Planen der Hyper-V-Sicherheit in Windows Server

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2016, Microsoft Hyper-V Server 2016, Windows Server 2019, Microsoft Hyper-V Server 2019

Schützen Sie das Hyper-V-Hostbetriebssystem, die VMs, Konfigurationsdateien und VM-Daten. Verwenden Sie die folgende Liste empfohlener Methoden als Prüfliste zum Schutz Ihrer Hyper-V-Umgebung.

Schützen des Hyper-V-Hosts

  • Schützen Sie das Hostbetriebssystem.

    • Minimieren Sie die Angriffsfläche, indem Sie die minimale Windows Server-Installationsoption verwenden, die Sie für das Verwaltungsbetriebssystem benötigen. Weitere Informationen finden Sie im Abschnitt Installationsoptionen der technischen Inhaltsbibliothek für Windows Server. Es wird davon abgeraten, Produktionsworkloads auf Hyper-V unter Windows 10 auszuführen.
    • Halten Sie das Hyper-V-Hostbetriebssystem, die Firmware und die Gerätetreiber mit den neuesten Sicherheitsupdates auf dem neuesten Stand. Überprüfen Sie die Empfehlungen Ihres Anbieters zum Aktualisieren von Firmware und Treibern.
    • Verwenden Sie den Hyper-V-Host nicht als Arbeitsstation, und installieren Sie keine unnötige Software.
    • Verwalten Sie den Hyper-V-Host remote. Wenn Sie den Hyper-V-Host lokal verwalten müssen, verwenden Sie Credential Guard. Weitere Informationen finden Sie unter Schützen abgeleiteter Domänenanmeldeinformationen mit Credential Guard.
    • Aktivieren Sie Codeintegritätsrichtlinien. Verwenden Sie durch virtualisierungsbasierte Sicherheit geschützte Codeintegritätsdienste. Weitere Informationen finden Sie im Leitfaden zur Device Guard-Bereitstellung.

  • Verwenden Sie ein sicheres Netzwerk.

    • Verwenden Sie ein separates Netzwerk mit einem dedizierten Netzwerkadapter für den physischen Hyper-V-Computer.
    • Verwenden Sie ein privates oder sicheres Netzwerk, um auf VM-Konfigurationen und Dateien auf virtuellen Festplatten zuzugreifen.
    • Verwenden Sie ein privates/dediziertes Netzwerk für Ihren Livemigrationsdatenverkehr. Erwägen Sie die Aktivierung von IPSec in diesem Netzwerk, um die Verschlüsselung zu verwenden und die Daten Ihrer VM während der Migration über das Netzwerk zu schützen. Weitere Informationen finden Sie unter Einrichten von Hosts für die Livemigration ohne Failovercluster.

  • Sicherer Datenverkehr für die Speichermigration.

    Verwenden Sie SMB 3.0 für die End-to-End-Verschlüsselung von SMB-Daten und für Manipulationen beim Schutz von Daten oder für Lauschangriffe in nicht vertrauenswürdigen Netzwerken. Verwenden Sie ein privates Netzwerk, um auf die Inhalte der SMB-Freigabe zuzugreifen und Man-in-the-Middle-Angriffe zu verhindern. Weitere Informationen finden Sie unter SMB-Sicherheitsverbesserungen.

  • Konfigurieren Sie Hosts als Teil eines geschützten Fabrics.

    Weitere Informationen finden Sie unter Geschütztes Fabric.

  • Schützen Sie Geräte.

    Schützen Sie die Speichergeräte, auf denen Sie VM-Ressourcendateien speichern.

  • Schützen Sie die Festplatte.

    Verwenden Sie die BitLocker-Laufwerkverschlüsselung, um Ressourcen zu schützen.

  • Härten Sie das Hyper-V-Hostbetriebssystem.

    Befolgen Sie die in der Windows Server-Sicherheitsbaseline beschriebenen Empfehlungen für Baselinesicherheitseinstellungen.

  • Erteilen Sie geeignete Berechtigungen.

    • Fügen Sie der Hyper-V-Administratorengruppe Benutzer*innen hinzu, die den Hyper-V-Host verwalten sollen.
    • Erteilen Sie VM-Administrator*innen keine Berechtigungen für das Hyper-V-Hostbetriebssystem.

  • Konfigurieren Sie Ausschlüsse und Optionen der Antivirensoftware für Hyper-V.

    In Windows Defender sind bereits automatische Ausschlüsse konfiguriert. Weitere Informationen zu Ausschlüssen finden Sie unter Empfohlene Antivirusausschlüsse für Hyper-V-Hosts.

  • Binden Sie keine unbekannten VHDs ein. Dadurch kann der Host Angriffen auf Dateisystemebene ausgesetzt werden.

  • Aktivieren Sie die Schachtelung in Ihrer Produktionsumgebung nur dann, wenn sie erforderlich ist.

    Wenn Sie die Schachtelung aktivieren, führen Sie keine nicht unterstützten Hypervisors auf einer VM aus.

Für sicherere Umgebungen:

Sichern von virtuellen Computern

  • Erstellen Sie VMs der 2. Generation für unterstützte Gastbetriebssysteme.

    Weitere Informationen finden Sie unter Sicherheitseinstellungen der 2. Generation.

  • Aktivieren Sie den sicheren Start.

    Weitere Informationen finden Sie unter Sicherheitseinstellungen der 2. Generation.

  • Schützen Sie das Gastbetriebssystem.

    • Installieren Sie die neuesten Sicherheitsupdates, bevor Sie eine VM in einer Produktionsumgebung aktivieren.
    • Installieren Sie Integrationsdienste für die unterstützten Gastbetriebssysteme, die solche Dienste benötigen, und halten Sie sie auf dem neuesten Stand. Integrationsdienstupdates für Gastsysteme, die unterstützte Windows-Versionen ausführen, sind über Windows Update verfügbar.
    • Härten Sie das Betriebssystem, das auf den einzelnen VMs ausgeführt wird, basierend auf der jeweils ausgeführten Rolle. Befolgen Sie die in der Windows-Sicherheitsbaseline beschriebenen Empfehlungen für Baselinesicherheitseinstellungen.

  • Verwenden Sie ein sicheres Netzwerk.

    Stellen Sie sicher, dass virtuelle Netzwerkadapter eine Verbindung mit dem richtigen virtuellen Switch herstellen und dass die entsprechenden Sicherheitseinstellungen und -grenzwerte angewendet werden.

  • Speichern Sie virtuelle Festplatten und Momentaufnahmedateien an einem sicheren Speicherort.

  • Schützen Sie Geräte.

    Konfigurieren Sie nur erforderliche Geräte für eine VM. Aktivieren Sie die diskrete Gerätezuweisung in Ihrer Produktionsumgebung nur dann, wenn Sie sie für ein bestimmtes Szenario benötigen. Wenn Sie sie aktivieren, stellen Sie sicher, dass Sie nur Geräte von vertrauenswürdigen Anbietern verfügbar machen.

  • Konfigurieren Sie Antiviren-, Firewall- und Angriffserkennungssoftware auf VMs entsprechend der jeweiligen VM-Rolle.

  • Aktivieren Sie virtualisierungsbasierte Sicherheit für Gastsysteme, die Windows 10 oder Windows Server 2016 oder höher ausführen.

    Weitere Informationen finden Sie im Leitfaden zur Device Guard-Bereitstellung.

  • Aktivieren Sie die diskrete Gerätezuweisung nur bei Bedarf für eine bestimmte Workload.

    Aufgrund der Durchquerung eines physischen Geräts sollten Sie sich an den Gerätehersteller wenden, um zu ermitteln, ob sie in einer sicheren Umgebung verwendet werden sollte.

Für sicherere Umgebungen: