Impostazioni di sicurezza delle macchine virtuali di generazione 2 per Hyper-V
Utilizzare le impostazioni di protezione della macchina virtuale in Hyper-V Manager per proteggere i dati e lo stato di una macchina virtuale. È possibile proteggere le macchine virtuali da ispezioni, furti e manomissioni sia da malware che può essere eseguito nell'host, sia dagli amministratori del data center. Il livello di sicurezza che si ottiene dipende dall'hardware dell'host su cui viene eseguita, dalla generazione della macchina virtuale, e dal fatto che si configuri il servizio denominato Servizio di Sorveglianza Host, che autorizza gli host per avviare le macchine virtuali schermate.
Il servizio sorveglianza Host è un nuovo ruolo in Windows Server 2016. Identifica gli host Hyper-V legittimi e consente loro di eseguire una determinata macchina virtuale. Solitamente si configura il Servizio Host Guardian per un datacenter. Ma è possibile creare una macchina virtuale schermata per eseguirlo in locale senza configurare il servizio sorveglianza Host. È possibile distribuire successivamente la macchina virtuale protetta a un Host Guardian Fabric.
Se non hai configurato il servizio di sorveglianza Host o lo stai eseguendo in modalità locale sull'host Hyper-V e l'host ha la chiave del guardiano del proprietario della macchina virtuale, puoi modificare le impostazioni descritte in questo argomento. Un proprietario di una chiave di sorveglianza è un'organizzazione che crea e condivisioni una chiave pubblica o privata per gestire tutte le macchine virtuali creata con tale chiave.
Per sapere come rendere più sicure le macchine virtuali con il Servizio Host Guardian, consulta le risorse seguenti.
- Rafforzare il tessuto: proteggere i segreti dei tenant in Hyper-V (video di Ignite)
- Infrastruttura sorvegliata e macchine virtuali schermate
Impostazione di Secure Boot in Hyper-V Manager
Secure Boot è una funzionalità disponibile nelle macchine virtuali di generazione 2 che aiuta a prevenire che firmware, sistemi operativi o driver di Unified Extensible Firmware Interface (UEFI) non autorizzati (noti anche come opzioni ROM) vengano eseguiti durante l'avvio. Avvio protetto è abilitato per impostazione predefinita. È possibile utilizzare avvio protetto con macchine virtuali di generazione 2 che eseguono sistemi operativi di distribuzione Windows o Linux.
I modelli descritti nella tabella riportata di seguito si riferiscono ai certificati necessari per verificare l'integrità del processo di avvio.
| Nome modello | Descrizione |
|---|---|
| Microsoft Windows | Selezionare questa opzione per avvio protetto la macchina virtuale per un sistema operativo Windows. |
| Autorità di certificazione Microsoft UEFI | Selezionare questa opzione per attivare l'avvio protetto della macchina virtuale per un sistema operativo di distribuzione Linux. |
| VM protetta open source | Questo modello viene utilizzato per l'avvio sicuro delle macchine virtuali schermate basate su Linux. |
Per ulteriori informazioni, vedere gli argomenti seguenti.
- Panoramica della sicurezza di Windows 10
- È necessario creare una macchina virtuale di generazione 1 o 2 in Hyper-V?
- Macchine virtuali Linux e FreeBSD in Hyper-V
Impostazioni di supporto della crittografia nella console di gestione di Hyper-V
È possibile proteggere i dati e lo stato della macchina virtuale selezionando le seguenti opzioni di supporto di crittografia.
-
Abilitare Trusted Platform Module - Questa impostazione rende disponibile per la macchina virtuale un chip Trusted Platform Module (TPM) virtualizzato. In questo modo il guest può crittografare il disco della macchina virtuale utilizzando BitLocker. È possibile abilitare questa opzione aprendo le impostazioni della macchina virtuale, quindi fare clic su Sicurezza, alla sezione Supporto crittografia, selezionare la casella Abilitare Trusted Platform Module. È anche possibile utilizzare il cmdlet PowerShell Enable-VMTPM.
- Se l'host Hyper-V è in esecuzione Windows 10 1511, è necessario abilitare la Modalità Utente Isolato.
- Crittografare il traffico di migrazione dello stato e delle VM - crittografa lo stato salvato della macchina virtuale e il traffico di migrazione live.
Abilitare la modalità utente isolato
Se si seleziona Abilitare Trusted Platform Module sugli host Hyper-V che eseguono versioni di Windows precedenti all'Aggiornamento Anniversario di Windows 10, è necessario attivare la Modalità Utente Isolato. Non è necessario eseguire questa operazione per gli host Hyper-V che eseguono Windows Server 2016 o Windows 10 Anniversary Update o versione successiva.
La modalità utente isolato è l'ambiente di runtime che ospita applicazioni per la sicurezza in modalità protetta virtuale nell'host Hyper-V. Modalità Virtuale Sicura viene utilizzata per assicurare e proteggere lo stato del chip TPM virtuale.
Per abilitare la modalità utente isolato nell'host Hyper-V che esegue versioni precedenti di Windows 10:
Aprire Windows PowerShell come amministratore.
Eseguire i comandi seguenti:
Enable-WindowsOptionalFeature -Feature IsolatedUserMode -Online New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Force New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Name EnableVirtualizationBasedSecurity -Value 1 -PropertyType DWord -Force
È possibile eseguire la migrazione di una macchina virtuale con TPM virtuale attivato in qualsiasi host che esegue Windows Server 2016, Windows 10 build 10586 o versioni successive. Ma se lo si migra su un altro host, potrebbe non essere possibile avviarlo. È necessario aggiornare la protezione con chiave per la macchina virtuale per autorizzare il nuovo host per eseguire la macchina virtuale. Per ulteriori informazioni, vedere infrastruttura protetta e macchine virtuali schermati e Requisiti di sistema per Hyper-V in Windows Server 2016.
Criteri di sicurezza nella gestione di Hyper-V
Per una maggiore protezione delle macchine virtuali, utilizzare l'opzione Abilita schermatura per disabilitare le funzionalità di gestione come la connessione alla console, PowerShell Direct e alcuni componenti di integrazione. Se si seleziona questa opzione, le opzioni Avvio Protetto, Trusted Platform Module abilitato, e Crittografa il traffico di migrazione dello stato e delle VM sono selezionate e applicate.
È possibile eseguire localmente la macchina virtuale schermata senza configurare il servizio sorveglianza Host. Ma se lo migri su un altro host, potresti non essere in grado di avviarlo. È necessario aggiornare la protezione con chiave per la macchina virtuale per autorizzare il nuovo host per eseguire la macchina virtuale. Per ulteriori informazioni, vedere Guarded Fabric e Shielded VMs.
Per altre informazioni sulla sicurezza in Windows Server, vedere Sicurezza e controllo.