Planear la seguridad de Hyper-V en Windows Server

Se aplica a: Windows Server 2022, Windows Server 2016, Microsoft Hyper-V Server 2016, Windows Server 2019, Microsoft Hyper-V Server 2019

Proteja el sistema operativo host de Hyper-V, las máquinas virtuales, los archivos de configuración y los datos de la máquina virtual. Use la siguiente lista de procedimientos recomendados como lista de comprobación para ayudarle a proteger el entorno de Hyper-V.

Proteger el host de Hyper-V

  • Mantenga el sistema operativo del host seguro.

    • Minimice la superficie de ataque mediante la opción de instalación Windows server mínima que necesita para el sistema operativo de administración. Para obtener más información, vea la sección Opciones de instalación de la biblioteca de contenido técnico Windows Server. No se recomienda ejecutar cargas de trabajo de producción en Hyper-V en Windows 10.
    • Mantenga actualizados el sistema operativo, el firmware y los controladores de dispositivo del host de Hyper-V con las actualizaciones de seguridad más recientes. Compruebe las recomendaciones del proveedor para actualizar el firmware y los controladores.
    • No use el host de Hyper-V como estación de trabajo ni instale ningún software innecesario.
    • Administre de forma remota el host de Hyper-V. Si debe administrar el host de Hyper-V localmente, use Credential Guard. Para obtener más información, consulta Proteger las credenciales de dominio derivadas con Credential Guard.
    • Habilitar directivas de integridad de código. Use servicios de integridad de código protegidos por seguridad basada en virtualización. Para más información, consulte Device Guard Deployment Guide (Guía de implementación de Device Guard).
  • Use una red segura.

    • Use una red independiente con un adaptador de red dedicado para el equipo físico de Hyper-V.
    • Use una red privada o segura para acceder a las configuraciones de máquina virtual y a los archivos de disco duro virtual.
    • Use una red privada o dedicada para el tráfico de migración en vivo. Considere la posibilidad de habilitar IPSec en esta red para usar el cifrado y proteger los datos de la máquina virtual que van a través de la red durante la migración. Para más información, consulte Configuración de hosts para la migración en vivo sin clústeres de conmutación por error.
  • Proteger el tráfico de migración de almacenamiento.

    Use SMB 3.0 para el cifrado de un extremo a otro de datos SMB y la manipulación o interceptación de la protección de datos SMB en redes que no son de confianza. Use una red privada para acceder al contenido del recurso compartido SMB para evitar ataques de tipo "Man in the middle". Para obtener más información, vea Mejoras de seguridad de SMB.

  • Configure los hosts para que sean parte de un tejido con protección.

    Para más información, consulte Tejido guardado.

  • Proteger dispositivos.

    Proteja los dispositivos de almacenamiento donde se mantienen los archivos de recursos de máquina virtual.

  • Proteja la unidad de disco duro.

    Use Cifrado de unidad BitLocker para proteger los recursos.

  • Resalte el sistema operativo host de Hyper-V.

    Use las recomendaciones de configuración de seguridad de línea de base que se describen Windows base de referencia de seguridad del servidor.

  • Conceda los permisos adecuados.

    • Agregue usuarios que necesiten administrar el host de Hyper-V al grupo de administradores de Hyper-V.
    • No conceda permisos a los administradores de máquinas virtuales en el sistema operativo host de Hyper-V.
  • Configure las exclusiones antivirus y las opciones de Hyper-V.

    Windows Defender ya tiene configuradas exclusiones automáticas. Para obtener más información sobre las exclusiones, vea Exclusiones antivirus recomendadas para hosts de Hyper-V.

  • No monte discos duros virtuales desconocidos. Esto puede exponer el host a ataques de nivel de sistema de archivos.

  • No habilite el anidamiento en el entorno de producción a menos que sea necesario.

    Si habilita el anidamiento, no ejecute hipervisores no admitidos en una máquina virtual.

Para entornos más seguros:

Protección de máquinas virtuales

  • Cree máquinas virtuales de generación 2 para sistemas operativos invitados compatibles.

    Para obtener más información, vea Configuración de seguridad de generación 2.

  • Habilite arranque seguro.

    Para obtener más información, vea Configuración de seguridad de generación 2.

  • Mantenga el sistema operativo invitado seguro.

    • Instale las actualizaciones de seguridad más recientes antes de activar una máquina virtual en un entorno de producción.
    • Instale los servicios de integración para los sistemas operativos invitados compatibles que lo necesiten y mantenerlos actualizados. Las actualizaciones del servicio de integración para los invitados que ejecutan versiones Windows compatibles están disponibles a través de Windows Update.
    • Resalte el sistema operativo que se ejecuta en cada máquina virtual en función del rol que realiza. Use las recomendaciones de configuración de seguridad de línea de base que se describen en la Seguridad de Windows base de referencia.
  • Use una red segura.

    Asegúrese de que los adaptadores de red virtual se conectan al conmutador virtual correcto y tienen aplicada la configuración de seguridad y los límites adecuados.

  • Almacene discos duros virtuales y archivos de instantáneas en una ubicación segura.

  • Proteger dispositivos.

    Configure solo los dispositivos necesarios para una máquina virtual. No habilite la asignación discreta de dispositivos en el entorno de producción a menos que la necesite para un escenario específico. Si lo habilita, asegúrese de exponer solo los dispositivos de proveedores de confianza.

  • Configure el antivirus, el firewall y el software de detección de intrusiones dentro de las máquinas virtuales según corresponda en función del rol de máquina virtual.

  • Habilite la seguridad basada en virtualización para los invitados que Windows 10 o Windows Server 2016 o posterior.

    Para más información, consulte la Guía de implementación de Device Guard.

  • Habilite solo la asignación discreta de dispositivos si es necesario para una carga de trabajo específica.

    Debido a la naturaleza de pasar a través de un dispositivo físico, trabaje con el fabricante del dispositivo para saber si se debe usar en un entorno seguro.

Para entornos más seguros: