Mit dem kumulativen Update für September ändern Rechner unter Windows 10 ihr Verhalten gegen­über den Windows Server Update Services (WSUS). Wenn Letztere nicht für die Kommu­nikation über HTTPS konfi­guriert wurden, dann können die Clients unter bestimmten Bedingungen keine Updates mehr abrufen.

Wer mit Invoke-WebRequest Web-Inhalte abrufen will, kann an einem SSL/TLS-Fehler scheitern. Der Grund liegt darin, dass immer mehr Websites die Version 1.0 des Proto­kolls ablehnen. In Windows Power­Shell muss man dann, je nach Version des installierten .NET-Frameworks, TLS 1.1 / 1.2 manuell aktivieren.

Die vSphere Trust Authority (vTA) besteht aus dem Verwaltungs-Cluster und einem vertrauens­würdigen Schlüssel­anbieter. Alle normalen ESXi-Cluster werden gegen den vTA-Cluster bestätigt. Diese Anleitung be­schreibt, wie man eine solche Infra­struktur ein­richtet, um die Inte­grität der Hosts zu prüfen.

Die vSphere Trust Authority (vTA) bestätigt die Vertrauens­würdigkeit von ESXi-Hosts, welche dann krypto­grafische Operationen ausführen können. Die Infrastruktur besteht aus vTA- und vertrauens­würdigen Clustern sowie einem externen KMIP-Server. Auf den ESXi-Hosts laufen zudem mehrere Dienste für vTA.

Neben der Kubernetes-Integration ist Security ein Schwer­punkt von vSphere 7. Zu den Neu­heiten gehört dabei die vSphere Trust Authority (vTA), welche die ESXi-Infra­struktur schützen soll. Sie be­nötigt einen ver­trauens­würdigen Ver­waltungs-Cluster, der einen Be­stätigungs­dienst für die pro­duk­tiven Hosts ausführt.

Es gibt mehrere Dritt­anbieter für KMIP-kompatible KMS, die VMware für seine Ver­schlüsselungs­funktion unter­stützt. Es handelt sich dabei jedoch um kommer­zielle Produkte, die für eine Eva­luierung schlecht geeig­net sind. Dafür em­pfiehlt sich die Open-Source-Lösung PyKMIP, die als Linux-Container verfügbar ist.

Die Verschlüsselung von VMs "in transit" (vMotion) und "at rest" erfordert keine Ver­schlüsselungs­soft­ware in den VMs. Im gesamten Work­flow lan­den auf ESXi-Hosts oder Data­stores somit keine Schlüssel, die kompro­mittiert werden könnten. Dafür muss der Nutzer aber einen Key Management Server (KMS) betreiben.

Unter Windows muss OpenSSL anders als bei Linux erst installiert werden. Dieser Beitrag zeigt alter­native Methoden zum manu­ellen Download und der Instal­lation des MSI-Pakets. Dazu gehören der Ein­satz eines Paket-Managers sowie die Nutzung eines Linux-Images für Docker-Container unter Windows 10.

Ein neues Feature von Windows 10 und Server 2016 ist Protected Event Logging, das sen­sible Daten im Eventlog ver­schlüsselt. Es nutzt den offenen Standard Crypto­graphic Message Syntax (CMS), den Power­Shell mit eigenen Cmdlets unter­stützt. Damit lassen sich neben Log-Ein­trägen auch Dateien ver- bzw. ent­schlüsseln.

Power­Shell 5.x unterstützt den IETF-Standard Crypto­graphic Message Syntax (CMS) zur Ver­schlüs­selung von Da­teien oder Log-Einträgen. Dafür be­nötigt es ein Zerti­fikat, das speziell für diesen Zweck ausge­stellt wurde. Möchte man es von einer Windows-CA anfordern, dann muss man dafür erst ein Temp­late ein­richten.