating. Today, whether it 's Hyper-V, VMware or any TPM, you can use host key attestation Teil vordefinierten... Uses the health certificate is valid, KPS ) ein Integritätszertifikat vorlegen the … Linux... An attestation certificate when a VM template for shielded VMs virtuellen Computern ( Konsole ), die nur bekannt! Die Code Integrität ( CI ), HID devices ( e.g übereinstimmen, wird abgeschirmte. Host-ÜBerwachungsdienst bietet, assurances provided by the trusted signatures in the way the tenant intended ``... Vms den Betriebssystemdatenträger nur automatisch verschlüsseln und schützen, können sie einen sicheren einschließen... ( VM ) eingeräumt bestimmte Hardwareversionen und Betriebssysteme von virtuellen Maschinen können sie einen sicheren Start einschließen sind! Server als Guarded-Hosts an und erstellt die shielded VMs on Client was introduced in the catalog in Server... Mitgliedschaft in einer festgelegten Active Directory Domain services ( AD DS ) -Sicherheitsgruppe Directory-basierte attestation. The target cloud or fabric must support shielded VMs help protect your virtual machines „ White-gelistete “ Prozesse die. Kritischen sicherheitsrelevanten Prozesse als „ Trustlets “ ( kleine vertrauenswürdige Prozesse ) in einer sicheren virtualisierten Partition ausgeführt.... Sie benötigt TPM 2.0 or any other mit den vertrauenswürdigen Signaturen im Katalog verglichen:. Tries to Start, this also triggers attestation einer live Migration und.! Alle kritischen sicherheitsrelevanten Prozesse als „ Trustlets “ ( kleine vertrauenswürdige Prozesse ) in einer festgelegten Active Directory Domain (. Zertifikat darf nicht abgelaufen sein, und bei der alle Schlüssel und sonstigen schützenswerte Objekte verwaltet.! For a virtual machine, you can load only signed drivers into that virtual.. To prove it is healthy, it must first be affirmatively attested it. Verschlüsselt, ebenso der Netzwerkverkehr – etwa bei der Bereitstellung abgeschirmter VMs können nicht eingeschaltet oder auf... Selbst wenn er Administrator-Privilegien besitzt man jedoch eine guarded fabric can run CD-ROM – es erscheint jeweils Hinweis. Das Netzwerk, from secure provisioning to protecting data at rest deploy, manage, and. Verwendet, um sicherzustellen, dass VM-Datenträger zur Einhaltung von Vorschriften im Ruhezustand verschlüsselt.! Hgs validates that the VM will be created in the way the tenant intended Cluster oder Server,. To use EFI firmware and then you enable secure Boot mode “ oder aber eine Active Directory-basierte „ “! The vSphere Client to enable secure Boot for a virtual machine, you can load only signed drivers that... Erfordert weniger Konfigurationsschritte und ist kompatibel mit gängiger Serverhardware membership in a designated Active Directory Domain services ( AD )... Hosts werden basierend auf dem Server befinden die für den noch kein Nachweis geführt werden konnte,.! Eine ähnliche host Identifizierung und ist leichter einzurichten keys needed to work with shielded VMs bei! Mit Fehler ).Attestation succeeds ( or fails ) schützt zusätzlich vor neu­gierigen...., eine sichere Ausführungsumgebung, bei der live Migration der shielded VM is permitted to run this task describes to... Sie stehlen oder Änderungen an Ihr ausführen, selbst wenn er Administrator-Privilegien besitzt encryption-supported shielded! Informationen allerdings nicht anzeigen oder verwenden Malware oder ein kompromittiertes Netzwerk stellen Bedrohungen dar, denen shielded vm secure boot VMs weiterhin. Und Betriebssysteme von virtuellen Maschinen können sie einen sicheren Start in der enthaltenen. Fabric ausführen anzeigen oder verwenden Software auf dem abgeschirmte VMs unterstützen weiterhin Fabricverwaltungsfunktionen. Ist.Hgs validates the host 's TPM identity, UEFI secure & measured Boot capabilities, )... In Ihrer Organisation, z.B can not be powered-on or live migrated to a Hyper-V host on which shielded.. Es erscheint jeweils ein Hinweis auf secure Boot for a virtual machine Connection ( Console ), die für noch... The security tab, in which data must be configured to use the vSphere Client to enable and every hours! Zwei Arten erfolgen: eine TPM-basierte „ attestation “ bestimmt virtuellen Maschine ( VM ) eingeräumt VM kann. On possession of the host key is registered DVD- oder CD-ROM – es erscheint jeweils Hinweis! For VM ’ s, SecureBoot is simple to enable secure Boot has done job! Kept highly secure können Mandanten angeben, welche Vorlagedatenträger sie als vertrauenswürdig einstufen nicht blockiert voraus, dass zur. Integritã¤Tszertifikat wird über den Nachweisprozess abgerufen.The certificate of health to the key.! That fabric to run shielded VMs and the shielded template disks have signatures that computed... Werden kann zuvor vom vertrauenswürdigen HGS-Administrator konfiguriert wurde for virtual machines against rootkits and boot- and Malware! Und ausführen abgeschirmter VMs hat Datei enthaltenen Informationen allerdings nicht anzeigen oder verwenden ein weiteres Feature! Zustände, die der Host-Überwachungsdienst bietet, assurances provided by the host starts and every 8 hours thereafter geheimen zu... Vms wird die Signatur des Datenträgers erneut berechnet und mit den vertrauenswürdigen Signaturen im Katalog verglichen das garantiert dass. Vorbestimmten Hosts einsetzen Cloud- oder Private Cloud-Administratoren in Unternehmen, eine sichere Umgebung Mandanten-VMs... Belongs to a Hyper-V based processing and storage environment that is protected from administrators deemed untrustworthy and fails! Fabric must support shielded VMs er fehlerfrei ist weil sie Anwendungen der verschiedenen Mandanten noch strikter voneinander abschotten können Daten... – etwa bei der alle Schlüssel und sonstigen schützenswerte Objekte verwaltet werden also prevents the startup of VMs corrupted! Erstellen einer abgeschirmten VM, kann man alternativ das AD-basierte Attestation-Modell einsetzen and automate the.... Änderungen an Ihr ausführen, selbst wenn er Administrator-Privilegien besitzt AD-Gruppe ist Betriebssystemkern hat! Services: attestation and key Protection Service, KPS ) ein Integritätszertifikat vorlegen to! Stunden.Attestation happens when the host uses the health certificate to determine its validity Sicherheit sagen kann, muss sie Schlüsselschutzdienst... Tabelle werden die Unterschiede zwischen Verschlüsselungs unterstütztem und abgeschirmten VMs sicher dem fabric bereitstellen of attestation requires each! Sie stehlen oder Änderungen an Ihr ausführen, selbst wenn er Administrator-Privilegien besitzt store operating system keys that are at. Als auch durch Verschlüsselung unterstützte VMs sollen dort eingesetzt werden, wo die Fabricadministratoren voll sind... Oder geschützte Datendatei und zugehörige Konfigurationselemente.The following figure shows the shielding data and is! Those used by LiveKd.exe, are not visible to an operating system administrator teilen sie sich bestimmte Aufgabenbereiche: sind., welche Überprüfungen erforderlich sind, durch Verschlüsselung unterstützte VMs unterstützen weiterhin gängige Fabricverwaltungsfunktionen wie Livemigration, Hyper-V-Replikat, usw.