Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Zabezpiecz system operacyjny hosta Hyper-V, maszyny wirtualne, pliki konfiguracji i dane maszyny wirtualnej. Skorzystaj z poniższej listy zalecanych rozwiązań jako listy kontrolnej, aby ułatwić zabezpieczanie środowiska Hyper-V.
Zabezpieczanie hosta Hyper-V
Zachowaj bezpieczeństwo systemu operacyjnego hosta.
- Zminimalizuj obszar ataków przy użyciu minimalnej opcji instalacji systemu Windows Server potrzebnej dla systemu operacyjnego zarządzania. Aby uzyskać więcej informacji, zobacz sekcję Opcje instalacji biblioteki zawartości technicznej systemu Windows Server. Nie zalecamy uruchamiania obciążeń produkcyjnych na Hyper-V w systemie Windows 10.
- Zachowaj aktualność systemu operacyjnego hosta, oprogramowania układowego i sterowników urządzeń Hyper-V dzięki najnowszym aktualizacjom zabezpieczeń. Sprawdź zalecenia dostawcy, aby zaktualizować oprogramowanie układowe i sterowniki.
- Nie używaj hosta Hyper-V jako stacji roboczej ani nie instaluj niepotrzebnego oprogramowania.
- Zdalne zarządzanie hostem Hyper-V. Jeśli musisz zarządzać hostem Hyper-V lokalnie, użyj funkcji Credential Guard. Aby uzyskać więcej informacji, zobacz Ochrona pochodnych poświadczeń domeny za pomocą funkcji Credential Guard.
- Włącz zasady integralności kodu. Użyj usług integralności kodu chronionego na podstawie wirtualizacji. Aby uzyskać więcej informacji, zobacz Device Guard Deployment Guide (Przewodnik wdrażania funkcji Device Guard).
Użyj bezpiecznej sieci.
- Użyj oddzielnej sieci z dedykowaną kartą sieciową dla komputera fizycznego Hyper-V.
- Użyj prywatnej lub bezpiecznej sieci, aby uzyskać dostęp do konfiguracji maszyn wirtualnych i plików wirtualnych dysków twardych.
- Użyj sieci prywatnej lub dedykowanej dla ruchu związanego z migracją w czasie rzeczywistym. Rozważ włączenie protokołu IPSec w tej sieci, aby używać szyfrowania i zabezpieczania danych maszyny wirtualnej przechodzących przez sieć podczas migracji. Aby uzyskać więcej informacji, zobacz Konfigurowanie hostów do migracji na żywo bez klastra failover.
Bezpieczne przesyłanie ruchu migracji danych.
Używaj protokołu SMB 3.0 do szyfrowania danych SMB od końca do końca oraz ochrony przed manipulacją lub podsłuchiwaniem danych w niezaufanych sieciach. Użyj sieci prywatnej do uzyskania dostępu do zawartości udziału SMB, aby zapobiec atakom typu man-in-the-middle. Aby uzyskać więcej informacji, zobacz Ulepszenia zabezpieczeń protokołu SMB.
Skonfiguruj hosty, aby były częścią chronionej infrastruktury.
Aby uzyskać więcej informacji, zobacz Chroniona tkanina.
Zabezpieczanie urządzeń.
Zabezpieczanie urządzeń magazynujących, na których są przechowywane pliki zasobów maszyny wirtualnej.
Zabezpiecz dysk twardy.
Użyj szyfrowania dysków funkcją BitLocker, aby chronić zasoby.
Wzmacnianie zabezpieczeń systemu operacyjnego hosta Hyper-V.
Użyj zaleceń dotyczących ustawień zabezpieczeń punktu odniesienia opisanych w temacie Punkt odniesienia zabezpieczeń systemu Windows Server.
Przyznaj odpowiednie uprawnienia.
- Dodaj użytkowników, którzy muszą zarządzać hostem Hyper-V do grupy administratorów Hyper-V.
- Nie udzielaj administratorom maszyn wirtualnych uprawnień w systemie operacyjnym hosta Hyper-V.
Skonfiguruj wykluczenia i opcje ochrony przed wirusami dla funkcji Hyper-V.
Usługa Windows Defender ma już skonfigurowane automatyczne wykluczenia . Aby uzyskać więcej informacji na temat wykluczeń, zobacz Zalecane wykluczenia antywirusowe dla hostów Hyper-V.
Nie należy instalować nieznanych dysków VHD. Może to uwidaczniać hostowi ataki na poziomie systemu plików.
Nie włączaj zagnieżdżania w środowisku produkcyjnym, chyba że jest to wymagane.
Jeśli włączysz zagnieżdżanie, nie uruchamiaj nieobsługiwanych hipernadzorców na maszynie wirtualnej.
W przypadku bardziej bezpiecznych środowisk:
Użyj sprzętu z mikroukładem TPM (Trusted Platform Module) 2.0, aby skonfigurować chronioną sieć szkieletową.
Aby uzyskać więcej informacji, zobacz Wymagania systemowe dotyczące Hyper-V w systemie Windows Server 2016.
Zabezpieczanie maszyn wirtualnych
Utwórz maszyny wirtualne generacji 2 dla obsługiwanych systemów operacyjnych gości.
Aby uzyskać więcej informacji, zobacz Ustawienia zabezpieczeń generacji 2.
Włącz bezpieczny rozruch.
Aby uzyskać więcej informacji, zobacz Ustawienia zabezpieczeń generacji 2.
Zachowaj bezpieczeństwo systemu operacyjnego gościa.
- Zainstaluj najnowsze aktualizacje zabezpieczeń przed włączeniem maszyny wirtualnej w środowisku produkcyjnym.
- Zainstaluj usługi integracyjne dla obsługiwanych systemów operacyjnych gościa, które ich potrzebują, i utrzymuj je na bieżąco. Aktualizacje usługi integracji dla gości z obsługiwanymi wersjami systemu Windows są dostępne za pośrednictwem usługi Windows Update.
- Wzmacnianie zabezpieczeń systemu operacyjnego działającego na każdej maszynie wirtualnej na podstawie wykonywanej roli. Użyj zaleceń dotyczących podstawowych ustawień zabezpieczeń, które są opisane w Podstawowych zabezpieczeniach systemu Windows.
Użyj bezpiecznej sieci.
Upewnij się, że wirtualne karty sieciowe łączą się z poprawnym przełącznikiem wirtualnym i mają zastosowane odpowiednie ustawienie zabezpieczeń i limity.
Przechowywanie wirtualnych dysków twardych i plików migawek w bezpiecznej lokalizacji.
Zabezpieczanie urządzeń.
Skonfiguruj tylko wymagane urządzenia dla maszyny wirtualnej. Nie należy włączać dyskretnego przypisywania urządzeń w środowisku produkcyjnym, chyba że jest potrzebny w konkretnym scenariuszu. Jeśli to zrobisz, pamiętaj, aby uwidocznić tylko urządzenia od zaufanych dostawców.
Skonfiguruj oprogramowanie antywirusowe, zaporę i oprogramowanie do wykrywania nieautoryzowanego dostępu na maszynach wirtualnych odpowiednio na podstawie roli maszyny wirtualnej.
Włącz zabezpieczenia oparte na wirtualizacji dla gości z systemem Windows 10 lub Windows Server 2016 lub nowszym.
Aby uzyskać więcej informacji, zobacz Device Guard Deployment Guide (Przewodnik wdrażania funkcji Device Guard).
Przypisanie dyskretnych urządzeń włączaj tylko wtedy, gdy jest to konieczne dla konkretnego zadania.
Ze względu na charakter przechodzenia przez urządzenie fizyczne, skontaktuj się z producentem urządzenia, aby zrozumieć, czy powinno być używane w bezpiecznym środowisku.
W przypadku bardziej bezpiecznych środowisk:
Wdrażanie maszyn wirtualnych z włączoną ochroną i wdrażanie ich w chronionej infrastrukturze.
Aby uzyskać więcej informacji, zobacz Ustawienia zabezpieczeń Generacja 2 i Chroniona infrastruktura.