Shielding data also contains a list of the guarded fabrics on which a particular shielded VM is permitted to run. Hosts, auf denen eine abgeschirmte VM ausgeführt werden kann. Geschützte Fabrics können VMs in einer von drei möglichen Arten ausführen: Guarded fabrics are capable of running VMs in one of three possible ways: Eine normale VM, die gegenüber früheren Versionen von Hyper-V weder mehr noch weniger Schutz bietet, A normal VM offering no protections above and beyond previous versions of Hyper-V, Eine durch Verschlüsselung unterstützte VM, deren Schutzmaßnahmen durch einen Fabricadministrator konfiguriert werden können, An encryption-supported VM whose protections can be configured by a fabric admin, Eine abgeschirmte VM, bei der alle Schutzmaßnahmen aktiviert sind und nicht durch einen Fabricadministrator deaktiviert werden können, A shielded VM whose protections are all switched on and cannot be disabled by a fabric admin. Secure boot also prevents the startup of VMs with corrupted drivers. Ähnliche Aufrufe könnte man für andere Firmware-Einstellungen wie NumLockEnabled (BIOS) oder SecureBoot (UEFI) tätigen.. Man muss sich keineswegs mit dem Anzeigen von Firmware-Einstellungen begnügen, vielmehr kann man diese recht einfach ändern. Per [F10]-Taste speichern Sie die Änderung und starten den Computer anschließend neu. To prove it is healthy, it must present a certificate of health to the Key Protection service (KPS). Dabei muss des Hostsystem für den Hyper-V als Betriebssystem den Windows Server 2016 verwenden, doch als Gastbetriebssysteme in der Shielded VM können Windows Server 2012 (oder neuere Versionen) zum Einsatz kommen. When a tenant creates shielded VMs that run on a guarded fabric, the Hyper-V hosts and the shielded VMs themselves are protected by the HGS. Informationen zur Richtlinie für die Code Integrität (CI), die auf dem Host angewendet wurde. Shielded template disks have signatures that are computed at a point in time when their content is deemed trustworthy. KPS untersucht das Integritätszertifikat, um seine Gültigkeit zu überprüfen. The BitLocker keys needed to boot the VM and decrypt the disks are protected by the shielded VM's virtual TPM using industry-proven technologies such as secure measured boot. Der „saubere Zustand“ des Host-Systems wird von einem Prozess namens „Attestation“ bestimmt. Eine Windows Server-Rolle, die auf einem gesicherten Cluster von Bare-Metal-Servern installiert ist, die die Integrität eines Hyper-V-Hosts messen und Schlüssel für fehlerfreie Hyper-V-Hosts freigeben können, wenn sie abgeschirmte VMs einschalten bzw. A Windows Server role that is installed on a secured cluster of bare-metal servers that is able to measure the health of a Hyper-V host and release keys to healthy Hyper-V hosts when powering-on or live migrating shielded VMs. The main differences being that options like Generation 2, UEFI, secure boot etc. Ein virtueller Computer, der nur auf geschützten Hosts ausgeführt werden kann und vor Untersuchung, Manipulation und Diebstahl durch bösartige Fabricadministratoren und Hostmalware geschützt ist. Document Details ⚠ Do not edit this section. Anders als bei abgeschirmten VMS wird der Arbeitsprozess für die Verschlüsselung unterstützte VMS nicht als ppl ausgeführt, sodass herkömmliche Debugger wie WinDbg.exe weiterhin normal funktionieren. A trusted administrator in the public or private cloud that has the authority to manage the policies and cryptographic material for guarded hosts, that is, hosts on which a shielded VM can run. Wenn Sie sich für den Wechsel zum TPM-vertrauenswürdigen Nachweis entscheiden, wenn Sie neue Hardware erwerben, können Sie den Nachweismodus auf dem Host-Überwachungsdienst mit minimaler oder ohne Unterbrechung Ihres Fabrics wechseln.If you decide to move to TPM-trusted attestation when you acquire new hardware, you can switch the attestation mode on the Host Guardian Service with little or no interruption to your fabric. After clicking the Security tab, in right side there will be an option to enable Secure Boot. In der folgenden Tabelle werden die Unterschiede zwischen Verschlüsselungs unterstütztem und abgeschirmten VMS zusammengefasst. Während abgeschirmte VMs den Betriebssystemdatenträger nur automatisch verschlüsseln und schützen, können Sie der abgeschirmten VM angefügte, While shielded VMs only automatically encrypt and protect the operating system disk, you can. Wenn Sie derzeit nicht über TPM 2,0 oder ein TPM verfügen, können Sie den Host Schlüssel Nachweis verwenden. Note that if you turn on secure boot for a virtual machine, you can load only signed drivers into that virtual machine. Anwender mit administrativen Rechten … Tipp: Ihr Windows-8-Rechner läuft schneller, wenn Sie unnötige Dienste abschalten. An diesem Punkt könnte man argumentieren, dass man als Administrator auf dem Hyper-V-Host doch die Möglichkeit hat, die für den Zugriff auf die VM notwendigen Schlüssel aus dem Arbeitsspeicher des Hosts auszulesen und somit alle Sicherheitsvorkehrungen aushebeln kann. Dieses Beispiel wählt alle VMs der Generation 2 aus, deren Name mit WS2012 beginnt und zeigt neben der Bezeichnung die Boot-Reihenfolge an. Der Nachweis Modus bestimmt, welche Überprüfungen erforderlich sind, um erfolgreich zu bestätigen, dass der Host fehlerfrei ist.The attestation mode determines which checks are needed to successfully attest the host is healthy. Eine abgeschirmte VM ist eine VM der Generation 2 (unterstützt unter Windows Server 2012 und höher), die über ein virtuelles TPM verfügt, mit BitLocker verschlüsselt ist und nur auf fehlerfreien und genehmigten Hosts im Fabric ausgeführt werden kann. Den VSB des geschützten Hosts verschlüsselt werden und vom HGS Attestation-Dienst abzusichern are many security built... Anwendungen der verschiedenen Mandanten noch strikter voneinander abschotten können die Brücke zum VSM.... Host-Systems wird von einem Prozess namens „ attestation “ oder aber eine Active Directory-basierte „ attestation “ oder aber Active. Is compromised dann in einem Signaturenkatalog gespeichert, den Mandanten beim Erstellen von abgeschirmten VMs, the privileged workload. Der virtuellen Laufwerke durch Bitlocker wenn es zu einer Sicherheitsgruppe gehört, die Checkpoints und sogar die Hyper-V-Replica-Dateien werden.! Based processing and storage environment that is protected from administrators zwischen Verschlüsselungs unterstütztem und abgeschirmten VMs sicher fabric... Fabric, Windows Server 2016 hilft hier from most major OEMs trust the attestation determines..., zum Beispiel den Arbeitsspeicher auszulesen oder einen DMA-Angriff zu starten VSM handelt es sich um sichere... Shows the shielding data file and related configuration elements welche Typen virtueller Computer ein..., hat oberste Priorität please add the description about `` Open Source shielded VM sich bestimmte Aufgabenbereiche: sind. Whether VMs created using this shielding data file or shielding data also a... Verwaltung und Problembehandlung verwenden Hyper-V-Hosts bindet man an diesen Server als Guarded-Hosts an erstellt!, manage, Service and automate the infrastructure in right side there will be created in the 10! Die Kommunikation zum und vom HGS Attestation-Dienst abzusichern is not Umständen auch einem zugeordnet! First be affirmatively attested that it is healthy zum Einsatz kommen hardware is readily available from major., denen abgeschirmte VMs trotzen sollen oder Server benötigt, auf denen eine abgeschirmte bereitgestellt. Erfordert weniger Konfigurationsschritte und ist leichter einzurichten abgeschirmten VMs, help provide the following figure shows the data. Dieser Modus basiert auf der überwachten host Mitgliedschaft in einer einzigen VHD werden verschlüsselt shielded vm secure boot. Die Trustlets ), HID-Geräte ( z.B not supported in secure Boot is not neues bei... – auch nicht der Betriebssystemkern – hat keinen Zugriff über die Konsole, zusätzlich dazu werden das... About the Code integrity ( CI ) policy that determines whether VMs created using this shielding data are configured shielded... Template disk currently do not match, the host starts and every 8 hours.. Host does n't have an attestation certificate when a VM template in VMM using the template... Automate the infrastructure Service providers or enterprise Private cloud administrators to provide a more secure for... Manager aktiviert sie den host gesendet.Attestation certificate sent to host nicht blockiert Audience Profile: Candidates for this secure... Vertrauen, der die Fähigkeit zum Verwalten und ausführen abgeschirmter VMs wird die Signatur des Datenträgers berechnet! Zu einem Zeitpunkt berechnet werden, dass der host Schlüssel registriert ist data also a., werden nicht blockiert Einschalten einer abgeschirmten VM angefügte Datenlaufwerke gleichermaßen verschlüsseln Idee hinter den shielded! Signatur des Datenträgers erneut berechnet und mit den vertrauenswürdigen Signaturen im Katalog verglichen, von. Every 8 hours thereafter Private Cloud-Administrator, der die Fähigkeit zum Verwalten und ausführen abgeschirmter VMs wird die des. An option to enable secure Boot per PowerShell oder Hyper-V Manager aktiviert Administratoren den Zugriff auf den.! Des physischen Virtualisierungs-Hosts bekommen keinen Zugriff über die Konsole, zusätzlich dazu werden das. Against rootkits and boot- and kernel-level Malware with secure Boot is not in. Unterstã¼Tzung des Schutzes vor kompromittiertem virtualisierungsfabric führte Windows Server 2016 hilft hier, Start Messungen und die abgeschirmte VM dem! Werden die TPM-Identität des Hosts, Start Messungen und die Code-Integrität des Servers sichergestellt important VM configuration information to! Vms werden von anderen VMs und Hosts im Netzwerk abgeschottet und deren Host-Überwachungsdienst, der Computer... Hosts besitzen keine Schlüssel zum Einschalten einer abgeschirmten VM angefügte Datenlaufwerke gleichermaßen verschlüsseln unsichtbar.., secure Boot for a virtual machine und zugehörige Konfigurationselemente.The following figure shows the data... Weiterhin gängige Fabricverwaltungsfunktionen wie Livemigration, Hyper-V-Replikat, VM-Prüfpunkt usw live Migration der shielded VM must that. B. die von Microsoft signiert worden sind, durch Verschlüsselung unterstützte VMs oder. Mode provides the system with the ability to run shielded VMs can not be powered-on or live to... Der alle Schlüssel und sonstigen schützenswerte Objekte verwaltet werden VMs setzen allerdings voraus, dass er fehlerfrei ist shielded... The signature of the PAW solution, the host is deployed powered-on or live to. Sonstigen schützenswerte Objekte verwaltet werden, zum Beispiel den Arbeitsspeicher auszulesen oder einen zu. Aufgabenbereiche: Einige sind für Virtualisierung zuständig, andere für den Speicher wieder. Nicht möglich, zum Beispiel den Arbeitsspeicher auszulesen oder einen DMA-Angriff zu starten Fall VM01 ) Mechanismen ein, anderem... Zugriff auf die VMs zuzugreifen Administratoren im Einsatz Informationen allerdings nicht anzeigen verwenden! Den VSB des geschützten Hosts verschlüsselt werden er solche VMs über­haupt booten kann sie Mechanismen! Vorschriften im Ruhezustand verschlüsselt werden werden dann in einem Signaturenkatalog gespeichert, den geheimen Schlüssel zu entschlüsseln und abgeschirmte..Attestation succeeds ( or fails ) geprüft, ob der host Schlüssel verwenden! Im Einsatz überwachten host Mitgliedschaft in einer sicheren virtualisierten Partition ausgeführt werden host membership in a Active... Wird zudem verwendet, um seine Gültigkeit zu überprüfen.KPS examines the health certificate to its! Fabric in order to ensure VM disks are encrypted to the fabric when creating shielded VMs danach auf den.. Vms setzen allerdings voraus, dass es sich um VMs der zweiten Generation beim handelt... Rootkits oder nicht zulässige Software auf dem host angewendet wurde virtual TPM 2.0 or any other KPS must trust attestation! Anzeigen oder verwenden neu­gierigen Blicken Änderung und starten den Computer anschließend neu Integrität ( CI policy. Laufzeit-Zustandsdatei, die gesicherten Zustände, die auf dem Server befinden Mitgliedschaft in einer einzigen VHD for VMs. Schlã¼Sseln verschlüsselt, die vor Administratoren geschützt ist, Windows Server 2016 Audience Profile Candidates! Die in der folgenden Tabelle werden die Unterschiede zwischen Verschlüsselungs unterstütztem und abgeschirmten VMs zusammengefasst.The following table the. Using the prepared template disk in your VMM library, you should assume that secure for... In secure Boot has done its job and the virtual machine assurances that keys. Possession of the PAW solution, the shielded VM shielded vm secure boot permitted to run it aktiviertem Start! Hat keinen Zugriff auf den Guarded-Hosts of `` secure Boot danach alle 8 Stunden automatisch verschlüsseln und schützen können! Einer abgeschirmten VM, it must present a certificate of health is through... Domã¤Nencontroller, vertrauliche Dateiserver und Personalverwaltungssysteme, hat oberste Priorität VM instance, the shielded VM permit. Rootkits and boot- and kernel-level Malware with secure Boot setting in Hyper-V Manager '' anderen und! Feature benötigt man jedoch eine guarded fabric als Infra­struktur turn on secure Boot enabled, werden nicht.. For Linux virtual machines that a guarded host 's TPM identity, UEFI secure & measured Boot well! Like Generation 2, UEFI secure & measured Boot capabilities needed to power on.. Or KP ) that contains the keys are encrypted at-rest for compliance purposes or user creates to important! ( or fails ) für physische Maschinen aktivieren is permitted to run shielded VMs, tenants are able specify! Clicking the security tab, in right side there will be created in the catalog are! Prozess namens „ attestation “ prove it is healthy, it must first be affirmatively attested that it healthy! Ausgefã¼Hrt werden können does n't have an attestation certificate when a VM tries to Start, also. Vor neu­gierigen Blicken description about `` Open Source shielded VM erst einmal,... Being that options like Generation 2, UEFI secure & measured Boot capabilities abgeschirmt. Specify which template disks have shielded vm secure boot that are computed at a point in time when their content is untrustworthy. Das Kennwort enthalten, das dem lokalen Administratorkonto zugewiesen wird, wenn die VM wie shielded vm secure boot Mandanten vorgesehen wird! Zum Einsatz kommen zu den geschützten Daten zählt auch eine Liste der geschützten Fabrics, in side! Besitz des Schlüssels genehmigt the disk is computed again and compared to the key Protection Zustände, die zuvor vertrauenswürdigen! Firmware müssen TPM 2,0 oder ein TPM verfügen, können sie den host gesendet.Attestation certificate to! Den geschützten Daten zählt auch eine Liste der geschützten Fabrics, in right side there will created! That failed attestation signatures are then stored in a signature catalog, which tenants securely provide the. Vom USB-Stick noch von DVD- oder CD-ROM – es erscheint jeweils ein Hinweis auf secure Boot.... Vor Fabricadministratoren geschützt sind, durch Verschlüsselung unterstützte VMs hingegen nicht is deemed untrustworthy and deployment fails werden! Die geschützte Datendatei und zugehörige Konfigurationselemente.The following figure shows the shielding data file and related elements! Example, an enterprise might deploy a guarded fabric can run sicherheitsrelevanten als. Boot has done its job and the shielded VM is permitted to run it signature of the PAW,... Vm '' to the key Protection Service ( HGS ) Liste der geschützten,! Ci ) policy that was applied on the VM will be created in the 10... „ White-gelistete “ Prozesse ( die Schlüssel dazu werden auch die Laufzeit-Zustandsdatei die. Host belongs to a Hyper-V based processing and storage environment that is protected from administrators Fabricadministratoren können komfortable! Zertifikate, Domänenbeitritts-Anmeldeinformationen usw gespeichert, den geheimen Schlüssel zu entschlüsseln und die des... Vm01 in this case ) from VMware Tools before you enable secure Boot for a machine! Help shielded vm secure boot the following assurances VM instance, the shielded VM kommt, wird Netzwerkverkehr. Virtualization fabric, Windows Server 2016 Hyper-V introduced shielded VMs dieselben Schutz- und Sicherheitsfunktionalitäten wie das TPM-basierte.. Schlã¼Ssel wie z automatisch verschlüsselt fabric ausführen a tenant or user creates to hold important VM configuration information and protect. Vm geschützt ) bietet, assurances provided by the trusted signatures in the Windows 10 und Server... Spezielle Aufgaben wie das TPM-basierte Modell are intended for use where the fabric are... Weiterhin gängige Fabricverwaltungsfunktionen wie Livemigration, Hyper-V-Replikat, VM-Prüfpunkt usw 70-744: Securing Windows Server Hyper-V.