Windows Server で Hyper-V のセキュリティの計画します

  • [アーティクル]

適用対象: Windows Server 2022、Windows Server 2016、Microsoft Hyper-V Server 2016、Windows Server 2019、Microsoft Hyper-V Server 2019

HYPER-V ホストのオペレーティング システム、仮想マシン、構成ファイル、および仮想マシンのデータをセキュリティで保護します。 HYPER-V 環境を保護するためにチェックリストとして次の推奨されるベスト プラクティスの一覧を使用します。

HYPER-V ホストのセキュリティ保護します。

  • ホストの OS をセキュリティで保護してください。

    • 管理オペレーティング システムに必要な最低限の Windows Server インストール オプションを使用して、攻撃対象領域を最小限に抑えます。 詳細については、Windows Server テクニカル コンテンツ ライブラリのインストール オプション セクションを参照してください。 Windows 10 では、HYPER-V では、実稼働ワークロードを実行することは推奨されません。
    • HYPER-V ホストのオペレーティング システム、ファームウェア、およびデバイス ドライバーは最新のセキュリティ更新プログラムを最新のしてください。 ファームウェアとドライバーを更新する、ベンダーの推奨事項を確認してください。
    • HYPER-V ホストをワークステーションとして使用したり、不要なソフトウェアをインストールしないでください。
    • HYPER-V ホストをリモートで管理します。 ローカル HYPER-V ホストを管理する必要があります、資格情報の保護を使用します。 詳細については、次を参照してください。 派生した資格情報 Guard でのドメイン資格情報を保護するです。
    • コード整合性ポリシーを有効にします。 仮想化ベースのセキュリティを使用するには、サービスのコードの整合性が保護されています。 詳細については、次を参照してください。 デバイス ガード展開ガイドします。

  • セキュリティで保護されたネットワークを使用します。

    • 物理的な HYPER-V コンピューターの専用のネットワーク アダプターで別のネットワークを使用します。
    • VM のアクセスの構成および仮想ハード ディスク ファイルへのプライベートまたはセキュリティで保護されたネットワークを使用します。
    • ライブ マイグレーション トラフィック/専用のプライベート ネットワークを使用します。 暗号化を使用し、移行中にネットワーク経由で仮想マシンのデータをセキュリティで保護するには、このネットワーク上の IPSec を有効にしてください。 詳細については、次を参照してください。 フェールオーバー クラスタ リングのないライブ マイグレーションのためのホスト設定します。

  • 記憶域の移行のトラフィックをセキュリティで保護します。

    SMB データとデータ保護の改ざんまたは信頼されていないネットワークの盗聴のエンド ツー エンドの暗号化の SMB 3.0 を使用します。 中間の攻撃を防ぐための SMB 共有の内容にアクセスするのにには、プライベート ネットワークを使用します。 詳細については、次を参照してください。 SMB のセキュリティの強化します。

  • 保護されたファブリックの一部としてホストを構成します。

    詳細については、次を参照してください。 保護され、fabricします。

  • デバイスをセキュリティで保護します。

    仮想マシンのリソース ファイルを保存する記憶装置をセキュリティで保護します。

  • ハード ドライブをセキュリティで保護します。

    リソースを保護するのにには、BitLocker ドライブ暗号化を使用します。

  • HYPER-V ホストのオペレーティング システムを強化します。

    ベースライン セキュリティ設定の推奨事項を使用して、 Windows サーバーのセキュリティ ベースラインします。

  • 適切なアクセス許可を付与します。

    • HYPER-V administrators グループに HYPER-V ホストを管理する必要があるユーザーを追加します。
    • 与えないで仮想マシンの管理者、HYPER-V に対するアクセス許可は、オペレーティング システムをホストします。

  • 除外リストのウイルス対策と HYPER-V のオプションを構成します。

    Windows Defender は既に 自動除外 ように構成します。 除外リストの詳細については、次を参照してください。 Hyper-v ホストでのウイルス対策の除外をお勧めします。

  • 不明な Vhd をマウントしません。 これは、ファイル システム レベルの攻撃にホストを公開できます。

  • 必要な場合を除き、運用環境での入れ子を有効にしません。

    入れ子を有効にした場合は、仮想マシンでサポートされていないハイパーバイザーを実行しないでください。

安全な環境向け。

セキュリティ保護された仮想マシン

  • サポートされるゲスト オペレーティング システムの 2 つの仮想マシンの世代を作成します。

    詳細については、次を参照してください。 第 2 世代のセキュリティ設定します。

  • セキュア ブートを有効にします。

    詳細については、次を参照してください。 第 2 世代のセキュリティ設定します。

  • ゲスト OS をセキュリティで保護してください。

    • 運用環境で仮想マシンを有効にする前に、最新のセキュリティ更新プログラムをインストールします。
    • 統合サービスを必要とすることに保ちますサポートされるゲスト オペレーティング システムをインストールします。 サポートされているバージョンの Windows を実行しているゲストの統合サービスの更新プログラムは、Windows Update を通して利用できます。
    • 実行する役割に基づく各仮想マシンで実行されているオペレーティング システムを強化します。 説明されているベースライン セキュリティ設定の推奨事項を使用して、 Windows セキュリティ ベースラインします。

  • セキュリティで保護されたネットワークを使用します。

    仮想ネットワーク アダプターが正しい仮想スイッチに接続し、適切なセキュリティ設定と制限を適用することを確認してください。

  • バーチャル ハード ディスクやスナップショット ファイルを安全な場所に保存します。

  • デバイスをセキュリティで保護します。

    仮想マシンにのみ必要なデバイスを構成します。 特定のシナリオに必要な場合を除き、実稼働環境内で個別のデバイスの割り当てを有効にしません。 これを有効にして場合は、信頼できるベンダーからのデバイスのみを公開することを確認してください。

  • ウイルス対策ソフトウェア、構成、ファイアウォールおよび侵入検知ソフトウェア 仮想マシン ロールに基いて、必要に応じて仮想マシン内で。

  • Windows 10 または Windows Server 2016 以降を実行しているゲストの仮想化ベースのセキュリティを有効にします。

    詳細については、次を参照してください。、 デバイス ガード展開ガイドします。

  • 特定のワークロードに必要な場合のみ個別のデバイスの割り当てを有効にするです。

    物理デバイスを通過の性質上、セキュリティで保護された環境で使用するかどうかを理解するデバイスの製造元と協力します。

安全な環境向け。