Планирование безопасности Hyper-V в Windows Server
Защита операционной системы узла Hyper-V, виртуальных машин, файлов конфигурации и данных виртуальных машин. Используйте приведенный ниже список рекомендуемых методик в качестве контрольного списка, чтобы защитить среду Hyper-V.
Защита узла Hyper-V
Обеспечение безопасности ос узла.
- Свести к минимуму область атаки с помощью минимального параметра установки Windows Server, который требуется для операционной системы управления. Дополнительные сведения см. в разделе "Параметры установки" библиотеки технического содержимого Windows Server. Не рекомендуется запускать рабочие нагрузки на Hyper-V в Windows 10.
- Обновляйте операционную систему, встроенное ПО и драйверы устройств Hyper-V с последними обновлениями системы безопасности. Проверьте рекомендации поставщика по обновлению встроенного ПО и драйверов.
- Не используйте узел Hyper-V в качестве рабочей станции или установите любое ненужное программное обеспечение.
- Удаленное управление узлом Hyper-V. Если необходимо локально управлять узлом Hyper-V, используйте Credential Guard. Дополнительные сведения см. в разделе "Защита производных учетных данных домена с помощью Credential Guard".
- Включите политики целостности кода. Используйте службы целостности защищенного кода на основе виртуализации. Дополнительные сведения см . в руководстве по развертыванию Device Guard.
Используйте безопасную сеть.
- Используйте отдельную сеть с выделенным сетевым адаптером для физического компьютера Hyper-V.
- Используйте частную или безопасную сеть для доступа к конфигурациям виртуальных машин и файлам виртуального жесткого диска.
- Используйте частную или выделенную сеть для динамического трафика миграции. Рекомендуется включить IPSec в этой сети для использования шифрования и защиты данных виртуальной машины, передаваемых по сети во время миграции. Дополнительные сведения см. в разделе "Настройка узлов для динамической миграции без отказоустойчивой кластеризации".
Безопасный трафик миграции хранилища.
Используйте SMB 3.0 для сквозного шифрования данных SMB и защиты данных или перехвата в ненадежных сетях. Используйте частную сеть, чтобы получить доступ к содержимому общего ресурса SMB, чтобы предотвратить атаки злоумышленника в середине. Дополнительные сведения см. в разделе "Улучшения безопасности SMB".
Настройте узлы, чтобы быть частью защищенной структуры.
Дополнительные сведения см. в статье Guarded Fabric.
Безопасные устройства.
Защитите устройства хранения, в которых хранятся файлы ресурсов виртуальной машины.
Защита жесткого диска.
Используйте шифрование диска BitLocker для защиты ресурсов.
Затвердить операционную систему узла Hyper-V.
Используйте рекомендации по базовым параметрам безопасности, описанные в базовой конфигурации безопасности Windows Server.
Предоставьте соответствующие разрешения.
- Добавьте пользователей, которым необходимо управлять узлом Hyper-V, в группу администраторов Hyper-V.
- Не предоставляйте администраторам виртуальных машин разрешения на операционную систему узла Hyper-V.
Настройка исключений и параметров антивирусной защиты для Hyper-V.
Защитник Windows уже настроен автоматически . Дополнительные сведения об исключениях см. в статье "Рекомендуемые исключения антивирусной программы" для узлов Hyper-V.
Не подключайте неизвестные виртуальные жесткие диски. Это может предоставить узел атакам уровня файловой системы.
Не включите вложенность в рабочую среду, если она не требуется.
Если включить вложение, не выполняйте неподдерживаемые гипервизоры на виртуальной машине.
Для более безопасных сред:
Используйте оборудование с доверенным модулем платформы (TPM) 2.0 для настройки защищенной структуры.
Дополнительные сведения см. в разделе "Требования к системе" для Hyper-V в Windows Server 2016.
Защита виртуальных машин
Создайте виртуальные машины поколения 2 для поддерживаемых гостевых операционных систем.
Дополнительные сведения см. в разделе "Параметры безопасности поколения 2".
Включите безопасную загрузку.
Дополнительные сведения см. в разделе "Параметры безопасности поколения 2".
Защита гостевой ОС.
- Установите последние обновления системы безопасности перед включением виртуальной машины в рабочей среде.
- Установите службы интеграции для поддерживаемых гостевых операционных систем, которые нуждаются в ней, и сохраните его в актуальном состоянии. Обновления службы интеграции для гостей, работающих с поддерживаемыми версиями Windows, доступны через Обновл. Windows.
- Затвердите операционную систему, которая выполняется на каждой виртуальной машине на основе выполняемой роли. Используйте рекомендации по базовым параметрам безопасности, описанные в Безопасность Windows базовых показателей.
Используйте безопасную сеть.
Убедитесь, что адаптеры виртуальной сети подключаются к правильному виртуальному коммутатору и применяют соответствующие параметры безопасности и ограничения.
Храните виртуальные жесткие диски и файлы моментальных снимков в безопасном расположении.
Безопасные устройства.
Настройте только необходимые устройства для виртуальной машины. Не включите дискретное назначение устройства в рабочей среде, если только не требуется для определенного сценария. Если вы включите его, обязательно предоставьте только устройства от доверенных поставщиков.
Настройте антивирусное, брандмауэр и программное обеспечение обнаружения вторжений на виртуальных машинах в соответствии с ролью виртуальной машины.
Включите безопасность на основе виртуализации для гостей под управлением Windows 10 или Windows Server 2016 или более поздней версии.
Дополнительные сведения см. в руководстве по развертыванию Device Guard.
Включите только дискретное назначение устройства, если это необходимо для определенной рабочей нагрузки.
Из-за характера передачи через физическое устройство обратитесь к производителю устройств, чтобы понять, следует ли использовать его в безопасной среде.
Для более безопасных сред:
Разверните виртуальные машины с включенным экранированием и разверните их в защищенной структуре.
Дополнительные сведения см. в разделе "Параметры безопасности поколения 2" и структура Guarded.