Planeamiento de la seguridad de Hyper-V en Windows Server

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2016, Microsoft Hyper-V Server 2016, Windows Server 2019, Microsoft Hyper-V Server 2019

Proteja el sistema operativo host de Hyper-V, las máquinas virtuales, los archivos de configuración y los datos de las máquinas virtuales. Use la siguiente lista de procedimientos recomendados como lista de comprobación para ayudarle a proteger el entorno de Hyper-V.

Protección del host de Hyper-V

  • Mantener el sistema operativo host seguro.

    • Minimice la superficie expuesta a ataques mediante la opción de instalación mínima de Windows Server que necesita para el sistema operativo de administración. Para más información, consulte la sección Opciones de instalación de la biblioteca de contenido técnico de Windows Server. No se recomienda ejecutar cargas de trabajo de producción en Hyper-V en Windows 10.
    • Mantenga actualizados los controladores de dispositivo, firmware y sistema operativo del host de Hyper-V con las actualizaciones de seguridad más recientes. Compruebe las recomendaciones de su proveedor para actualizar el firmware y los controladores.
    • No use el host de Hyper-V como estación de trabajo ni instale ningún software innecesario.
    • Administre de forma remota el host de Hyper-V. Si debe administrar el host de Hyper-V localmente, use Credential Guard. Para obtener más información, consulta Proteger las credenciales de dominio derivadas con Credential Guard.
    • Habilite las directivas de integridad del código. Use los servicios de integridad del código protegidos por la seguridad basada en virtualización. Para más información, consulta la Guía de implementación de Device Guard.

  • Use una red segura.

    • Use una red independiente con un adaptador de red dedicado para el equipo físico de Hyper-V.
    • Use una red privada o segura para acceder a configuraciones de máquina virtual y archivos de disco duro virtual.
    • Use una red privada o dedicada para el tráfico de migración en vivo. Considere la posibilidad de habilitar IPSec en esta red para usar el cifrado y proteger los datos de la máquina virtual que pasan por la red durante la migración. Para más información, consulte Configuración de hosts para la migración en vivo sin clústeres de conmutación por error.

  • Proteger el tráfico de migración de almacenamiento.

    Use SMB 3.0 para el cifrado de extremo a extremo de los datos SMB y la protección contra la manipulación o escucha de datos en redes no confiables. Use una red privada para acceder al contenido del recurso compartido de SMB para evitar ataques de intermediario. Para más información, consulte Mejoras de seguridad de SMB.

  • Configurar los hosts para que formen parte de un tejido protegido.

    Para más información, consulte Tejido protegido.

  • Proteger los dispositivos.

    Proteja los dispositivos de almacenamiento en los que se guardan los archivos de recursos de máquina virtual.

  • Proteger la unidad de disco duro.

    Use Cifrado de unidad BitLocker para proteger los recursos.

  • Proteger el sistema operativo host de Hyper-V.

    Use las recomendaciones de configuración de seguridad de línea de base descritas en Línea de base de seguridad de Windows Server.

  • Conceder los permisos adecuados.

    • Agregue usuarios que necesiten administrar el host de Hyper-V al grupo de administradores de Hyper-V.
    • No conceda permisos a los administradores de máquinas virtuales en el sistema operativo host de Hyper-V.

  • Configurar exclusiones y opciones antivirus para Hyper-V.

    Windows Defender ya tiene configuradas exclusiones automáticas. Para más información sobre las exclusiones, consulte Exclusiones de antivirus recomendadas para hosts de Hyper-V.

  • No monte discos duros virtuales desconocidos. El host podría quedar expuesto a ataques de nivel de sistema de archivos.

  • No permitir el anidamiento en el entorno de producción a menos que sea necesario.

    Si permite el anidamiento, no ejecute hipervisores no admitidos en una máquina virtual.

Para tener entornos más seguros:

Protección de máquinas virtuales

  • Cree máquinas virtuales de segunda generación para sistemas operativos invitados compatibles.

    Para más información, consulte Configuración de seguridad de generación 2.

  • Habilite el arranque seguro.

    Para más información, consulte Configuración de seguridad de generación 2.

  • Mantenga el sistema operativo invitado seguro.

    • Antes de activar una máquina virtual en un entorno de producción, instale las actualizaciones de seguridad más recientes.
    • Instale los servicios de integración para los sistemas operativos invitados compatibles que lo necesiten y manténgalos actualizados. Las actualizaciones del servicio de integración para invitados que ejecutan versiones compatibles de Windows están disponibles mediante Windows Update.
    • Proteja el sistema operativo que se ejecuta en cada máquina virtual en función del rol que desempeña. Use las recomendaciones de configuración de seguridad de línea de base que se describen en Línea de base de Seguridad de Windows.

  • Use una red segura.

    Asegúrese de que los adaptadores de red virtuales se conectan al conmutador virtual correcto y tienen aplicados los límites y la configuración de seguridad adecuados.

  • Almacene los discos duros virtuales y los archivos de instantáneas en una ubicación segura.

  • Proteja los dispositivos.

    Configure solo los dispositivos necesarios para una máquina virtual. No habilite la asignación discreta de dispositivos en el entorno de producción a menos que la necesite para un escenario específico. Si la habilita, asegúrese de exponer solo dispositivos de proveedores de confianza.

  • Configure el software antivirus, de firewall y de detección de intrusiones dentro de las máquinas virtuales según corresponda en función del rol de la máquina virtual.

  • Habilite la seguridad basada en virtualización para los invitados que ejecutan Windows 10 o Windows Server 2016 o posterior.

    Para más información, consulte la Guía de implementación de Device Guard.

  • Solo habilite la asignación discreta de dispositivos si es necesario para una carga de trabajo específica.

    Debido a la naturaleza del recorrido por un dispositivo físico, trabaje con el fabricante del dispositivo para comprender si se debe usar en un entorno seguro.

Para tener entornos más seguros: