Pianificare la sicurezza di Hyper-V in Windows Server

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10, ✅ Azure Local, versions 23H2 and 22H2

Proteggere il sistema operativo host Hyper-V, le macchine virtuali, i file di configurazione e i dati delle macchine virtuali. Usare l'elenco seguente di procedure consigliate come elenco di controllo per proteggere l'ambiente Hyper-V.

Proteggere l'host Hyper-V

• Mantenere il sistema operativo host sicuro.

  • Ridurre al minimo la superficie di attacco usando l'opzione di installazione minima di Windows Server necessaria per la gestione del sistema operativo. Per ulteriori informazioni, vedere la sezione Opzioni di installazione della raccolta di contenuti tecnici di Windows Server. Non è consigliabile eseguire carichi di lavoro di produzione su Hyper-V in Windows 10.
  • Mantenere aggiornato il sistema operativo host Hyper-V, il firmware e i driver di dispositivo con gli aggiornamenti della sicurezza più recenti. Controllare le raccomandazioni del fornitore per aggiornare firmware e driver.
  • Non usare l'host Hyper-V come workstation o installare software non necessario.
  • Gestire da remoto l'host Hyper-V. Se è necessario gestire l'host Hyper-V localmente, usare Credential Guard. Per altre informazioni, vedere Proteggere le credenziali di dominio derivate con Credential Guard.
  • Abilitare i criteri di integrità del codice. Usare i servizi di integrità del codice protetti dalla sicurezza basata sulla virtualizzazione. Per ulteriori informazioni, vedere la Guida alla distribuzione di Device Guard.

• Usare una rete sicura.

  • Usare una rete separata con una scheda di rete dedicata per il computer Hyper-V fisico.
  • Usare una rete privata o sicura per accedere alle configurazioni delle macchine virtuali e ai file dell’hard disk virtuale.
  • Usare una rete privata/dedicata per il traffico di migrazione in tempo reale. Valutare la possibilità di abilitare IPSec su questa rete per usare la crittografia e proteggere i dati della macchina virtuale che passano nella rete durante la migrazione. Per ulteriori informazioni, vedere Configurare gli host per la migrazione in tempo reale senza Clustering di failover.

• Proteggere il traffico di migrazione dell'archiviazione.

  Usare SMB 3.0 per la crittografia end-to-end dei dati SMB e la protezione dei dati da manomissione o intercettazione su reti non affidabili. Usare una rete privata per accedere al contenuto della condivisione SMB ed evitare attacchi man-in-the-middle. Per ulteriori informazioni, vedere Miglioramenti della sicurezza SMB.

• Configurare gli host come parte di un'infrastruttura sorvegliata.

  Per ulteriori informazioni, vedere Infrastruttura sorvegliata.

• Proteggere i dispositivi.

  Proteggere i dispositivi di archiviazione in cui si conservano i file di risorse della macchina virtuale.

• Proteggere il disco rigido.

  Usare Crittografia unità BitLocker per proteggere le risorse.

• Rafforzare la protezione avanzata del sistema operativo host Hyper-V.

  Applicare le raccomandazioni relative alle impostazioni di sicurezza di base descritte nella baseline di sicurezza di Windows Server.

• Concedere le autorizzazioni appropriate.

  • Aggiungere utenti che hanno bisogno di gestire l'host Hyper-V al gruppo di amministratori di Hyper-V.
  • Non concedere agli amministratori delle macchine virtuali le autorizzazioni per il sistema operativo host Hyper-V.

• Configurare le esclusioni e le opzioni antivirus per Hyper-V.

  Windows Defender dispone già di esclusioni automatiche configurate. Per ulteriori informazioni sulle esclusioni, vedere Esclusioni antivirus consigliate per gli host Hyper-V.

• Non installare hard disk virtuali sconosciuti. Ciò può esporre l'host ad attacchi a livello di file system.

• Non abilitare l'annidamento nel proprio ambiente di produzione, a meno che non sia necessario.

  Se si abilita l'annidamento, non eseguire hypervisor non supportati su una macchina virtuale.

Per ambienti più sicuri:

• Usare l'hardware con un chip TPM (Trusted Platform Module) 2.0 per configurare un'infrastruttura sorvegliata.

  Per ulteriori informazioni, vedere Requisiti di sistema per Hyper-V in Windows Server 2016.

Proteggere le macchine virtuali

• Creare macchine virtuali di seconda generazione per i sistemi operativi guest supportati.

  Per ulteriori informazioni, vedere Impostazioni di sicurezza di seconda generazione.

• Abilitare l'avvio protetto.

  Per ulteriori informazioni, vedere Impostazioni di sicurezza di seconda generazione.

• Mantenere il sistema operativo guest sicuro.

  • Installare gli aggiornamenti della sicurezza più recenti prima di attivare una macchina virtuale in un ambiente di produzione.
  • Installare i servizi di integrazione per i sistemi operativi guest supportati che lo richiedono e mantenerli aggiornati. Gli aggiornamenti del servizio di integrazione per gli utenti guest che eseguono versioni di Windows supportate sono disponibili tramite Windows Update.
  • Rafforzare il sistema operativo in esecuzione in ogni macchina virtuale in base al ruolo eseguito. Usare le raccomandazioni relative alle impostazioni di sicurezza di base descritte nella baseline di Windows Security.

• Usare una rete sicura.

  Accertarsi che le schede di rete virtuale si connettano al commutatore virtuale corretto e che siano applicate le impostazioni e i limiti di sicurezza appropriati.

• Archiviare hard disk virtuali e file di snapshot in un luogo sicuro.

• Proteggere i dispositivi.

  Configurare solo i dispositivi necessari per una macchina virtuale. Non abilitare l'assegnazione di dispositivi discreti nel proprio ambiente di produzione, a meno che non sia necessaria per uno scenario specifico. Se lo si abilita, accertarsi di esporre solo i dispositivi di fornitori attendibili.

• Configurare software antivirus, firewall e di rilevamento intrusioni all'interno delle macchine virtuali in base al ruolo della macchina virtuale.

• Abilitare la sicurezza basata sulla virtualizzazione per gli utenti guest che eseguono Windows 10, Windows Server 2016 o versione successiva.

  Per ulteriori informazioni, vedere la Guida alla distribuzione di Device Guard.

• Abilitare l'assegnazione di dispositivi discreti solo se necessario per un carico di lavoro specifico.

  A causa della natura del passaggio per un dispositivo fisico, collaborare con il produttore del dispositivo per capire se deve essere usato in un ambiente sicuro.

Per ambienti più sicuri:

• Distribuire macchine virtuali con schermatura abilitata e distribuirle in un'infrastruttura sorvegliata.

  Per ulteriori informazioni, vedere Impostazioni di sicurezza di seconda generazione e Infrastruttura sorvegliata.