Планирование безопасности Hyper-V в Windows Server

Область применения: Windows Server 2022, Windows Server 2016, Microsoft Hyper-V Server 2016, Windows Server 2019, Microsoft Hyper-V Server 2019

Защита операционной системы узла Hyper-V, виртуальных машин, файлов конфигурации и данных виртуальных машин. Используйте приведенный ниже список рекомендуемых рекомендаций в качестве списка проверка, чтобы защитить среду Hyper-V.

Защита узла Hyper-V

• Обеспечение безопасности ос узла.

  • Свести к минимуму область атаки с помощью минимального параметра установки Windows Server, который требуется для операционной системы управления. Дополнительные сведения см. в разделе "Параметры установки" библиотеки технического содержимого Windows Server. Не рекомендуется запускать рабочие нагрузки на Hyper-V в Windows 10.
  • Обновляйте операционную систему, встроенное ПО и драйверы устройств Hyper-V с последними обновлениями системы безопасности. Проверьте рекомендации поставщика по обновлению встроенного ПО и драйверов.
  • Не используйте узел Hyper-V в качестве рабочей станции или установите любое ненужное программное обеспечение.
  • Удаленное управление узлом Hyper-V. Если необходимо локально управлять узлом Hyper-V, используйте Credential Guard. Дополнительные сведения см. в разделе "Защита производных учетных данных домена с помощью Credential Guard".
  • Включите политики целостности кода. Используйте службы целостности защищенного кода на основе виртуализации. Дополнительные сведения см . в руководстве по развертыванию Device Guard.

• Используйте безопасную сеть.

  • Используйте отдельную сеть с выделенным сетевым адаптером для физического компьютера Hyper-V.
  • Используйте частную или безопасную сеть для доступа к конфигурациям виртуальных машин и файлам виртуального жесткого диска.
  • Используйте частную или выделенную сеть для динамического трафика миграции. Рекомендуется включить IPSec в этой сети для использования шифрования и защиты данных виртуальной машины, передаваемых по сети во время миграции. Дополнительные сведения см. в разделе "Настройка узлов для динамической миграции без отказоустойчивой кластеризации".

• Безопасный трафик миграции хранилища.

  Используйте S МБ 3.0 для сквозного шифрования S МБ данных и защиты данных или перехвата в ненадежных сетях. Используйте частную сеть для доступа к содержимому S МБ общего доступа, чтобы предотвратить атаки злоумышленника в середине. Дополнительные сведения см. в статье S МБ Улучшения безопасности.

• Настройте узлы, чтобы быть частью защищенной структуры.

  Дополнительные сведения см. в статье Guarded Fabric.

• Безопасные устройства.

  Защитите устройства хранения, в которых хранятся файлы ресурсов виртуальной машины.

• Защита жесткого диска.

  Используйте шифрование диска BitLocker для защиты ресурсов.

• Затвердить операционную систему узла Hyper-V.

  Используйте рекомендации по базовым параметрам безопасности, описанные в базовой конфигурации безопасности Windows Server.

• Предоставьте соответствующие разрешения.

  • Добавьте пользователей, которым необходимо управлять узлом Hyper-V, в группу администраторов Hyper-V.
  • Не предоставляйте администраторам виртуальных машин разрешения на операционную систему узла Hyper-V.

• Настройка исключений и параметров антивирусной защиты для Hyper-V.

  Защитник Windows уже настроен автоматически . Дополнительные сведения об исключениях см. в статье "Рекомендуемые исключения антивирусной программы" для узлов Hyper-V.

• Не подключайте неизвестные виртуальные жесткие диски. Это может предоставить узел атакам уровня файловой системы.

• Не включите вложенность в рабочую среду, если она не требуется.

  Если включить вложение, не выполняйте неподдерживаемые гипервизоры на виртуальной машине.

Для более безопасных сред:

• Используйте оборудование с доверенным модулем платформы (TPM) 2.0 для настройки защищенной структуры.

  Дополнительные сведения см. в разделе "Требования к системе" для Hyper-V в Windows Server 2016.

Защита виртуальных машин

• Создайте виртуальные машины поколения 2 для поддерживаемых гостевых операционных систем.

  Дополнительные сведения см. в разделе "Параметры безопасности поколения 2".

• Включите безопасную загрузку.

  Дополнительные сведения см. в разделе "Параметры безопасности поколения 2".

• Защита гостевой ОС.

  • Установите последние обновления системы безопасности перед включением виртуальной машины в рабочей среде.
  • Установите службы интеграции для поддерживаемых гостевых операционных систем, которые нуждаются в ней, и сохраните его в актуальном состоянии. Обновления службы интеграции для гостей, работающих с поддерживаемыми версиями Windows, доступны через Обновл. Windows.
  • Затвердите операционную систему, которая выполняется на каждой виртуальной машине на основе выполняемой роли. Используйте рекомендации по базовым параметрам безопасности, описанные в Безопасность Windows базовых показателей.

• Используйте безопасную сеть.

  Убедитесь, что адаптеры виртуальной сети подключаются к правильному виртуальному коммутатору и применяют соответствующие параметры безопасности и ограничения.

• Храните виртуальные жесткие диски и файлы моментальных снимков в безопасном расположении.

• Безопасные устройства.

  Настройте только необходимые устройства для виртуальной машины. Не включите дискретное назначение устройства в рабочей среде, если только не требуется для определенного сценария. Если вы включите его, обязательно предоставьте только устройства от доверенных поставщиков.

• Настройте антивирусное, брандмауэр и программное обеспечение обнаружения вторжений на виртуальных машинах в соответствии с ролью виртуальной машины.

• Включите безопасность на основе виртуализации для гостей под управлением Windows 10 или Windows Server 2016 или более поздней версии.

  Дополнительные сведения см. в руководстве по развертыванию Device Guard.

• Включите только дискретное назначение устройства, если это необходимо для определенной рабочей нагрузки.

  Из-за характера передачи через физическое устройство обратитесь к производителю устройств, чтобы понять, следует ли использовать его в безопасной среде.

Для более безопасных сред:

• Разверните виртуальные машины с включенным экранированием и разверните их в защищенной структуре.

  Дополнительные сведения см. в разделе "Параметры безопасности поколения 2" и структура Guarded.