Bereits standardmäßig kommt die Virtualisierungs-Plattform Hyper-V mit vielen Sicherheitsvorkehrungen. Dabei nutzt sie die Möglichkeiten moderner Prozessoren aus. Eine strenge Isolation zwischen den virtuellen Maschinen vermindert die Risiken noch mehr. Je nach der Ausprägung des Hyper-V lassen sich damit auch hochsichere Systeme aufbauen.

»Hyper-V«, die Microsoft-Plattform für Server-Virtualisierung, ist als integraler Teil von »Windows Server 2008« (oder »Release 2« dieses Systems) verfügbar und auch als Standalone-Version. Diese eigenständige Variante steht zum kostenlosen Download bereit, bietet aber nicht die vollständigen Möglichkeiten. Beide Ansätze erlauben es einem Unternehmen, sowohl Windows- als auch Nicht-Windows-Betriebssysteme als Gastbetriebssysteme in virtuellen Maschinen (VMs) zu betreiben.

Beim Start legt der Hyper-V eine spezielle Abstraktionsschicht an. Dabei handelt es sich um den so genannten Hypervisor, der zwischen der Hardware und dem Host-Betriebssystem arbeitet und quasi als Mittler zwischen den Welten die Informationen versendet. Alle Gastbetriebssysteme, die direkt auf einem Hyper-V-Server arbeiten, agieren immer innerhalb der virtuellen Maschine, die vom Hypervisor genau überwacht wird.

Wer auf seiner Hardware eine Virtualisierungslösung einsetzen möchte, die auf einem derartigen Hypervisor beruht, muss hier Prozessoren verwenden, die eine Virtualisierung auf Hardwarebasis unterstützen. Dazu gehören bei Intel die CPUs, die als »Intel-VT«-Prozessoren bezeichnet werden.

Dagegen verwendet Konkurrent AMD hierfür die Bezeichnung »AMD-V«. Alle Prozessoren mit einer derartigen Technik stellen innerhalb der CPU-Ring-Architektur eine zusätzliche Ebene (»Layer 0«) bereit, der mit sehr hoher Priorität läuft. Diese Schicht stellt sicher, dass die ausführende Umgebung des Hypervisors isoliert und vom Rest des Systems vollkommen getrennt bleibt.

Hardware bietet eingebaute Sicherheit

Moderne Prozessorarchitekturen besitzen zudem eine ganze Reihe von standardmäßigen Sicherheitsvorrichtungen. Diese nutzt der Hyper-V direkt aus. Dazu gehören beispielsweise »Data Execution Prevention« (DEP) und »Address Space Layout Randomization« (ASLR). Bei DEP handelt es sich um eine Technik, die so genannte »Buffer Overruns« verhindern kann. Bei diesen Überläufen von Pufferbereichen wird von Angreifern ausführbarer und in der Regel bösartiger Programm-Code direkt in Datenpufferbereiche des Hauptspeichers geschrieben.

Wer diese Funktionalität bei seinen Systemen bisher noch nicht einsetzt, wird dies spätestens bei dem ersten Einsatz des Hyper-V tun müssen: Die Virtualisierungslösung verlangt Hardware-unterstütztes DEP durch einen Prozessor, der in der Lage sein muss, dieses Feature zu unterstützen. Ein solches Merkmal wird bei den AMD-Prozessoren als »No Execute« (NX) und bei den Pendants von Intel als »Execute Disable« (XD) bezeichnet. Beide Mechanismen sind im BIOS des Servers zu aktivieren.

Bei ASLR handelt es sich um einen Mechanismus, der besonders vor Malware schützen soll. Seine Aufgabe besteht darin, die Speicheradressen, an denen systemkritische Dateien zur Laufzeit im Hauptspeicher abgelegt werden, zwischen den Neustarts des Systems per Zufall zu verändern. So können zum Beispiel Programme wie Trojaner und Würmer, die immer wieder versuchen, die gleichen Speicheradressen auf verschiedenen Systemen anzusprechen, relativ wirkungsvoll am Ausführen ihrer Schadroutinen gehindert werden.

Angriffsfläche verkleinern

Eine grundsätzlich höhere Sicherheit für den Hyper-V und seine VMs lässt sich über die Reduzierung der Angriffsfläche erzielen. Dazu gibt es verschiedene Wege, um die Sicherheit der Parent-Partition zu erhöhen:

• Entweder kann der Administrator gleich bei der Installation die Server-Core-Option auswählen
• oder den »Authorization Manager« Azman verwenden (diese Technik wurde mit dem »Windows Server 2003« eingeführt)
• oder die »Bitlocker Drive Encryption« (BDE) als Server-Feature einsetzen.

Ein weiterer Weg zu mehr Sicherheit bei der Virtualisierung mit dem Hyper-V besteht darin, nicht die Hyper-V-Rolle von Windows Server 2008 zu installieren (sei es in der Variante Standard, Enterprise oder Datacenter), sondern direkt die kostenlose Standalone-Version der Software zu verwenden.

Damit steht hier direkt vom Start weg eine sehr schlanke Virtualisierungs-Plattform zur Verfügung. Allerdings verfügt eine derartige Installation nicht über alle Funktionalitäten wie der vollständige Server: So gibt es zum Beispiel keine Optionen zur Hochverfügbarkeit wie das »Windows Failover Clustering« (WFC), das bei manchen Einsatzzwecken sinnvoll ist.

Als weitere Alternative kann der Administrator noch die Installation der »Server Core«-Variante von Windows Server 2008 (oder R2) in Betracht ziehen. Hiermit steht nur eine minimale Umgebung zur Verfügung, in der ein ausgesuchtes Set von Server-Rollen wie etwa Domänencontroller, Dateiserver und eben auch Hyper-V-Server zum Einsatz kommen kann.

Eine genauere Beschreibung, wie der Hyper-V auf dem Server-Core installiert werden kann, stellt Microsoft im »Hyper-V Planning and Deployment Guide bereit«.

Natürlich beinhaltet eine derartige Installation nicht die übliche Windows-Oberfläche, so dass der Administrator eine lokale Konfiguration des Systems immer direkt an der Kommandozeile vornehmen muss. Allerdings steht auch der Weg offen, eine derartige Installation remote mittels einer Terminal-Server-Verbindung zu verwalten oder aber eine Fernverbindung mittels der MMC (Microsoft Management Console) beziehungsweise ebenfalls direkt über die Kommandozeile aufzubauen und zu verwenden.

Wer den Hyper-Server per Remote-Verbindung von einem Windows-7- oder einem Windows-Server-2008-System aus verwalten will, findet auch dazu die entsprechenden Erläuterungen und in einigen Fällen die nötigen Erweiterungen auf den Webseiten von Microsoft.