Plannen voor Hyper-V beveiliging in Windows Server

Beveilig het Hyper-V hostbesturingssysteem, de virtuele machines, configuratiebestanden en gegevens van virtuele machines. Gebruik de volgende lijst met aanbevolen procedures als controlelijst om u te helpen uw Hyper-V-omgeving te beveiligen.

De Hyper-V-host beveiligen

  • Houd het host-besturingssysteem beveiligd.

    • Minimaliseer de kwetsbaarheid voor aanvallen met behulp van de minimale installatieoptie van Windows Server die u nodig hebt voor het beheerbesturingssysteem. Zie de sectie Installatieopties van de technische inhoudsbibliotheek van Windows Server voor meer informatie. Het is niet raadzaam om productieworkloads uit te voeren op Hyper-V in Windows 10.
    • Houd het Hyper-V hostbesturingssysteem, firmware en apparaatstuurprogramma's up-to-date met de nieuwste beveiligingsupdates. Controleer de aanbevelingen van uw leverancier om firmware en stuurprogramma's bij te werken.
    • Gebruik de Hyper-V host niet als werkstation of installeer overbodige software.
    • Beheer de Hyper-V host op afstand. Als u de Hyper-V host lokaal moet beheren, gebruikt u Credential Guard. Zie Afgeleide domeinreferenties beveiligen met Credential Guardvoor meer informatie.
    • Code-integriteitsbeleid inschakelen. Op virtualisatie gebaseerde beveiliging beveiligde code-integriteitsservices gebruiken. Zie de Device Guard-implementatiehandleiding voor meer informatie.

  • Gebruik een beveiligd netwerk.

    • Gebruik een afzonderlijk netwerk met een toegewezen netwerkadapter voor de fysieke Hyper-V computer.
    • Gebruik een privénetwerk of een beveiligd netwerk voor toegang tot VM-configuraties en virtuele hardeschijfbestanden.
    • Gebruik een privé/toegewezen netwerk voor uw livemigratieverkeer. Overweeg IPSec in dit netwerk in te schakelen om versleuteling te gebruiken en de gegevens van uw VIRTUELE machine tijdens de migratie te beveiligen. Zie Hosts instellen voor livemigratie zonder failoverclustering voor meer informatie.

  • Beveilig opslagmigratieverkeer.

    Gebruik SMB 3.0 voor end-to-end-versleuteling van SMB-gegevens en bescherming van gegevens tegen manipulatie of afluisteren op niet-vertrouwde netwerken. Gebruik een privénetwerk om toegang te krijgen tot de inhoud van de SMB-share om man-in-the-middle-aanvallen te voorkomen. Zie SMB-beveiligingsverbeteringen voor meer informatie.

  • Configureer hosts als onderdeel van een beveiligde infrastructuur.

    Zie Beveiligde infrastructuur voor meer informatie.

  • Beveiligde apparaten.

    Beveilig de opslagapparaten waar u resourcebestanden van virtuele machines bewaart.

  • Beveilig de harde schijf.

    BitLocker-stationsversleuteling gebruiken om resources te beveiligen.

  • Het Hyper-V hostbesturingssysteem beperken.

    Gebruik de aanbevelingen voor de beveiligingsinstelling basislijn die worden beschreven in de Windows Server-beveiligingsbasislijn.

  • Geef de juiste machtigingen.

    • Voeg gebruikers toe die de Hyper-V host moeten beheren aan de Hyper-V beheerdersgroep.
    • Verdeel geen beheerdersmachtigingen voor virtuele machines op het Hyper-V hostbesturingssysteem.

  • Antivirusuitsluitingen en opties voor Hyper-V configureren.

    Windows Defender heeft al automatische uitsluitingen geconfigureerd. Zie Aanbevolen antivirusuitsluitingen voor Hyper-V hosts voor meer informatie over uitsluitingen.

  • Koppel onbekende VHD's niet. Hierdoor kan de host worden blootgesteld aan aanvallen op bestandssysteemniveau.

  • Schakel nesting in uw productieomgeving niet in, tenzij dat nodig is.

    Als u nesting inschakelt, vermijd dan om niet-ondersteunde hypervisors op een virtuele machine te gebruiken.

Voor veiligere omgevingen:

Virtuele machines beveiligen

  • Maak virtuele machines van de tweede generatie voor ondersteunde gastbesturingssystemen.

    Zie Beveiligingsinstellingen van generatie 2 voor meer informatie.

  • Beveiligd opstarten inschakelen.

    Zie Beveiligingsinstellingen van generatie 2 voor meer informatie.

  • Houd het gastbesturingssysteem veilig.

    • Installeer de meest recente beveiligingsupdates voordat u een virtuele machine in een productieomgeving inschakelt.
    • Installeer integratieservices voor de ondersteunde gastbesturingssystemen die deze nodig hebben en houd deze up-to-date. Integratieservice-updates voor gasten met ondersteunde Windows-versies zijn beschikbaar via Windows Update.
    • Versterk het besturingssysteem dat op elke virtuele machine draait op basis van de rol die het vervult. Gebruik de aanbevelingen voor beveiligingsinstellingen volgens de basislijn die worden beschreven in de Windows-beveiligingsbasislijn.

  • Gebruik een beveiligd netwerk.

    Zorg ervoor dat virtuele netwerkadapters verbinding maken met de juiste virtuele switch en dat de juiste beveiligingsinstelling en limieten zijn toegepast.

  • Sla virtuele harde schijven en momentopnamebestanden op een veilige locatie op.

  • Beveiligde apparaten.

    Configureer alleen vereiste apparaten voor een virtuele machine. Schakel discrete apparaattoewijzing niet in uw productieomgeving in, tenzij u deze nodig hebt voor een specifiek scenario. Als u dit wel inschakelt, moet u ervoor zorgen dat alleen apparaten van vertrouwde leveranciers beschikbaar worden gesteld.

  • Configureer antivirus-, firewall- en inbraakdetectiesoftware binnen virtuele machines op basis van de rol van de virtuele machine.

  • Schakel beveiliging op basis van virtualisatie in voor gasten met Windows 10 of Windows Server 2016 of hoger.

    Zie de Device Guard-implementatiehandleiding voor meer informatie.

  • Schakel discrete apparaattoewijzing alleen in als dat nodig is voor een specifieke workload.

    Vanwege de aard van het doorgeven van een fysiek apparaat, moet u contact opnemen met de fabrikant van het apparaat om te begrijpen of het moet worden gebruikt in een beveiligde omgeving.

Voor veiligere omgevingen:

  • Last updated on