Vorsicht bei der Härtung von Hyper-V Clustern

Beim Betrieb von Hyper-V Clustern in sicherheitsrelevanten Umgebungen ist üblich und notwendig, die Systeme entsprechend zu härten. Hierzu gibt sowohl Microsoft mit dem Security Compliance Manager als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) entsprechende Empfehlungen.

Wer sich hiermit schon mal aktiv auseinander gesetzt hat, wird schnell feststellen, dass nicht alle Empfehlungen Sinn machen, da hierbei teilweise die Funktionen der Systeme so weit eingeschränkt werden, dass sie ihre eigentliche Aufgabe nicht mehr erfüllen können.

Insbesondere bei Hyper-V Hosts gibt es eine Einstellung, die erhebliche Funktionseinschränkungen hat. Hierauf möchte ich kurz eingehen.

Es handelt sich um die Einstellung “create symbolic Links”, die laut Microsoft-Vorgaben auf den Wert “Administrators” gesetzt werden soll. Sie folgenden Screenshot:

 

sym1

 

Bei “normalen” Memberservern ist diese Einstellung auch OK und durchaus sinnvoll. Bei Hyper-V Cluster ist sie jedoch fatal.

Setzt man diese Einstellung auf “Administrators” wird der zusätzliche Eintrag “NT VIRTUAL MACHINE\Virtual Machines” entfernt was zu Folge hat, dass Livemigrationen nicht mehr funktionieren. Leider ist dies nicht das einzige Problem. Da die symbolischen Links nicht mehr angelegt werden können, kann die VM nicht auf dem Zielsystem erstellt werden, was darin resultiert, dass nicht nur die Livemigration schief geht, sondern die VM anschließend nicht mehr im Hyper-V existiert. Sie scheint vom Erdboden verschluckt zu sein.

In meinen Tests konnte ich die Maschine zwar wieder neu im Hyper-V anlegen, da die eigentlichen Konfigurationsfiles noch vorhanden waren, dies funktionierte aber erst nach einem Reboot des Hosts.

Nach einigen Recherchen bin ich auf diesen Microsoft Artikel gestoßen. Hier wird beschrieben, dass zusätzliche zu den “Administrators” auch die “NT VIRTUAL MACHINE\Virtual Machines” benötigt werden. Dies sollte dann wie folgt aussehen:

 

sym2

Nachdem man entweder die Policy wieder auf den Standard zurückgesetzt oder die zusätzliche SID eingetragen hat funktioniert wieder alles.

Dies ist ein gutes Beispiel, dass man beim Hardening seiner Systeme extrem vorsichtig sein muss, selbst wenn die Informationen von Microsoft selbst oder sogar vom BSI kommen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.