Merencanakan keamanan Hyper-V di Windows Server

Berlaku untuk: Windows Server 2022, Windows Server 2016, Microsoft Hyper-V Server 2016, Windows Server 2019, Microsoft Hyper-V Server 2019

Amankan sistem operasi host Hyper-V, komputer virtual, file konfigurasi, dan data komputer virtual. Gunakan daftar praktik yang direkomendasikan berikut sebagai daftar periksa untuk membantu Anda mengamankan lingkungan Hyper-V Anda.

Mengamankan host Hyper-V

• Jaga keamanan OS host.

  • Minimalkan permukaan serangan dengan menggunakan opsi penginstalan Windows Server minimum yang Anda butuhkan untuk sistem operasi manajemen. Untuk informasi selengkapnya, lihat bagian Opsi Penginstalan pustaka konten teknis Windows Server. Kami tidak menyarankan Anda menjalankan beban kerja produksi di Hyper-V pada Windows 10.
  • Selalu perbarui sistem operasi host Hyper-V, firmware, dan driver perangkat dengan pembaruan keamanan terbaru. Periksa rekomendasi vendor Anda untuk memperbarui firmware dan driver.
  • Jangan gunakan host Hyper-V sebagai stasiun kerja atau instal perangkat lunak yang tidak perlu.
  • Kelola host Hyper-V dari jarak jauh. Jika Anda harus mengelola host Hyper-V secara lokal, gunakan Credential Guard. Untuk informasi selengkapnya, lihat Melindungi kredensial domain turunan dengan Credential Guard.
  • Aktifkan kebijakan integritas kode. Gunakan layanan Integritas Kode yang dilindungi keamanan berbasis virtualisasi. Untuk informasi selengkapnya, lihat Panduan Penyebaran Device Guard.

• Gunakan jaringan yang aman.

  • Gunakan jaringan terpisah dengan adaptor jaringan khusus untuk komputer Hyper-V fisik.
  • Gunakan jaringan privat atau aman untuk mengakses konfigurasi VM dan file hard disk virtual.
  • Gunakan jaringan privat/khusus untuk lalu lintas migrasi langsung Anda. Pertimbangkan untuk mengaktifkan IPSec di jaringan ini untuk menggunakan enkripsi dan mengamankan data VM Anda melalui jaringan selama migrasi. Untuk informasi selengkapnya, lihat Menyiapkan host untuk migrasi langsung tanpa Pengklusteran Failover.

• Mengamankan lalu lintas migrasi penyimpanan.

  Gunakan SMB 3.0 untuk enkripsi end-to-end data SMB dan perubahan perlindungan data atau penyadapan pada jaringan yang tidak tepercaya. Gunakan jaringan privat untuk mengakses konten berbagi SMB untuk mencegah serangan man-in-the-middle. Untuk informasi selengkapnya, lihat Peningkatan Keamanan SMB.

• Konfigurasikan host untuk menjadi bagian dari fabric yang dijaga.

  Untuk informasi selengkapnya, lihat Fabric yang dijaga.

• Mengamankan perangkat.

  Amankan perangkat penyimpanan tempat Anda menyimpan file sumber daya komputer virtual.

• Amankan hard drive.

  Gunakan Enkripsi Drive BitLocker untuk melindungi sumber daya.

• Memperkuat sistem operasi host Hyper-V.

  Gunakan rekomendasi pengaturan keamanan garis besar yang dijelaskan dalam Garis Besar Keamanan Windows Server.

• Berikan izin yang sesuai.

  • Tambahkan pengguna yang perlu mengelola host Hyper-V ke grup administrator Hyper-V.
  • Jangan berikan izin administrator komputer virtual pada sistem operasi host Hyper-V.

• Konfigurasikan pengecualian dan opsi anti-virus untuk Hyper-V.

  Pertahanan Windows sudah memiliki pengecualian otomatis yang dikonfigurasi . Untuk informasi selengkapnya tentang pengecualian, lihat Pengecualian antivirus yang direkomendasikan untuk host Hyper-V.

• Jangan pasang VHD yang tidak diketahui. Ini dapat mengekspos host ke serangan tingkat sistem file.

• Jangan aktifkan berlapis di lingkungan produksi Anda kecuali diperlukan.

  Jika Anda mengaktifkan berlapis, jangan jalankan hypervisor yang tidak didukung pada komputer virtual.

Untuk lingkungan yang lebih aman:

• Gunakan perangkat keras dengan chip Trusted Platform Module (TPM) 2.0 untuk menyiapkan fabric yang dijaga.

  Untuk informasi selengkapnya, lihat Persyaratan sistem untuk Hyper-V di Windows Server 2016.

Mengamankan komputer virtual

• Buat komputer virtual generasi 2 untuk sistem operasi tamu yang didukung.

  Untuk informasi selengkapnya, lihat Pengaturan keamanan Generasi 2.

• Aktifkan Boot Aman.

  Untuk informasi selengkapnya, lihat Pengaturan keamanan Generasi 2.

• Jaga keamanan OS tamu.

  • Instal pembaruan keamanan terbaru sebelum Anda mengaktifkan komputer virtual di lingkungan produksi.
  • Instal layanan integrasi untuk sistem operasi tamu yang didukung yang membutuhkannya dan selalu perbarui. Pembaruan layanan integrasi untuk tamu yang menjalankan versi Windows yang didukung tersedia melalui Windows Update.
  • Perkuat sistem operasi yang berjalan di setiap komputer virtual berdasarkan peran yang dilakukannya. Gunakan rekomendasi pengaturan keamanan garis besar yang dijelaskan dalam Garis Besar Keamanan Windows.

• Gunakan jaringan yang aman.

  Pastikan adaptor jaringan virtual terhubung ke sakelar virtual yang benar dan menerapkan pengaturan dan batas keamanan yang sesuai.

• Simpan hard disk virtual dan file rekam jepret di lokasi yang aman.

• Mengamankan perangkat.

  Konfigurasikan hanya perangkat yang diperlukan untuk komputer virtual. Jangan aktifkan penetapan perangkat diskrit di lingkungan produksi Anda kecuali Anda memerlukannya untuk skenario tertentu. Jika Anda mengaktifkannya, pastikan untuk hanya mengekspos perangkat dari vendor tepercaya.

• Konfigurasikan perangkat lunak deteksi antivirus, firewall, dan intrusi dalam komputer virtual yang sesuai berdasarkan peran komputer virtual.

• Aktifkan keamanan berbasis virtualisasi untuk tamu yang menjalankan Windows 10 atau Windows Server 2016 atau yang lebih baru.

  Untuk informasi selengkapnya, lihat Panduan Penyebaran Device Guard.

• Hanya aktifkan Penugasan Perangkat Diskrit jika diperlukan untuk beban kerja tertentu.

  Karena sifat melewati perangkat fisik, bekerja samalah dengan produsen perangkat untuk memahami apakah harus digunakan di lingkungan yang aman.

Untuk lingkungan yang lebih aman:

• Sebarkan komputer virtual dengan perisai diaktifkan dan sebarkan ke fabric yang dijaga.

  Untuk informasi selengkapnya, lihat Pengaturan keamanan Generasi 2 dan Fabric yang dijaga.