Planifier la sécurité Hyper-V dans Windows Server
Sécurisez le système d’exploitation hôte Hyper-V, les ordinateurs virtuels, les fichiers de configuration et les données des ordinateurs virtuels. Utilisez la liste suivante de pratiques recommandées comme check-list pour vous aider à sécuriser votre environnement Hyper-V.
Sécurisez le système d’exploitation hôte.
- Réduisez la surface d’attaque en utilisant l’option d’installation minimale de Windows Server dont vous avez besoin pour le système d’exploitation de gestion. Pour plus d’informations, consultez la section Options d’installation de la bibliothèque de contenu technique Windows Server. Nous vous déconseillons d’exécuter des charges de travail de production sur Hyper-V sur Windows 10.
- Maintenez le système d’exploitation hôte Hyper-V, le microprogramme et les pilotes de périphérique à jour avec les dernières mises à jour de sécurité. Consultez les recommandations de votre fournisseur pour mettre à jour le microprogramme et les pilotes.
- N’utilisez pas l’hôte Hyper-V comme station de travail et n’installez pas de logiciels inutiles.
- Gérez à distance l’hôte Hyper-V. Si vous devez gérer l’hôte Hyper-V localement, utilisez Credential Guard. Pour plus d’informations, consultez la section Protéger les informations d’identification de domaine dérivées avec Credential Guard.
- Activez des stratégies d’intégrité du code. Utilisez les services d’intégrité du code protégés par la sécurité basée sur la virtualisation. Pour plus d’informations, consultez le Guide de déploiement de Device Guard.
Utilisez un réseau sécurisé.
- Utilisez un réseau distinct avec une carte réseau dédiée pour l’ordinateur physique Hyper-V.
- Utilisez un réseau privé ou sécurisé pour accéder aux configurations d’ordinateur virtuel et aux fichiers de disque dur virtuel.
- Utilisez un réseau privé/dédié pour votre trafic de migration dynamique. Activez IPSec sur ce réseau pour utiliser le chiffrement et sécuriser les données de votre ordinateur virtuel qui transitent par le réseau pendant la migration. Pour plus d’informations, consultez Configurer des hôtes pour la migration dynamique sans clustering de basculement.
Sécurisez le trafic de migration du stockage.
Utilisez SMB 3.0 pour le chiffrement de bout en bout des données SMB et la protection des données contre la falsification ou l’écoute clandestine sur les réseaux non approuvés. Utilisez un réseau privé pour accéder au contenu du partage SMB afin d’éviter les attaques de l’intercepteur. Pour plus d’informations, consultez Améliorations de la sécurité SMB.
Configurez les hôtes afin qu’ils fassent partie d’une infrastructure protégée.
Pour plus d’informations, consultez Infrastructure protégée.
Sécurisez les périphériques.
Sécurisez les périphériques de stockage sur lesquels vous conservez les fichiers de ressources d’ordinateurs virtuels.
Sécurisez le disque dur.
Utilisez le chiffrement de lecteur BitLocker pour protéger les ressources.
Durcissez le système d’exploitation hôte Hyper-V.
Utilisez les recommandations relatives aux paramètres de sécurité de base de référence décrites dans la base de référence de la sécurité Windows Server.
Accordez les autorisations appropriées.
- Ajoutez les utilisateurs qui doivent gérer l’hôte Hyper-V au groupe Administrateurs Hyper-V.
- N’accordez pas d’autorisations aux administrateurs d’ordinateurs virtuels sur le système d’exploitation hôte Hyper-V.
Configurez des exclusions et des options antivirus pour Hyper-V.
Windows Defender a déjà des exclusions automatiques configurées. Pour plus d’informations sur les exclusions, consultez Exclusions antivirus recommandées pour les hôtes Hyper-V.
Ne montez pas de VHD inconnus. Cela peut exposer l’hôte à des attaques au niveau du système de fichiers.
N’activez pas l’imbrication dans votre environnement de production, sauf si cela est nécessaire.
Si vous activez l’imbrication, n’exécutez pas d’hyperviseurs non pris en charge sur un ordinateur virtuel.
Pour des environnements plus sécurisés :
Utilisez du matériel avec une puce de module de plateforme sécurisée (TPM) 2.0 pour configurer une infrastructure protégée.
Pour plus d’informations, consultez Configuration système requise pour Hyper-V sur Windows Server 2016.
Créez des ordinateurs virtuels de génération 2 pour les systèmes d’exploitation invités pris en charge.
Pour plus d’informations, consultez Paramètres de sécurité des ordinateurs virtuels de génération 2.
Activez le démarrage sécurisé.
Pour plus d’informations, consultez Paramètres de sécurité des ordinateurs virtuels de génération 2.
Sécurisez le système d’exploitation invité.
- Installez les dernières mises à jour de sécurité avant d’activer un ordinateur virtuel dans un environnement de production.
- Installez les services d’intégration pour les systèmes d’exploitation invités pris en charge qui en ont besoin, et tenez-les à jour. Les mises à jour du service d’intégration pour les invités qui exécutent des versions de Windows prises en charge sont disponibles via Windows Update.
- Durcissez le système d’exploitation qui s’exécute sur chaque ordinateur virtuel en fonction du rôle qu’il assume. Utilisez les recommandations relatives aux paramètres de sécurité de base de référence décrites dans la base de référence de la sécurité Windows.
Utilisez un réseau sécurisé.
Assurez-vous que les cartes réseau virtuelles se connectent au commutateur virtuel approprié, et que le paramètre de sécurité et les limites appropriés sont appliqués.
Stockez les disques durs virtuels et les fichiers d’instantanés dans un emplacement sécurisé.
Sécurisez les périphériques.
Configurez uniquement les périphériques requis pour un ordinateur virtuel. N’activez pas l’attribution discrète de périphériques dans votre environnement de production, sauf si vous en avez besoin pour un scénario spécifique. Si vous l’activez, veillez à exposer uniquement les périphériques de fournisseurs approuvés.
Configurez les logiciels antivirus, de pare-feu et de détection des intrusions au sein des ordinateurs virtuels en fonction du rôle de l’ordinateur virtuel.
Activez la sécurité basée sur la virtualisation pour les invités qui exécutent Windows 10 ou Windows Server 2016 ou version ultérieure.
Pour plus d’informations, consultez le guide de déploiement de Device Guard.
Activez uniquement l’attribution discrète de périphériques si nécessaire pour une charge de travail spécifique.
En raison de la nature du passage à travers un périphérique physique, collaborez avec le fabricant du périphériques pour déterminer s’il doit être utilisé dans un environnement sécurisé.
Pour des environnements plus sécurisés :
Déployez des ordinateurs virtuels avec la protection activée, et déployez-les sur une infrastructure protégée.
Pour plus d’informations, consultez Paramètres de sécurité des ordinateurs virtuels de génération 2 et Infrastructure protégée.