Planejar a segurança do Hyper-V no Windows Server
Proteja o sistema operacional host, as máquinas virtuais, os arquivos de configuração e os dados da máquina virtual do Hyper-V. Use a lista de melhores práticas a seguir como uma lista de verificação para ajudar a proteger seu ambiente do Hyper-V.
Proteger o host do Hyper-V
Manter o sistema operacional host protegido.
- Minimize a superfície de ataque usando a opção de instalação mínima do Windows Server necessária para o sistema operacional de gerenciamento. Para obter mais informações, consulte a seção Opções de Instalação da biblioteca de conteúdo técnico do Windows Server. Não é recomendável que você execute cargas de trabalho de produção do Hyper-V no Windows 10.
- Mantenha o sistema operacional host, o firmware e os drivers de dispositivo do Hyper-V com as atualizações de segurança mais recentes. Verifique as recomendações do fornecedor para atualizar o firmware e os drivers.
- Não use o host do Hyper-V como uma estação de trabalho ou instale nenhum software desnecessário.
- Gerenciar hosts do Hyper-V remotamente. Se você precisar gerenciar o host do Hyper-V localmente, use o Credential Guard. Para obter mais informações, consulte Proteger credenciais de domínio derivadas com o Credential Guard.
- Habilitar políticas de integridade de código. Use serviços de integridade de código protegidos por segurança baseada em virtualização. Para saber mais, confira Guia de implantação do Device Guard.
Usar uma rede segura.
- Use uma rede separada com um adaptador de rede dedicado para o computador físico do Hyper-V.
- Use uma rede privada ou segura para acessar configurações de VM e arquivos de disco rígido virtual.
- Use uma rede privada/dedicada para o tráfego de migração dinâmica. Considere habilitar o IPSec nessa rede para usar a criptografia e proteger os dados da VM que passam pela rede durante a migração. Para obter mais informações, consulte Configurar hosts para migração dinâmica sem clustering de failover.
Proteger tráfego de migração de armazenamento.
Use o SMB 3.0 para criptografia de ponta a ponta de dados SMB contra adulteração de proteção de dados ou espionagem em redes não confiáveis. Use uma rede privada para acessar o conteúdo de compartilhamento SMB para evitar ataques man-in-the-middle. Para obter mais informações, consulte Aprimoramentos de segurança SMB.
Configurar hosts para fazer parte de uma malha protegida.
Para obter mais informações, confira Malha protegida.
Proteger dispositivos.
Proteja os dispositivos de armazenamento em que você mantém arquivos de recurso de máquina virtual.
Proteger o disco rígido.
Use a Criptografia de Unidade de Disco BitLocker para proteger os recursos.
Proteja o sistema operacional host do Hyper-V.
Use as recomendações de configuração de segurança de linha de base descritas na Linha de base de segurança do Windows Server.
Conceder permissões adequadas.
- Adicione usuários que precisam gerenciar o host do Hyper-V ao grupo de administradores do Hyper-V.
- Não conceda permissões aos administradores de máquinas virtuais no sistema operacional host do Hyper-V.
Configurar exclusões e opções antivírus para o Hyper-V.
O Windows Defender já tem exclusões automáticas configuradas. Para obter mais informações sobre exclusões, confira Exclusões de antivírus recomendadas para hosts do Hyper-V.
Não monte VHDs desconhecidos. Isso pode expor o host a ataques no nível do sistema de arquivos.
Não habilite o aninhamento em seu ambiente de produção, a menos que seja necessário.
Se você habilitar o aninhamento, não execute hipervisores sem suporte em uma máquina virtual.
Para ambientes mais seguros:
Usar hardware com um chip TPM (Trusted Platform Module) 2.0 para configurar uma malha protegida.
Para obter mais informações, consulte Requisitos do sistema para o Hyper-V no Windows Server 2016.
Proteger máquinas virtuais
Criar máquinas virtuais de geração 2 para sistemas operacionais convidados com suporte.
Para obter mais informações, consulte Configurações de segurança de geração 2.
Habilitar inicialização segura.
Para obter mais informações, consulte Configurações de segurança de geração 2.
Manter o sistema operacional convidado protegido.
- Instale as atualizações de segurança mais recentes antes de ativar uma máquina virtual em um ambiente de produção.
- Instale os serviços de integração nos sistemas operacionais convidados com suporte que precisam deles e mantenha-os atualizados. As atualizações do serviço de integração para convidados que executam versões com suporte do Windows estão disponíveis por meio do Windows Update.
- Intensifique a proteção do sistema operacional executado em cada máquina virtual com base na função que ele executa. Use as recomendações de configuração de segurança de linha de base descritas na Linha de base de segurança do Windows.
Usar uma rede segura.
Verifique se os adaptadores de rede virtual se conectam ao comutador virtual correto e têm a configuração e os limites de segurança adequados aplicados.
Armazenar discos rígidos virtuais e arquivos de instantâneo em um local seguro.
Proteger dispositivos.
Configure apenas os dispositivos necessários para uma máquina virtual. Não habilite a atribuição de dispositivo discreta em seu ambiente de produção, a menos que você precise dela para um cenário específico. Se você habilitá-lo, certifique-se de expor apenas dispositivos de fornecedores confiáveis.
Configurar o software de detecção de antivírus, firewall e intrusão em máquinas virtuais conforme apropriado com base na função de máquina virtual.
Habilitar a segurança baseada em virtualização para convidados que executam o Windows 10, Windows Server 2016 ou posterior.
Confira Guia de implantação do Device Guard para saber mais.
Habilitar somente a Atribuição de dispositivo discreta se necessário para uma carga de trabalho específica.
Devido à natureza de passar por um dispositivo físico, trabalhe com o fabricante do dispositivo para entender se ele deve ser usado em um ambiente seguro.
Para ambientes mais seguros:
Implantar máquinas virtuais com blindagem habilitada e implantá-las em uma malha protegida.
Para obter mais informações, consulte Configurações de segurança de geração 2 e Malha protegida.