Параметры безопасности виртуальных машин 2-го поколения для Hyper-V
Область применения: Windows Server 2022, Windows Server 2016, Microsoft Hyper-V Server 2016, Windows Server 2019, Microsoft Hyper-V Server 2019
С помощью параметров безопасности виртуальной машины в диспетчере Hyper-V можно защитить данные и состояние виртуальной машины. Вы можете защитить виртуальные машины от проверки, кражи и несанкционированных изменений со стороны как вредоносных программ, которые могут выполняться на узле, так и администраторов центра обработки данных. Уровень безопасности, который вы получаете, зависит от используемого оборудования узла, поколения виртуальной машины и от того, настроена ли служба защиты узла, которая разрешает узлам запускать экранированные виртуальные машины.
Служба защиты узла — это новая роль в Windows Server 2016. Она определяет допустимые узлы Hyper-V и позволяет им запускать указанную виртуальную машину. Вы чаще всего настраиваете службу защиты узла для центра обработки данных. Но вы можете создать экранированную виртуальную машину для локального запуска без настройки службы защиты узла. Позже вы сможете распространить экранированную виртуальную машину в структуре защиты узла.
Если вы не настроили службу защиты узла или запускаете ее в локальном режиме на узле Hyper-V, а на узле есть ключ защитника владельца виртуальной машины, можно изменить параметры, описанные в этой статье. Владелец ключа защитника — это организация, которая создает закрытый или открытый ключ и предоставляет к ним общий доступ для всех виртуальных машин, созданных с помощью этого ключа.
Сведения о том, как сделать виртуальные машины более защищенными с помощью службы защиты узла, см. в следующих ресурсах.
- Защита секретов клиента в Hyper-V (видео Ignite)
- Защищенная структура и экранированные виртуальные машины.
Параметр безопасной загрузки в диспетчере Hyper-V
Безопасная загрузка — это функция (доступная для виртуальных машин 2-го поколения), которая помогает предотвратить выполнение посторонних встроенных программ, операционных систем или драйверов единого расширяемого микропрограммного интерфейса (UEFI) (так называемого дополнительного ПЗУ) во время запуска системы. Безопасная загрузка включена по умолчанию. Вы можете использовать безопасную загрузку с виртуальными машинами 2-го поколения, работающими под управлением операционных систем Windows или Linux.
Шаблоны, описанные в следующей таблице, относятся к сертификатам, необходимым для проверки целостности процесса загрузки.
| Имя шаблона | Description |
|---|---|
| Microsoft Windows | Выберите этот шаблон для безопасной загрузки виртуальной машины с операционной системой Windows. |
| Центр сертификации Microsoft UEFI | Выберите этот шаблон для безопасной загрузки виртуальной машины с операционной системой Linux. |
| Экранированная виртуальная машина с открытым исходным кодом | Этот шаблон используется для безопасной загрузки экранированных виртуальных машин под управлением Linux. |
Дополнительные сведения см. в следующих разделах:
- Mitigate threats by using Windows 10 security features (Устранение рисков с помощью функций безопасности Windows 10).
- Should I create a generation 1 or 2 virtual machine in Hyper-V? (Следует ли создавать виртуальные машины 1-го и 2-го поколения в Hyper-V?).
- Supported Linux and FreeBSD virtual machines for Hyper-V on Windows (Поддерживаемые виртуальные машины Linux и FreeBSD для Hyper-V в Windos).
Параметры поддержки шифрования в диспетчере Hyper-V
Чтобы защитить данные и состояние виртуальной машины, выберите следующие параметры поддержки шифрования.
- Включить доверенный платформенный модуль. Этот параметр делает микросхему виртуализированного доверенного платформенного модуля (TPM) доступной для виртуальной машины. Это позволяет гостевому компьютеру шифровать диск виртуальной машины с помощью BitLocker. Это можно включить, открыв параметры виртуальной машины, щелкните "Безопасность", а затем в разделе "Поддержка шифрования" установите флажок", чтобы включить модуль доверенной платформы. Можно также использовать командлет PowerShell Enable-VMTPM .
- Если узел Hyper-V работает под управлением Windows 10 версии 1511, необходимо включить режим изолированного пользователя.
- Encrypt State and VM migration traffic (Шифровать трафик миграции данных состояния и виртуальной машины). Этот параметр шифрует сохраненный трафик динамической миграции и данные состояния виртуальной машины.
Включение режима изолированного пользователя
Если выбрать Включить доверенный платформенный модуль на узлах Hyper-V, на которых работают более ранние версии Windows, чем юбилейное обновление Windows 10, необходимо включить режим изолированного пользователя. Это не требуется для узлов Hyper-V под управлением Windows Server 2016 или Windows 10 юбилейного обновления или более поздней версии.
Режим изолированного пользователя — это среда выполнения, в которой приложения безопасности размещаются в виртуальном безопасном режиме на узле Hyper-V. Виртуальный безопасный режим используется для защиты состояния микросхемы виртуального доверенного платформенного модуля.
Чтобы включить режим изолированного пользователя на узле Hyper-V, на котором работают более ранние версии Windows 10, сделайте следующее:
Откройте Windows PowerShell от имени администратора.
Выполните следующие команды:
Enable-WindowsOptionalFeature -Feature IsolatedUserMode -Online New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Force New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Name EnableVirtualizationBasedSecurity -Value 1 -PropertyType DWord -Force
Вы можете перенести виртуальную машину с включенным виртуальным доверенным платформенным модулем на любой узел под управлением Windows Server 2016, Windows 10 сборка 10586 или более поздняя. Но если перенести ее на другой узел, вы не сможете ее запустить. Необходимо обновить предохранитель ключа для этой виртуальной машины, чтобы авторизовать новый узел для запуска виртуальной машины. Дополнительные сведения см. в статье Защищенная структура и экранированные виртуальные машины и System requirements for Hyper-V on Windows Server (Требования к системе для Hyper-V в Windows Server).
Политика безопасности в диспетчере Hyper-V
Для большей безопасности виртуальной машины выберите параметр Включить защиту, чтобы отключить такие функции управления, как подключение к консоли, PowerShell Direct и некоторые компоненты интеграции. Если выбран этот параметр, будут выбраны и применены следующие параметры: Безопасная загрузка, Включить доверенный платформенный модуль и Encrypt State and VM migration traffic (Шифровать трафик миграции данных состояния и виртуальной машины).
Вы можете создать экранированную виртуальную машину для локального запуска без настройки службы защиты узла. Но если перенести ее на другой узел, вы не сможете ее запустить. Необходимо обновить предохранитель ключа для этой виртуальной машины, чтобы авторизовать новый узел для запуска виртуальной машины. Дополнительные сведения см. в статье Защищенная структура и экранированные виртуальные машины.
Дополнительные сведения о безопасности в Windows Server см. в этой статье.