Mai
31

Sicherheitsverbesserungen bei Windows Server 2016 Hyper-V

Sicherheitsverbesserungen bei Windows Server 2016 Hyper-V

Mai 31
By

Microsoft verbessert weiterhin eines seiner wichtigsten Produkte: Windows Server 2016. Anders als bei Windows 10, für das Updates mit einem aggressiven Zeitplan am laufenden Band herausgegeben werden, versteht Microsoft, dass Server-Kunden ein stabiles Produkt erwarten. Die IT verzögert gelegentlich Server-Updates, auch wenn Microsoft neue Funktionen einbindet. Das bedeutet, dass neue Versionen von Windows Server eine lange Liste neuer Funktionen beinhalten – darunter neue Sicherheits-Updates für Hyper-V.

Sicherheits-Updates für Hyper-V

Windows Server 2016 ist seit Mitte Oktober 2016 verfügbar. Der neueste Stand, Windows Server 2016 Build 1607, wurde im April 2017 auf den Markt gebracht. Diese Version umfasst eine Reihe von Updates für Active Directory Federation Services, Remote Desktop und sogar einige PowerShell-Verbesserungen. Wie Sie sich vorstellen können, spielt die Virtualisierung in Form von Hyper-V weiterhin eine wesentliche Rolle in der Server- und Rechenzentrumsstrategie von Microsoft. Es ist kaum zu glauben, dass Hyper-V im nächsten Jahr zehn Jahre alt wird. Betrachten wir vor diesem Hintergrund die Sicherheitsverbesserungen von Hyper-V, die Microsoft in Windows Server 2016 integriert hat.

Container

Die meisten Administratoren denken an Linux, wenn sie den Begriff „Container“ hören, insbesondere an die interessantesten, auf Docker-Basis. Aber diesmal hat Microsoft eng mit dem Docker-Team zusammengearbeitet, um Container in Windows Server zu integrieren. Eine Einführung in Container finden Sie in unserem Artikel vom Dezember letzten Jahres. Kurz gesagt lassen sich mit Containern Anwendungen und Services auf einfache Weise isolieren. Microsoft hat zwei Container-Implementierungen in Windows Server 2016 eingeführt:

Windows Server-Container – dieser Container kann allgemeine Ressourcen freigeben, auf dem gleichen Server ausgeführt werden und ist für Anwendungen mit geringen Sicherheitsanforderungen vorgesehen.
Hyper-V-Container – Dieser Container ist vollständig isoliert von anderen Containern. Er gibt keine Ressourcen frei und ist für Anwendungen mit hohen Sicherheitsanforderungen vorgesehen.

Eine andere Betrachtungsweise ist der Ort, wo Sie Ihren Container bereitstellen wollen. Wenn Sie ihn in Ihrem eigenen Rechenzentrum bereitstellen, funktioniert der Windows Server-Container zufriedenstellend. Sie sollten jedoch Hyper-V-Container verwenden, wenn Sie Ihre Container in einer Public Cloud bereitstellen. Container sind gerade in Mode. Microsoft hat eine weise Entscheidung getroffen, diese beiden Versionen zu integrieren. Ich bin sicher, dass beide mit der Zeit reifen und weitere Funktionen umfassen werden.

Linux Secure Boot

Linux Secure Boot hat lange gebraucht, bis es bei Windows Server angekommen ist, aber 2016 war es endlich soweit. Microsoft hat Linux grundsätzlich einbezogen, seit Satya Nadella als CEO die Zügel in die Hand genommen hat. Diese Funktion ist wichtig für Administratoren, die Linux Gen 2 Hyper-V-VMs einsetzen, weil die Linux-Kernel-Treiber nicht zum vertrauenswürdigen Geräteumfang gehören. Dies führte zu aufreibenden Firmware-Fehlern.

Secure Boot ist Teil von Firmware Interface (UEFI). Grundsätzlich hilft es, die Startumgebung des Servers vor Rootkits und Malware zu schützen. Ehrlich gesagt ging dies nicht immer reibungslos vonstatten. UEFI hatte seinen Anteil an den Problemen und Kritiken. Jedoch machte diese Schnittstelle innerhalb der vergangenen 24 Monate deutliche Fortschritte. Administratoren können jetzt Linux-VMs bereitstellen, ohne die UEFI-Firmware mit Fehlermeldungen zu überfordern. Die einzige Behelfslösung war es bisher, Secure Boot im BIOS zu deaktivieren. Nicht gerade die sicherste Option.

Speicher-QoS

In Windows Server 2016 können Administratoren weiterhin einen IOPS-Mindest- oder -Höchstwert für virtuelle Festplatten festlegen. Außerdem haben Sie die Möglichkeit, Richtlinien zur IOPS-Verwaltung festzulegen, die sie anschließend aggregiert auf VMs oder auf einzelne VMs anwenden können. Neu ist, dass einzelne Hosts jetzt ihre eigenen IOPS-Werte festlegen können. Windows Server 2016 überwacht auch diese Nutzung, indem es Detaildaten darüber liefert, wie jede einzelne Anwendung den Speicher verwendet.

Speicher-QoS gewährleistet letztendlich, dass eine Gruppe von VMs nicht den verfügbaren Speicher von anderen VMs monopolisiert, die diesen benötigen. QoS gewährleistet, dass jede VM über den benötigten Speicher verfügt. Auf diese Weise wird für alle laufenden VMs eine bessere Leistung sichergestellt.

Storage Spaces Direct

Microsoft hatte Software-defined Storage (SDS) bei Windows Server 2012 eingeführt. Windows Server 2016 bringt SDS mit Storage Spaces Direct auf eine neue Stufe. Damit können Sie den gesamten lokalen Speicher auf jedem einzelnen Host zusammenfassen und als VM-Speicher bereitstellen. Es unterstützt SAS, SATA, NVMe und SSDs.

Das ist äußerst sinnvoll, wenn Administratoren ihren Servern schnellere und teurere NVMe und SSDs hinzufügen. In der Vergangenheit waren nicht genutzte Kapazitäten erst verfügbar, nachdem das Laufwerk aufgerüstet wurde. Da Unternehmen wie Samsung und Intel Laufwerke mit größeren Kapazitäten auf den Markt bringen, kann diese zusätzliche Speicherkapazität jetzt für alle VMs genutzt werden.

Nano Server

Viele bezeichnen diese neue Funktion als die wichtigste seit Windows NT. Nano Server ist ein Server, der wenig Ressourcen braucht, weder grafische Benutzeroberfläche noch lokale Anmeldung hat und nur die Funktionen umfasst, die Sie benötigen. Microsoft behauptet, dass Nano Server einen um 92 % geringeren Platzbedarf hat, als die Option mit GUI. Es folgen einige Gründe für den Einsatz von Nano Server:

  • Weniger Updates bedeuten weniger Neustarts
  • Erhöhte Serversicherheit aufgrund der geringen Angriffsfläche
  • Die geringe Größe vereinfacht die Portierung auf andere Server
  • Vollständige Remoteverwaltung (nach Erstkonfiguration)

Ich habe einige Rezensenten bemerkt, die sogar behaupten, dass Nano Server überhaupt keine Updates benötigt. Er benötigt zwar nicht so viele wie sein GUI-Gegenstück, aber Microsoft veröffentlicht gelegentlich Updates. Sie müssen PowerShell und WMI verwenden, um Updates zu installieren. In diesem Artikel finden Sie weitere Detailangaben darüber, wie Windows-Updates auf Nano Server angewendet werden.

Backups und Kontrollen

Durch die Integration der Änderungsverfolgung in Hyper-V hat Microsoft es externen Backup-Anbietern erleichtert, Hyper-V zu unterstützen. Diese Änderung war sehr willkommen, denn frühere Versionen von Windows Server stützten sich ausschließlich auf VSS. Produktionskontrollen in Windows Server 2016 verwenden innerhalb der VM weiterhin VSS. Wenn erforderlich, wird die VM von einem Backup wiederhergestellt und neu gestartet, anstatt sie im laufenden Zustand wiederherzustellen. Dies ist eine große Hilfe für Produktions-Workloads, die häufige Snapshots erfordern.

Dies sind einige der Verbesserungen, die Microsoft in Windows Server 2016 bei der Hyper-V-Sicherheit vorgenommen hat. Wenn ich mir die Liste der neuen Funktionen anschaue, ist es eindeutig, dass Microsoft viel Energie in Virtualisierung, Sicherheit und Rechenleistung von Windows Server 2016 investiert hat. Es ist kein Zufall, dass diese Funktionen gut zu dem passen, was Microsoft mit Azure macht. Um es deutlich zu sagen, Microsoft möchte, dass Azure Ihr Server in der Cloud ist. Warten wir‘s ab, wie Microsoft die einzelnen Produkte differenziert. Heute wissen wir, dass beide Produkte wesentlich für den Erfolg von Microsoft sind.