Pengaturan keamanan komputer virtual Generasi 2 untuk Hyper-V
Berlaku untuk: Windows Server 2022, Windows Server 2016, Microsoft Hyper-V Server 2016, Windows Server 2019, Microsoft Hyper-V Server 2019
Gunakan pengaturan keamanan komputer virtual di Hyper-V Manager untuk membantu melindungi data dan status komputer virtual. Anda dapat melindungi komputer virtual dari inspeksi, pencurian, dan perubahan dari malware yang dapat berjalan pada host, dan administrator pusat data. Tingkat keamanan yang Anda dapatkan tergantung pada perangkat keras host yang Anda jalankan, pembuatan komputer virtual, dan apakah Anda menyiapkan layanan, yang disebut Host Guardian Service, yang mengotorisasi host untuk memulai komputer virtual terlindungi.
Layanan Wali Host adalah peran baru di Windows Server 2016. Ini mengidentifikasi host Hyper-V yang sah dan memungkinkan mereka menjalankan komputer virtual tertentu. Anda paling sering menyiapkan Layanan Wali Host untuk pusat data. Tetapi Anda dapat membuat komputer virtual terlindung untuk menjalankannya secara lokal tanpa menyiapkan Layanan Wali Host. Anda nantinya dapat mendistribusikan komputer virtual terlindungi ke Host Guardian Fabric.
Jika Anda belum menyiapkan Layanan Wali Host atau menjalankannya dalam mode lokal pada host Hyper-V dan host memiliki kunci wali pemilik komputer virtual, Anda dapat mengubah pengaturan yang dijelaskan dalam topik ini. Pemilik kunci wali adalah organisasi yang membuat dan berbagi kunci privat atau publik untuk memiliki semua komputer virtual yang dibuat dengan kunci tersebut.
Untuk mempelajari bagaimana Anda dapat membuat komputer virtual Anda lebih aman dengan Host Guardian Service, lihat sumber daya berikut.
- Harden the Fabric: Melindungi Rahasia Penyewa di Hyper-V (Video Ignite)
- Guarded Fabric dan Shielded VM
Pengaturan Boot Aman di Hyper-V Manager
Boot Aman adalah fitur yang tersedia dengan komputer virtual generasi 2 yang membantu mencegah firmware yang tidak sah, sistem operasi, atau driver Unified Extensible Firmware Interface (UEFI) (juga dikenal sebagai opsi ROM) agar tidak berjalan pada waktu boot. Boot Aman diaktifkan secara default. Anda dapat menggunakan boot aman dengan komputer virtual generasi 2 yang menjalankan sistem operasi distribusi Windows atau Linux.
Templat yang dijelaskan dalam tabel berikut merujuk ke sertifikat yang Anda butuhkan untuk memverifikasi integritas proses boot.
| Nama templat | Deskripsi |
|---|---|
| Microsoft Windows | Pilih untuk mengamankan boot komputer virtual untuk sistem operasi Windows. |
| Otoritas Sertifikat Microsoft UEFI | Pilih untuk mengamankan boot komputer virtual untuk sistem operasi distribusi Linux. |
| Open Source Shielded VM | Templat ini dimanfaatkan untuk mengamankan boot untuk VM terlindung berbasis Linux. |
Untuk informasi selengkapnya, lihat topik berikut.
- Gambaran Umum Keamanan Windows 10
- Apakah saya harus membuat mesin virtual generasi 1 atau 2 di Hyper-V?
- Komputer Virtual Linux dan FreeBSD di Hyper-V
Pengaturan dukungan enkripsi di Manajer Hyper-V
Anda dapat membantu melindungi data dan status komputer virtual dengan memilih opsi dukungan enkripsi berikut.
- Aktifkan Modul Platform Tepercaya - Pengaturan ini membuat chip Modul Platform Tepercaya (TPM) virtual tersedia untuk komputer virtual Anda. Ini memungkinkan tamu untuk mengenkripsi disk komputer virtual dengan menggunakan BitLocker. Anda dapat mengaktifkan ini dengan membuka pengaturan VM, klik Keamanan, lalu di bagian Dukungan Enkripsi, centang kotak untuk Mengaktifkan Modul Platform Tepercaya. Anda juga dapat menggunakan cmdlet PowerShell Enable-VMTPM .
- Jika host Hyper-V Anda menjalankan Windows 10 1511, Anda harus mengaktifkan Mode Pengguna Terisolasi.
- Mengenkripsi lalu lintas migrasi Status dan VM - Mengenkripsi status tersimpan komputer virtual dan lalu lintas migrasi langsung.
Aktifkan Mode Pengguna Terisolasi
Jika Anda memilih Aktifkan Modul Platform Tepercaya pada host Hyper-V yang menjalankan versi Windows yang lebih lama dari Windows 10 Anniversary Update, Anda harus mengaktifkan Mode Pengguna Terisolasi. Anda tidak perlu melakukan ini untuk host Hyper-V yang menjalankan Windows Server 2016 atau Windows 10 Anniversary Update atau yang lebih baru.
Mode Pengguna Terisolasi adalah lingkungan runtime yang menghosting aplikasi keamanan di dalam Mode Aman Virtual pada host Hyper-V. Mode Aman Virtual digunakan untuk mengamankan dan melindungi status chip TPM virtual.
Untuk mengaktifkan Mode Pengguna Terisolasi pada host Hyper-V yang menjalankan versi Windows 10 sebelumnya,
Buka Windows PowerShell sebagai administrator.
Jalankan perintah berikut:
Enable-WindowsOptionalFeature -Feature IsolatedUserMode -Online New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Force New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Name EnableVirtualizationBasedSecurity -Value 1 -PropertyType DWord -Force
Anda dapat memigrasikan komputer virtual dengan TPM virtual yang diaktifkan ke host apa pun yang menjalankan Windows Server 2016, Windows 10 build 10586 atau versi yang lebih tinggi. Tetapi jika Anda memigrasikannya ke host lain, Anda mungkin tidak dapat memulainya. Anda harus memperbarui Pelindung Kunci untuk komputer virtual tersebut untuk mengotorisasi host baru untuk menjalankan komputer virtual. Untuk informasi selengkapnya, lihat Persyaratan Guarded Fabric dan Shielded VMs and System untuk Hyper-V di Windows Server.
Kebijakan Keamanan di Hyper-V Manager
Untuk keamanan komputer virtual lainnya, gunakan opsi Aktifkan Perisai untuk menonaktifkan fitur manajemen seperti koneksi konsol, PowerShell Direct, dan beberapa komponen integrasi. Jika Anda memilih opsi ini, Boot Aman, Aktifkan Modul Platform Tepercaya, dan Opsi lalu lintas migrasi Status Enkripsi dan VM dipilih dan diberlakukan.
Anda dapat menjalankan komputer virtual terlindungi secara lokal tanpa menyiapkan Layanan Wali Host. Tetapi jika Anda memigrasikannya ke host lain, Anda mungkin tidak dapat memulainya. Anda harus memperbarui Pelindung Kunci untuk komputer virtual tersebut untuk mengotorisasi host baru untuk menjalankan komputer virtual. Untuk informasi selengkapnya, lihat Guarded Fabric dan Shielded VM.
Untuk informasi selengkapnya tentang keamanan di Windows Server, lihat Keamanan dan Jaminan.