Hyper-V 第 2 代虛擬機 (VM) 提供強固的安全性功能,旨在保護敏感數據,並防止未經授權的存取或竄改。 本文會探索第 2 代 VM Hyper-V Manager 中可用的安全性設定,並示範如何設定它們。 了解這些功能如何協助保護您的 VM 免於威脅,並確保符合安全性最佳做法。
Hyper-V 中第 2 代 VM 的可用安全性功能包括:
- 安全開機。
- 信任平臺模組(TPM)、實時移轉和儲存狀態的加密支援。
- 受防護的 VM。
- 主機守護者服務(HGS)。
這些安全性功能旨在協助保護虛擬機的數據和狀態。 您可以保護虛擬機器免受來自可能在主機上運行的惡意軟體以及數據中心管理員的檢查、竊取和篡改。 您取得的安全性層級取決於您執行的主機硬體、虛擬機世代,以及您是否設定了授權主機啟動受防護 VM 的隨附主機守護者服務 (HGS)。
主機守護者服務首次在 Windows Server 2016 中推出。 它會識別合法的 Hyper-V 主機,並允許它們執行一組受防護的 VM。 您最常為數據中心啟用主機守護者服務,但您也可以建立受防護的 VM 在本機執行,而不需要設定主機守護者服務。 您稍後可以將受防護的虛擬機散發給主機守護者服務。
若要瞭解如何使用主機守護者服務讓您的 VM 更安全,請參閱 受防護網狀架構和受防護的 VM 和 強化網狀架構:在 Hyper-V 中保護租用戶密碼 (Ignite 影片) 。
安全開機
安全開機是第 2 代 VM 提供的功能,可協助防止未經授權的韌體、作系統或整合可擴展韌體介面 (UEFI) 驅動程式(也稱為選項 ROM)在開機時執行。 依預設會啟用安全開機。 您可以在執行 Windows 或 Linux 發行版作業系統的第 2 代 VM 上使用安全開機。
根據 VM 的作系統和組態而定,有三個不同的範本可供使用。 下表列出每個範本,並參考您需要驗證開機程式完整性的憑證:
| 範本名稱 | 相容性 |
|---|---|
| Microsoft Windows | Windows作業系統。 |
| Microsoft UEFI 憑證授權單位 | Linux 發行版作業系統。 |
| 開放原始碼防護的 VM | 以 Linux 為基礎的受防護 VM。 |
加密支援
Hyper-V 第 2 代虛擬機提供強大的加密功能,可為虛擬化基礎結構提供多層保護。 加密支援包含三個重要領域:TPM(信任平臺模組)功能、即時移轉網路流量,以及儲存的狀態數據。 這些安全性功能共同合作,針對未經授權的存取和數據外泄建立全面防禦,確保敏感性資訊在待用和傳輸中仍受到保護。
虛擬化 TPM (vTPM) 功能代表 VM 安全性架構的大幅提升。 藉由將 vTPM 新增至您的第 2 代虛擬機,即可讓客體作系統使用硬體式安全性功能,類似於實體機器上可用的功能。 此虛擬化安全性晶元可讓客體OS使用 BitLocker 磁碟驅動器加密來加密整個虛擬機磁碟,以建立額外的保護層,以防止未經授權的存取。 vTPM 也可以支援其他需要 TPM 的安全性技術,使其成為企業環境的必要元件,需要嚴格遵循安全性標準和法規。
您可以將已啟用虛擬 TPM 的虛擬機移轉至任何執行支援 Windows Server 或 Windows 版本的主機。 如果您將其移轉至另一個主機,可能無法啟動它。 您必須更新該虛擬機器的金鑰保護裝置,為新主機授與執行虛擬機器的權限。 如需詳細資訊,請參閱受防護網狀架構與受防護的 VM 和 Windows Server 上的 Hyper-V 系統需求。
Hyper-V 管理員中的安全性原則
受防護的虛擬機代表 Hyper-V 第 2 代 VM 可用的最高安全性層級,可提供針對外部威脅和特殊許可權存取攻擊的全面保護。 當您在虛擬機上啟用防護功能時,您會建立強化的環境,以加密 VM 的狀態和移轉流量,同時限制對重要 VM 功能的系統管理存取。 此保護可藉由防止數據中心系統管理員和主機層級惡意代碼在即時移轉作業期間存取 VM 的記憶體、儲存狀態或網路流量,超越傳統安全性措施。
防護功能會自動強制執行數個安全性需求,包括安全開機、TPM 啟用,以及已儲存狀態和移轉流量的加密。 此外,受防護的 VM 會停用某些管理功能,例如控制台連線、PowerShell Direct,以及攻擊者可能惡意探索的特定整合元件。 此方法會建立深度防禦安全性模型,讓虛擬機有效地不透明於主機系統,確保敏感性工作負載即使在遭入侵的裝載環境中仍受到保護。 組織可以使用主機守護者服務部署受防護的 VM 以進行企業級實作,或在本機執行它們,以在較小的部署中增強安全性。
您可以在本機執行受防護的虛擬機器,而不需要設定主機守護者服務。 如果您將其移轉至另一個主機,可能無法啟動它。 您必須更新該虛擬機器的金鑰保護裝置,為新主機授與執行虛擬機器的權限。 如需詳細資訊,請參閱受防護網狀架構與受防護的 VM。
相關內容
如需詳細資訊,請參閱下列文章: