Virenschutz für Hyperv-Server (Trend Micro Client Server Security) | Hyper-V Server Blog

Virenschutz für Hyperv-Server (Trend Micro Client Server Security)

Da mich ein Besucher unseres Blogs hier nach der Verfügbarkeit eines Virenschutzes auf einem Hyperv-Server gefragt hat, habe ich mich dem Thema mal angenommen und ein wenig recherchiert und probiert.

[singlepic id=210 w=100 h=75 float=] [singlepic id=211 w=100 h=75 float=] [singlepic id=212 w=100 h=75 float=] [singlepic id=213 w=100 h=75 float=][singlepic id=214 w=100 h=75 float=] [singlepic id=215 w=100 h=75 float=] [singlepic id=216 w=100 h=75 float=] [singlepic id=217 w=100 h=75 float=]

Die grundlegende Überlegung ist, das ein HyperV-Server ein Windows Server 2008 Core ist, mit einigen Einschränkungen. Wenn eine Anti-Viren-Software also nicht auf einer Core-Installation läuft, dann auch nicht auf einem HyperV-Server. Die bei uns im Haus eingesetzte Virenschutzlösung ist “Trend Micro Client Server Messaging Security for SMB”. Das Hauptprodukt wird auf einem Server installiert, und danach werden Agenten auf den einzelnen Clients / Servern installiert, die im Hintergrund das System scannen und vor Viren schützen.

Auf dem HyperV-Server kann man sich mit

net start

alle Dienste anzeigen lassen, die auf dem System laufen. Wie man in dem Screenshot erkennen kann, laufen auf dem System nur die “normalen” Dienste. Ich habe mir jetzt das Installations-Verzeichnis des “Master”-Servers als Netzlaufwerk gemappt (Da eine Installation per Browser ja nicht möglich ist) und die Installation des Agenten gestartet. Wie man erkennen kann, läuft die Installation auch ohne Fehler durch.

Der nebenstehende Screenshot zeigen ein Teil meiner Dienste auf meinem Windows 7-System, man erkennt hier das Trend Micro mit zwei Diensten vertreten ist. Wenn ich nun auf dem HyperV-Server wieder ein

net start

ausführe, sehe ich ebenfalls die beiden besagten Dienste, und mit

sc query

kann ich sogar erkennen, das beide Dienste laufen und sehe auch noch weitere Infos über die beiden Dienste.

Wie man sieht, ist es möglich, auf einem HyperV-Server einen Virenschutz zu installieren. Die Frage ist allerdings, wie sehr so ein stark (in seinem Umfang) beschränktes System angreifbar ist. Eines meiner nächsten Beiträge wird “Firewalling” sein, dabei gehe ich auch nochmal auf die Sicherheit ein. Einen Virenschutz zu installieren ist, solange das System dadurch keine Einbußen hat, sinnvoll und durchaus vertretbar.

Der Test hier bezieht sich ausschließlich auf das oben genannte Trend Micro-Produkt. Ich habe auf dieser Seite auch einen kleinen interessanten Bericht gefunden über den Virenschutz speziell für Windows Server 2008 Core-Systeme. Der Beitrag ist allerdings von Anfang 2008, ich denke viele Hersteller von AntiViren-Produkten haben Ihr Produkt für eine Installation auf einer Core-Installation angepasst.

Update: Wie wir feststellen mussten, ist ein Virenschutz auf einem Hyper-V Host nicht “mal eben so” einzurichten, einige Dinge MÜSSEN dabei beachtet werden, damit ein reibungsloser Betrieb möglich ist. Weitere Infos hier.

Jan Kappen
 

Jan Kappen ist ausgebildeter Fachinformatiker in der Richtung Systemintegration. Er hat seine Ausbildung im Sommer 2008 abgeschlossen und arbeitete bis August 2018 bei der Rachfahl IT-Solutions GmbH & Co. KG. Seit September 2018 arbeitet er als Senior Netzwerk- und Systemadministrator bei einem großen mittelständischen Unternehmen im schönen Sauerland. Jan Kappen ist unter anderen MCITP Server Administrator, Enterprise Administrator und Enterprise Messaging Administrator 2010 sowie MCTS für System Center Virtual Machine Manager 2008, Windows Server 2008 Active Directory, Windows Server Virtualization und Windows Server 2008 Network Infrastructure. Seit 2015 wird Jan Kappen im Bereich "File System Storage" bzw. "Cloud & Datacenter Management" für seine Expertise und seine Community-Arbeit mit dem MVP Award von Microsoft ausgezeichnet.

  • Jürgen sagt:

    Hi,

    Da hätte ich doch mal ne Frage zur Sicherheit, bzw. Angreifbarkeit, da ich mich auch mit Virtualisierung, speziell mit dem Hyper-V Server 2008 beschäftige. Sie kennen doch sicher das BluePill Project (bluepillproject.org). Könnte dieser Rootkit nicht eine extreme Gefahr für prozessorvirtualisierte Hostsysteme und darauf laufende VMs darstellen, obwohl der Host so stark beschränkt ist und eigentlich nur wenig Angriffsfläche bietet?

    Die Funktionsweise des Virsus ist ja die, einen einen hocheffizienten und ultra-kleinen Hypervisor einzuschleusen, welcher sich die Prozessorvirtualisierungstechnik von AMD zu nutze macht und so die komplette Kontrolle des kompromittierten Betriebssystems übernimmt.

    Ich glaube fast, solche Virtual Hosts sollten sogar besonders gut vor Viren geschützt sein!

    Gruß
    ein anderer FiSi ;)

  • Jan Kappen sagt:

    Hallo Jürgen,

    die Bluepill-Malware arbeitet ein wenig anders als von dir hier beschrieben.
    Die Software ist ja geschrieben worden, um ein Windows Vista anzugreifen. Dies funktioniert über zwei Mögliche Arten, einmal der Angriff über unsignierte Treiber und einmal über eine Rootkit-Technologie, wo die von dir beschriebene Virtualisierung ins Spiel kommt (http://en.wikipedia.org/wiki/Blue_Pill).
    Das Windows Vista wird quasi durch dieses Rootkit eine virtuelle Maschine. Die Software agiert als Hypervisor und ist dadurch in der Lage, das Windows Vista komplett zu kontrollieren. Dies funktioniert aber nur, wenn nicht schon ein Hypervisor aktiv ist (und das ist im Fall von Hyper-V bzw. Hyper-V-Server so) UND wenn die Virtualisierungs-Technologie (mittlerweile neben AMD-V auch Intel VT) im BIOS aktiviert ist. Das ist auch der Grund warum beim Kauf eines Gerätes diese Funktion in der Regel deaktiviert ist und man sie erst expliziet aktivieren muss, wenn man einen Hypervisor betreiben möchte.
    Natürlich muss der Host geschützt werden, damit eine nicht authorisierte Person keinen Zugriff auf die Maschine erhält. Hierbei muss bei einem Virenscanner aber wieder darauf geachtet werden, das bestimmte Bereiche des Systems nicht überwacht werden, da der Virenscanner sonst evtl. fälschlicherweise den Zugriff blockiert oder noch schlimmer Dateien verschiebt/löscht. Ein netter Beitrag dazu ist hier zu finden: http://blogs.msdn.com/virtual_pc_guy/archive/2009/03/17/antivirus-and-hyper-v-or-why-can-t-i-start-my-virtual-machine.aspx

    Mit freundlichen Grüßen
    Jan

  • >