Planejar a segurança Hyper-V no Windows Server

Proteja o sistema operacional host Hyper-V, as máquinas virtuais, os arquivos de configuração e os dados da máquina virtual. Use a lista de práticas recomendadas a seguir como uma lista de verificação para ajudá-lo a proteger seu ambiente Hyper-V.

Proteger o host Hyper-V

  • Mantenha o sistema operacional host seguro.

    • Minimize a superfície de ataque usando a opção de instalação mínima do Windows Server necessária para o sistema operacional de gerenciamento. Para obter mais informações, consulte a seção Opções de Instalação da biblioteca de conteúdo técnico do Windows Server. Não recomendamos que você execute cargas de trabalho de produção no Hyper-V no Windows 10.
    • Mantenha o sistema operacional host Hyper-V, firmware e drivers de dispositivo atualizados com as atualizações de segurança mais recentes. Verifique as recomendações do seu fornecedor para atualizar o firmware e os drivers.
    • Não use o host Hyper-V como uma estação de trabalho ou instale qualquer software desnecessário.
    • Gerencie remotamente o host Hyper-V. Se você precisar gerenciar o host Hyper-V localmente, use o Credential Guard. Para obter mais informações, consulte Proteger credenciais de domínio derivadas com o Credential Guard.
    • Habilite políticas de integridade de código. Use serviços de integridade de código protegidos por segurança baseados em virtualização. Para obter mais informações, consulte Device Guard Deployment Guide.

  • Use uma rede segura.

    • Use uma rede separada com um adaptador de rede dedicado para o computador físico Hyper-V.
    • Use uma rede privada ou segura para acessar configurações de VM e arquivos de disco rígido virtual.
    • Use uma rede privada/dedicada para seu tráfego de migração ao vivo. Considere habilitar o IPSec nesta rede para usar criptografia e proteger os dados da sua VM que passam pela rede durante a migração. Para mais informações, consulte Configurar hosts para migração ao vivo sem recurso a cluster de failover.

  • Tráfego seguro de migração de armazenamento.

    Use o SMB 3.0 para criptografia de ponta a ponta dos dados SMB e para proteger contra adulterações ou espionagem em redes não confiáveis. Use uma rede privada para aceder aos conteúdos partilhados via SMB e evitar ataques man-in-the-middle. Para obter mais informações, consulte Aprimoramentos de segurança do SMB.

  • Configure hosts para fazer parte de uma malha protegida.

    Para obter mais informações, consulte Malha protegida.

  • Dispositivos seguros.

    Proteja os dispositivos de armazenamento onde você mantém os arquivos de recursos da máquina virtual.

  • Proteja o disco rígido.

    Use a Criptografia de Unidade de Disco BitLocker para proteger recursos.

  • Endureça o sistema operativo do anfitrião Hyper-V.

    Use as recomendações de configuração de segurança de linha de base descritas na Linha de Base de Segurança do Windows Server.

  • Conceda as permissões apropriadas.

    • Adicione usuários que precisam gerenciar o host Hyper-V ao grupo de administradores do Hyper-V.
    • Não conceda permissões a administradores de máquinas virtuais no sistema operacional host Hyper-V.

  • Configure exclusões e opções antivírus para o Hyper-V.

    O Windows Defender já tem exclusões automáticas configuradas. Para obter mais informações sobre exclusões, consulte Exclusões antivírus recomendadas para hosts Hyper-V.

  • Não monte VHDs desconhecidos. Isso pode expor o host a ataques no nível do sistema de arquivos.

  • Não ative o aninhamento no seu ambiente de produção, a menos que seja necessário.

    Se habilitar o aninhamento, não execute hipervisores não suportados numa máquina virtual.

Para ambientes mais seguros:

Máquinas virtuais seguras

  • Crie máquinas virtuais de 2ª geração para sistemas operacionais convidados suportados.

    Para obter mais informações, consulte Configurações de segurança da 2ª geração.

  • Habilite a Inicialização Segura.

    Para obter mais informações, consulte Configurações de segurança da 2ª geração.

  • Mantenha o SO convidado seguro.

    • Instale as atualizações de segurança mais recentes antes de ativar uma máquina virtual em um ambiente de produção.
    • Instale serviços de integração para os sistemas operacionais convidados suportados que precisam dele e mantenha-o atualizado. As atualizações do serviço de integração para convidados que executam versões suportadas do Windows estão disponíveis através do Windows Update.
    • Proteja o sistema operacional executado em cada máquina virtual com base na função que ela executa. Use as recomendações de configuração de segurança de linha de base descritas na Linha de Base de Segurança do Windows.

  • Use uma rede segura.

    Verifique se os adaptadores de rede virtual se conectam ao comutador virtual correto e se aplicam a configuração e os limites de segurança apropriados.

  • Armazene discos rígidos virtuais e arquivos de instantâneo em um local seguro.

  • Dispositivos seguros.

    Configure apenas os dispositivos necessários para uma máquina virtual. Não habilite a atribuição de dispositivos discretos em seu ambiente de produção, a menos que você precise dele para um cenário específico. Caso o ative, garanta que expõe apenas dispositivos de vendedores de confiança.

  • Configure o software antivírus, firewall e deteção de intrusão em máquinas virtuais, conforme apropriado, com base na função de máquina virtual.

  • Habilite a segurança baseada em virtualização para convidados que executam o Windows 10 ou o Windows Server 2016 ou posterior.

    Para obter mais informações, consulte o Device Guard Deployment Guide.

  • Habilite a Atribuição de Dispositivo Discreto somente se necessário para uma carga de trabalho específica.

    Devido à natureza da passagem por um dispositivo físico, trabalhe com o fabricante do dispositivo para entender se ele deve ser usado em um ambiente seguro.

Para ambientes mais seguros:

  • Last updated on