规划 Windows Server 2016 中的 Hyper-V 安全性
适用范围:Windows Server 2022、Windows Server 2016、Microsoft Hyper-V Server 2016、Windows Server 2019、Microsoft Hyper-V Server 2019
保护 Hyper-V 主机操作系统、虚拟机、配置文件和虚拟机数据。 使用以下建议做法列表作为清单来帮助保护 Hyper-V 环境。
保护 Hyper-V 主机
确保主机 OS 的安全。
- 使用管理操作系统所需的最低 Windows Server 安装选项,最大程度地减少攻击面。 有关详细信息,请参阅 Windows Server 技术内容库的“安装选项”部分。 不建议你在 Windows 10 的 Hyper-V 上运行生产工作负载。
- 使用最新的安全更新使 Hyper-V 主机操作系统、固件和设备驱动程序保持最新。 查看供应商的建议以更新固件和驱动程序。
- 不要将 Hyper-V 主机用作工作站,也不要安装任何不必要的软件。
- 远程管理 Hyper-V 主机。 如果必须在本地管理 Hyper-V 主机,请使用凭据保护。 有关详细信息,请参阅使用 Credential Guard 保护派生的域凭据。
- 启用代码完整性策略。 使用基于虚拟化的安全保护代码完整性服务。 有关详细信息,请参阅 Device Guard 部署指南。
使用安全网络。
- 为物理 Hyper-V 计算机使用带有专用网络适配器的单独网络。
- 使用专用或安全网络访问 VM 配置和虚拟硬盘文件。
- 为实时迁移流量使用私有/专用网络。 考虑在此网络上启用 IPSec 以使用加密,并在迁移过程中保护通过网络传输的虚拟机数据。 有关详细信息,请参阅在没有故障转移群集的情况下为实时迁移设置主机。
保护存储迁移流量。
在不受信任的网络上,请使用 SMB 3.0 对 SMB 数据进行端到端加密并采取数据防篡改/防窃听措施。 使用专用网络访问 SMB 共享内容,以防止中间人攻击。 有关详细信息,请参阅 SMB 安全增强功能。
将主机配置为受保护结构的一部分。
有关详细信息,请参阅受保护的结构。
保护设备。
保护用于保存虚拟机资源文件的存储设备。
保护硬盘。
使用 BitLocker 驱动器加密来保护资源。
强化 Hyper-V 主机操作系统。
使用 Windows Server 安全基准中描述的基准安全设置建议。
授予适当的权限。
- 将需要管理 Hyper-V 主机的用户添加到 Hyper-V 管理员组。
- 不要在 Hyper-V 主机操作系统上授予虚拟机管理员权限。
为 Hyper-V 配置防病毒排除和选项。
Windows Defender 已配置自动排除项。 有关排除项的详细信息,请参阅建议的 Hyper-V 主机防病毒排除项。
不要挂载未知的 VHD。 这可能会使主机受到文件系统级别的攻击。
除非确实需要,否则不要在生产环境中启用嵌套。
如果启用嵌套,请不要在虚拟机上运行不受支持的虚拟机管理程序。
对于更安全的环境:
使用具有可信平台模块 (TPM) 2.0 芯片的硬件来设置受保护的结构。
有关详细信息,请参阅基于 Windows Server 2016 的 Hyper-V 的系统要求。
保护虚拟机
为受支持的来宾操作系统创建第 2 代虚拟机。
有关详细信息,请参阅第 2 代安全设置。
启用安全启动。
有关详细信息,请参阅第 2 代安全设置。
确保来宾 OS 的安全。
- 在生产环境中打开虚拟机之前,请安装最新的安全更新。
- 为需要集成服务的受支持客户操作系统安装集成服务,并使其保持最新。 运行受支持 Windows 版本的来宾的集成服务更新可通过 Windows Update 获得。
- 根据每个虚拟机执行的角色,强化在每个虚拟机中运行的操作系统。 使用 Windows 安全基准中介绍的基准安全设置建议。
使用安全网络。
确保虚拟网络适配器连接到正确的虚拟交换机,并应用适当的安全设置和限制。
将虚拟硬盘和快照文件存储在安全位置。
保护设备。
仅为虚拟机配置所需的设备。 不要在生产环境中启用离散设备分配,除非你需要将其用于特定方案。 如果你确实要启用,请确保仅公开来自受信任供应商的设备。
根据虚拟机角色,在虚拟机中配置适当的防病毒、防火墙和入侵检测软件。
为运行 Windows 10 或 Windows Server 2016 或更高版本的来宾启用基于虚拟化的安全性。
请参阅 Device Guard 部署指南获取详细信息。
仅在特定工作负载需要时启用离散设备分配。
由于通过物理设备的性质,请与设备制造商合作,了解是否应在安全环境中使用该设备。
对于更安全的环境: