在 Windows Server 中規劃 Hyper-V 安全性
保護 Hyper-V 主機作業系統、虛擬機器、組態檔和虛擬機器資料。 使用下列建議做法清單作為檢查清單,以協助您保護 Hyper-V 環境。
保護 Hyper-V 主機
讓主機 OS 保持安全。
- 使用管理作業系統所需的最低 Windows Server 安裝選項,將受攻擊面降到最低。 如需詳細資訊,請參閱 Windows Server 技術內容庫的安裝選項一節。 我們不建議您在 Windows 10 的 Hyper-V 上執行生產工作負載。
- 使用最新的安全性更新,讓 Hyper-V 主機作業系統、韌體和裝置驅動程式保持最新狀態。 檢查廠商的建議以更新韌體和驅動程式。
- 請勿使用 Hyper-V 主機作為工作站,或安裝任何不必要的軟體。
- 從遠端系統管理 Hyper-V 主機。 如果您必須在本機管理 Hyper-V 主機,請使用 Credential Guard。 如需詳細資訊,請參閱使用 Credential Guard 保護衍生網域認證。
- 啟用程式碼完整性原則。 使用虛擬化型安全性保護的程式碼完整性服務。 如需詳細資訊,請參閱 Device Guard 部署指南。
使用安全網路。
- 使用個別網路搭配實體 Hyper-V 電腦的專用網路介面卡。
- 使用私人或安全網路來存取 VM 組態和虛擬硬碟檔案。
- 針對即時移轉流量使用私人/專用網路。 請考慮在此網路上啟用 IPSec,以在移轉期間使用加密並保護 VM 在網路上傳輸的資料。 如需詳細資訊,請參閱在沒有容錯移轉叢集的情況下設定即時移轉的主機。
保護儲存體移轉流量。
將 SMB 3.0 用於 SMB 資料的端對端加密,以及資料保護竄改或未受信任網路上的竊聽。 使用私人網路來存取 SMB 共用內容,以防止中間人攻擊。 如需詳細資訊,請參閱 SMB 安全性增強功能。
將主機設定為受防護網狀架構的一部分。
如需詳細資訊,請參閱受防護網狀架構。
保護裝置。
保護您用來保留虛擬機器資源檔案的儲存體裝置。
保護硬碟。
使用 BitLocker 磁碟機加密來保護資源。
強化 Hyper-V 主機作業系統。
使用 Windows Server 安全性基準中所述的基準安全性設定建議。
授與適當的權限。
- 將需要管理 Hyper-V 主機的使用者新增至 Hyper-V 系統管理員群組。
- 請勿授與 Hyper-V 主機作業系統的虛擬機器系統管理員權限。
設定 Hyper-V 的防毒排除項目和選項。
Windows Defender 已設定自動排除項目。 如需排除項目的詳細資訊,請參閱 Hyper-V 主機的建議防毒排除項目。
請勿掛接未知的 VHD。 如此可能會讓主機暴露於檔案系統層級攻擊。
除非需要,否則請勿在生產環境中啟用巢狀結構。
如果您啟用巢狀結構,請勿在虛擬機器上執行不支援的 Hypervisor。
如需更安全的環境:
使用硬體搭配信賴平台模組 (TPM) 2.0 晶片來設定受防護網狀架構。
如需詳細資訊,請參閱 Windows Server 2016 上的 Hyper-V 系統需求。
保護虛擬機器
為支援的客體作業系統建立第 2 代虛擬機器。
如需詳細資訊,請參閱第 2 代安全性設定。
啟用安全開機。
如需詳細資訊,請參閱第 2 代安全性設定。
保護客體 OS 安全。
- 在生產環境中開啟虛擬機器之前,請先安裝最新的安全性更新。
- 安裝支援客體作業系統的整合服務,這些作業系統需要整合服務並保持最新狀態。 執行支援的 Windows 版本的來賓整合服務更新可透過 Windows Update 取得。
- 根據其執行的角色,強化在每個虛擬機器中執行的作業系統。 使用 Windows 安全性基準中所述的基準安全性設定建議。
使用安全網路。
請確定虛擬網路介面卡連線至正確的虛擬交換器,且套用適當的安全性設定和限制。
將虛擬硬碟和快照集檔案儲存在安全的位置。
保護裝置。
僅設定虛擬機器的必要裝置。 除非您需要用於特定案例,否則請勿在生產環境中啟用離散裝置指派。 如果您啟用它,請務必只公開來自受信任廠商的裝置。
根據虛擬機器角色適當地設定虛擬機器內的防毒、防火牆和入侵偵測軟體。
針對執行 Windows 10 或 Windows Server 2016 或更新版本的來賓啟用虛擬化型安全性。
如需詳細資訊,請參閱 Device Guard 部署指南。
只有在特定工作負載需要時才啟用離散裝置指派。
基於傳遞實體裝置的本質,請與裝置製造商合作,以了解是否應該在安全的環境中使用。
如需更安全的環境:
部署已啟用防護功能的虛擬機器,並將其部署至受防護網狀架構。
如需詳細資訊,請參閱第 2 代安全性設定和受防護網狀架構。