Hyper-v 관리자에서 가상 머신의 보안 설정을 사용하여 데이터 및 가상 머신의 상태를 보호합니다. 호스트에서 실행될 수 있는 멀웨어와 데이터 센터 관리자 모두에 의한 검사, 도난, 변조로부터 가상 컴퓨터를 보호할 수 있습니다. 호스트 하드웨어의 종류, 가상 머신의 세대, 그리고 차폐 가상 머신을 시작할 수 있도록 호스트에 권한을 부여하는 호스트 보호자 서비스를 설정했는지 여부에 따라 보안 수준이 달라집니다.
호스트 보호자 서비스는 Windows Server 2016에서 새로운 역할입니다. 합법적인 Hyper-v 호스트를 식별 하고 지정된 된 가상 머신을 실행할 수 있습니다. 가장 일반적으로 데이터 센터에 대 한 호스트 보호자 서비스를 설정 합니다. 하지만 호스트 보호자 서비스를 설정하지 않고 로컬에서 실행되도록 실드된 가상 머신을 만들 수 있습니다. 차폐 가상 머신을 호스트 보호자 패브릭에 나중에 배포할 수 있습니다.
ost Guardian Service를 설정하지 않았거나 Hyper-V 호스트에서 로컬 모드로 실행 중이고 호스트에 가상 머신 소유자의 보호자 키가 있는 경우 이 항목에서 설명하는 설정을 변경할 수 있습니다. 보호자 키의 소유자는 해당 키를 생성하고 공유하여 그 키로 생성된 모든 가상 컴퓨터를 소유하는 조직입니다. 이는 개인 키 또는 공개 키로 제공될 수 있습니다.
가상 머신을 호스트 가디언 서비스로 더 안전하게 만드는 방법을 알아보려면, 다음 리소스를 참조하세요.
Hyper-v 관리자에서 부팅 설정을 보안합니다
보안 부팅 기술은 2세대 가상 컴퓨터에서 사용할 수 있는 기능으로, 부팅 시 승인되지 않은 펌웨어, 운영 체제 또는 UEFI(범용 확장 가능 펌웨어 인터페이스) 드라이버(옵션 ROM이라고도 함)가 실행되지 않도록 방지합니다. 보안 부팅은 기본적으로 사용 됩니다. Windows 또는 Linux 배포 운영 체제를 실행 하는 2 세대 가상 컴퓨터와 보안 부팅을 사용할 수 있습니다.
다음 표에 설명 된 서식 파일에서 부팅 프로세스의 무결성을 확인 해야 하는 인증서를 참조 하십시오.
| 템플릿 이름 | 설명 |
|---|---|
| Microsoft Windows | 보안 부팅에는 Windows 운영 체제에 대한 가상 머신을 선택합니다. |
| Microsoft UEFI 인증 기관 | 보안 부팅에는 Linux 배포 운영 체제에 대한 가상 머신을 선택합니다. |
| 오픈 소스 보호 VM | 이 템플릿은 Linux 기반의 보호된 VM에 대한 보안 부팅을 위해 활용됩니다. |
자세한 내용은 다음 항목을 참조하십시오.
Hyper-V 관리자의 암호화 지원 설정
다음 암호화 지원 옵션을 선택하여 데이터와 가상 머신의 상태를 보호할 수 있습니다.
-
신뢰할 수 있는 플랫폼 모듈을 사용하도록 설정 -이 설정은 신뢰할 수 있는 TPM (플랫폼 모듈) 칩을 가상화된 가상 머신을 사용할 수 있도록 합니다. 게스트가 BitLocker를 사용하여 가상 머신 디스크를 암호화할 수 있도록 합니다. VM 설정을 열고 보안을 클릭한 다음 암호화 지원 섹션에서 상자를 선택하여 신뢰할 수 있는 플랫폼 모듈을 사용하도록 설정하여 사용하도록 설정할 수 있습니다. 또한 PowerShell cmdlet Enable-VMTPM을 사용할 수도 있습니다.
- Hyper-v 호스트는 Windows 10 1511를 실행 하는 경우 격리 된 사용자 모드를 사용 하도록 설정 해야 합니다.
- 상태 및 VM 마이그레이션 트래픽 암호화 - 가상 머신 저장 상태와 실시간 마이그레이션 트래픽을 암호화합니다.
격리 된 사용자 모드를 사용 하도록 설정
Windows 10 애니버서리 업데이트보다 이전 버전의 Windows를 실행하는 Hyper-V 호스트에서 신뢰할 수 있는 플랫폼 모듈 사용을 선택하는 경우, 격리된 사용자 모드를 설정해야 합니다. Windows Server 2016 또는 Windows 10 1주년 업데이트 이상을 실행하는 Hyper-V 호스트에서는 이 작업을 수행할 필요가 없습니다.
격리 된 사용자 모드는 Hyper-v 호스트에서 가상 보안 모드 내에서 보안 애플리케이션을 호스팅하는 런타임 환경입니다. 가상 보안 모드는 가상 TPM 칩의 상태를 보호하고 보안하는 데 사용됩니다.
이전 버전의 Windows 10을 실행하는 Hyper-V 호스트에서 격리된 사용자 모드를 사용하도록 설정하려면 다음을 수행합니다.
관리자 권한으로 Windows PowerShell을 엽니다.
다음 명령을 실행합니다.
Enable-WindowsOptionalFeature -Feature IsolatedUserMode -Online New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Force New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Name EnableVirtualizationBasedSecurity -Value 1 -PropertyType DWord -Force
가상 TPM이 활성화된 가상 머신은 Windows Server 2016 또는 Windows 10 빌드 10586 이상 버전을 실행하는 모든 호스트로 마이그레이션할 수 있습니다. 하지만 다른 호스트로 마이그레이션하는 경우에 시작할 수 없습니다. 새 호스트 가상 머신을 실행할 권한을 부여하려면 해당 가상 머신에 대한 키 보호기를 업데이트해야 합니다. 자세한 내용은 보호된 패브릭 및 보호된 VM 및 Windows Server의 Hyper-V에 대한 시스템 요구 사항을 참조하세요.
Hyper-v 관리자의 보안 정책
가상 머신 보안을 강화하려면 보호 설정 옵션을 사용하여 콘솔 연결, PowerShell Direct 및 일부 통합 구성 요소와 같은 관리 기능을 비활성화할 수 있습니다. 이 옵션을 선택 하는 경우 보안 부팅, 신뢰할 수 있는 플랫폼 모듈을 사용 하도록 설정, 및 암호화 상태와 VM 마이그레이션 트래픽을 옵션 선택 및 적용 합니다.
차폐 가상 머신 호스트 보호자 서비스를 설정하지 않고 로컬에서 실행할 수 있습니다. 하지만 다른 호스트로 마이그레이션하는 경우에 시작할 수 없습니다. 새 호스트 가상 머신을 실행할 권한을 부여하려면 해당 가상 머신에 대한 키 보호기를 업데이트해야 합니다. 자세한 내용은 보호된 패브릭 및 차폐 VM을 참조하십시오.
Windows Server의 보안에 대한 자세한 내용은 보안 및 보증을 참조하세요.