Ustawienia zabezpieczeń maszyny wirtualnej generacji 2 dla Hyper-V
Użyj ustawień zabezpieczeń maszyny wirtualnej w programie Hyper-V Manager, aby ułatwić ochronę danych i stanu maszyny wirtualnej. Maszyny wirtualne można chronić przed inspekcją, kradzieżą i naruszeniem zarówno przez oprogramowanie złośliwe, które może działać na hoście, jak i przez administratorów centrum danych. Poziom zabezpieczeń, które otrzymujesz, zależy od uruchomionego sprzętu hosta, generacji maszyny wirtualnej i tego, czy skonfigurowano usługę, nazywaną usługą Ochrona hosta, która autoryzuje hosty do uruchamiania chronionych maszyn wirtualnych.
Usługa Ochrona hosta jest nową rolą w systemie Windows Server 2016. Identyfikuje legalne hosty Hyper-V i umożliwia im uruchamianie danej maszyny wirtualnej. Najczęściej należy skonfigurować usługę Host Guardian Service dla centrum danych. Można jednak utworzyć maszynę wirtualną z osłoną, aby uruchomić ją lokalnie bez konfigurowania usługi Ochrona hosta. Później można dystrybuować zabezpieczoną maszynę wirtualną do infrastruktury ochrony hosta.
Jeśli usługa Ochrona hosta nie została skonfigurowana lub jest uruchomiona w trybie lokalnym na hoście Hyper-V, a host ma klucz ochrony właściciela maszyny wirtualnej, możesz zmienić ustawienia opisane w tym temacie. Właścicielem klucza ochrony jest organizacja, która tworzy i udostępnia klucz prywatny lub publiczny do posiadania wszystkich maszyn wirtualnych utworzonych za pomocą tego klucza.
Aby dowiedzieć się, jak zwiększyć bezpieczeństwo maszyn wirtualnych za pomocą usługi Ochrona hosta, zobacz następujące zasoby.
- Wzmacnianie Fabric: ochrona tajemnic najemców w Hyper-V (wideo Ignite)
- Chroniona sieć szkieletowa i chronione maszyny wirtualne
Ustawienie bezpiecznego rozruchu w programie Hyper-V Manager
Bezpieczny rozruch to funkcja dostępna z maszynami wirtualnymi generacji 2, która pomaga zapobiegać uruchamianiu nieautoryzowanego oprogramowania układowego, systemów operacyjnych lub sterowników ujednoliconego interfejsu UEFI (nazywanego również opcjami ROM). Bezpieczny rozruch jest domyślnie włączony. Można używać bezpiecznego rozruchu z maszynami wirtualnymi generacji 2, które działają na systemie operacyjnym dystrybucji Windows lub Linux.
Szablony opisane w poniższej tabeli odnoszą się do certyfikatów, które są potrzebne do zweryfikowania integralności procesu rozruchu.
| Nazwa szablonu | Opis |
|---|---|
| Microsoft Windows | Wybierz, aby zabezpieczyć rozruch maszyny wirtualnej dla systemu operacyjnego Windows. |
| Urząd certyfikacji UEFI firmy Microsoft | Wybierz opcję bezpiecznego rozruchu maszyny wirtualnej dla systemu operacyjnego dystrybucji systemu Linux. |
| Maszyna wirtualna z osłoną typu open source | Ten szablon służy do zabezpieczania rozruchu dla maszyn wirtualnych z osłoną systemu Linux. |
Aby uzyskać więcej informacji, zobacz następujące tematy:
- Omówienie zabezpieczeń systemu Windows 10
- czy należy utworzyć maszynę wirtualną generacji 1 lub 2 w funkcji Hyper-V?
- Linux i FreeBSD maszyny wirtualne na platformie Hyper-V
Ustawienia obsługi szyfrowania w programie Hyper-V Manager
Możesz pomóc w ochronie danych i stanu maszyny wirtualnej, wybierając następujące opcje obsługi szyfrowania.
-
Włącz moduł Trusted Platform Module — to ustawienie sprawia, że zwirtualizowany mikroukład modułu TPM (Trusted Platform Module) jest dostępny dla maszyny wirtualnej. Dzięki temu gość może zaszyfrować dysk maszyny wirtualnej przy użyciu funkcji BitLocker. Możesz to włączyć, otwierając ustawienia maszyny wirtualnej, klikając pozycję Zabezpieczenia, a następnie w sekcji Obsługa szyfrowania zaznacz pole wyboru Włącz moduł zaufanej platformy. Możesz również użyć polecenia cmdlet Enable-VMTPM programu PowerShell.
- Jeśli na hoście Hyper-V jest uruchomiony system Windows 10 1511, musisz włączyć tryb izolowanego użytkownika.
- Szyfrowanie ruchu migracji stanu i maszyny wirtualnej — szyfruje zapisany stan maszyny wirtualnej i ruch migracji na żywo.
Włączanie trybu izolowanego użytkownika
Jeśli wybierzesz opcję Włącz moduł zaufanej platformy na hostach Hyper-V z wersjami systemu Windows starszymi niż rocznicowa aktualizacja systemu Windows 10, musisz włączyć tryb izolowanego użytkownika. Nie musisz tego robić w przypadku hostów Hyper-V z systemem Windows Server 2016 lub Windows 10 Anniversary Update lub nowszym.
Tryb izolowanego użytkownika to środowisko uruchomieniowe, które hostuje aplikacje zabezpieczeń wewnątrz wirtualnego trybu bezpiecznego na hoście Hyper-V. Wirtualny tryb bezpieczny służy do zabezpieczania i ochrony stanu wirtualnego mikroukładu modułu TPM.
Aby włączyć tryb izolowanego użytkownika na hoście Hyper-V z wcześniejszymi wersjami systemu Windows 10:
Otwórz program Windows PowerShell jako administrator.
Uruchom następujące polecenia:
Enable-WindowsOptionalFeature -Feature IsolatedUserMode -Online New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Force New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Name EnableVirtualizationBasedSecurity -Value 1 -PropertyType DWord -Force
Możesz przeprowadzić migrację maszyny wirtualnej z włączonym wirtualnym modułem TPM do dowolnego hosta z systemem Windows Server 2016, kompilacją systemu Windows 10586 lub nowszymi wersjami. Jednak jeśli przeprowadzisz migrację do innego hosta, być może nie będzie można go uruchomić. Należy zaktualizować ochronę klucza dla tej maszyny wirtualnej, aby autoryzować nowego hosta do uruchamiania maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Chronione sieci szkieletowe i chronione maszyny wirtualne i wymagania systemowe dotyczące Hyper-V w systemie Windows Server.
Zasady zabezpieczeń w programie Hyper-V Manager
Aby uzyskać więcej zabezpieczeń maszyn wirtualnych, użyj opcji Włącz osłonę , aby wyłączyć funkcje zarządzania, takie jak połączenie z konsolą, program PowerShell Direct i niektóre składniki integracji. W przypadku wybrania tej opcji, Bezpieczny rozruch, Włącz moduł zaufanej platformy oraz Szyfrowanie stanu i ruchu migracji maszyn wirtualnych są zaznaczone i wymuszone.
Chronioną maszynę wirtualną można uruchomić lokalnie bez konfigurowania usługi Strażnik Hostów. Jednak jeśli przeprowadzisz migrację do innego hosta, być może nie będzie można go uruchomić. Należy zaktualizować ochronę klucza dla tej maszyny wirtualnej, aby autoryzować nowego hosta do uruchamiania maszyny wirtualnej. Aby uzyskać więcej informacji, zobacz Chronione sieci szkieletowe i chronione maszyny wirtualne.
Aby uzyskać więcej informacji na temat zabezpieczeń w systemie Windows Server, zobacz Zabezpieczenia i kontrola.