在 Windows Server 中規劃 Hyper-V 安全性

  • 發行項

適用於:Windows Server 2022、Windows Server 2016、Microsoft Hyper-V Server 2016、Windows Server 2019、Microsoft Hyper-V Server 2019

保護 Hyper-V 主機作業系統、虛擬機器、組態檔和虛擬機器資料。 使用下列建議做法清單作為檢查清單,以協助您保護 Hyper-V 環境。

保護 Hyper-V 主機

  • 讓主機 OS 保持安全。

    • 使用管理作業系統所需的最低 Windows Server 安裝選項,將受攻擊面降到最低。 如需詳細資訊,請參閱 Windows Server 技術內容庫的安裝選項一節 。 我們不建議您在 Windows 10 上的 Hyper-V 上執行生產工作負載。
    • 使用最新的安全性更新,讓 Hyper-V 主機作業系統、韌體和設備磁碟機保持最新狀態。 檢查廠商的建議以更新韌體和驅動程式。
    • 請勿使用 Hyper-V 主機作為工作站,或安裝任何不必要的軟體。
    • 從遠端系統管理 Hyper-V 主機。 如果您必須在本機管理 Hyper-V 主機,請使用 Credential Guard。 如需詳細資訊,請參閱 使用 Credential Guard 保護衍生網域認證。
    • 啟用程式碼完整性原則。 使用虛擬化型安全性保護的程式碼完整性服務。 如需詳細資訊,請參閱 Device Guard 部署指南

  • 使用安全網路。

    • 使用個別網路搭配實體 Hyper-V 電腦的專用網路介面卡。
    • 使用私人或安全網路來存取 VM 組態和虛擬硬碟檔案。
    • 針對即時移轉流量使用私人/私人網路絡。 請考慮在此網路上啟用 IPSec,以在移轉期間使用加密和保護 VM 在網路上傳輸的資料。 如需詳細資訊,請參閱 在沒有容錯移轉叢集 的情況下設定即時移轉的主機。

  • 保護儲存體移轉流量。

    使用 SMB 3.0 進行 SMB 資料和資料保護竄改或竊聽未受信任網路上的端對端加密。 使用私人網路來存取 SMB 共用內容,以防止攔截式攻擊。 如需詳細資訊,請參閱 SMB 安全性增強功能

  • 將主機設定為受防護網狀架構的一部分。

    如需詳細資訊,請參閱 受防護網狀架構

  • 保護裝置。

    保護您保留虛擬機器資源檔的儲存體裝置。

  • 保護硬碟。

    使用 BitLocker 磁片磁碟機加密來保護資源。

  • 強化 Hyper-V 主機作業系統。

    使用 Windows Server 安全性基準 中所述的 基準安全性設定建議。

  • 授與適當的許可權。

    • 將需要管理 Hyper-V 主機的使用者新增至 Hyper-V 系統管理員群組。
    • 請勿授與 Hyper-V 主機作業系統的虛擬機器系統管理員許可權。

  • 設定 Hyper-V 的防毒排除專案和選項。

    Windows Defender 已 設定自動排除 專案。 如需排除專案的詳細資訊,請參閱 Hyper-V 主機 的建議防毒排除專案。

  • 請勿掛接未知的 VHD。 這可將主機公開至檔案系統層級攻擊。

  • 除非需要,否則請勿在生產環境中啟用巢狀結構。

    如果您啟用巢狀結構,請勿在虛擬機器上執行不支援的 Hypervisor。

如需更安全的環境:

  • 使用硬體搭配信賴平臺模組 (TPM) 2.0 晶片來設定受防護網狀架構。

    如需詳細資訊,請參閱 Windows Server 2016 上的 Hyper-V 系統需求。

保護虛擬機器

  • 為支援的客體作業系統建立第 2 代虛擬機器。

    如需詳細資訊,請參閱 第 2 代安全性設定

  • 啟用安全開機。

    如需詳細資訊,請參閱 第 2 代安全性設定

  • 保護客體 OS 安全。

    • 在生產環境中開啟虛擬機器之前,請先安裝最新的安全性更新。
    • 安裝支援客體作業系統的整合服務,這些作業系統需要它並保持最新狀態。 執行支援的 Windows 版本的來賓整合服務更新可透過 Windows Update 取得。
    • 根據執行的角色,強化在每個虛擬機器中執行的作業系統。 使用Windows 安全性比較基準 中所述的 基準安全性設定建議。

  • 使用安全網路。

    請確定虛擬網路介面卡連線到正確的虛擬交換器,並套用適當的安全性設定和限制。

  • 將虛擬硬碟和快照集檔案儲存在安全的位置。

  • 保護裝置。

    僅設定虛擬機器的必要裝置。 除非您需要特定案例,否則請勿在生產環境中啟用離散裝置指派。 如果您啟用它,請務必只公開來自受信任廠商的裝置。

  • 根據虛擬機器角色適當地設定虛擬機器內的防毒、防火牆和入侵偵測軟體

  • 針對執行 Windows 10 或 Windows Server 2016 或更新版本的來賓啟用虛擬化型安全性。

    如需詳細資訊,請參閱 Device Guard 部署指南

  • 只有在特定工作負載 需要時才啟用離散裝置指派。

    由於傳遞實體裝置的本質,請與裝置製造商合作,以瞭解是否應該在安全的環境中使用。

如需更安全的環境: