Pianificare la sicurezza di Hyper-V in Windows Server

  • Articolo

Si applica a: Windows Server 2022, Windows Server 2016, Microsoft Hyper-V Server 2016, Windows Server 2019, Microsoft Hyper-V Server 2019

Proteggere il sistema operativo host Hyper-V, le macchine virtuali, i file di configurazione e i dati delle macchine virtuali. Usare l'elenco seguente di procedure consigliate come elenco di controllo per proteggere l'ambiente Hyper-V.

Proteggere l'host Hyper-V

  • Mantenere il sistema operativo host sicuro.

    • Ridurre al minimo la superficie di attacco usando l'opzione di installazione minima di Windows Server necessaria per il sistema operativo di gestione. Per altre informazioni, vedere la sezione Opzioni di installazione della raccolta contenuto tecnico di Windows Server. Non è consigliabile eseguire carichi di lavoro di produzione in Hyper-V in Windows 10.
    • Mantenere aggiornato il sistema operativo host Hyper-V, il firmware e i driver di dispositivo con gli aggiornamenti della sicurezza più recenti. Controllare le raccomandazioni del fornitore per aggiornare firmware e driver.
    • Non usare l'host Hyper-V come workstation o installare software non necessario.
    • Gestire in remoto l'host Hyper-V. Se è necessario gestire l'host Hyper-V in locale, usare Credential Guard. Per altre informazioni, vedere Proteggere le credenziali di dominio derivate con Credential Guard.
    • Abilitare i criteri di integrità del codice. Usare i servizi di integrità del codice protetti dalla sicurezza basata su virtualizzazione. Per altre informazioni, vedere Guida alla distribuzione di Device Guard.

  • Usare una rete sicura.

    • Usare una rete separata con una scheda di rete dedicata per il computer Hyper-V fisico.
    • Usare una rete privata o sicura per accedere alle configurazioni delle macchine virtuali e ai file del disco rigido virtuale.
    • Usare una rete privata/dedicata per il traffico di migrazione in tempo reale. Valutare la possibilità di abilitare IPSec in questa rete per usare la crittografia e proteggere i dati della macchina virtuale che passano in rete durante la migrazione. Per altre informazioni, vedere Configurare gli host per la migrazione in tempo reale senza Clustering di failover.

  • Proteggere il traffico di migrazione dell'archiviazione.

    Usare SMB 3.0 per la crittografia end-to-end dei dati SMB e la manomissione della protezione dei dati o intercettazione su reti non attendibili. Usare una rete privata per accedere al contenuto della condivisione SMB per evitare attacchi man-in-the-middle. Per altre informazioni, vedere Miglioramenti della sicurezza SMB.

  • Configurare gli host come parte di un'infrastruttura sorvegliata.

    Per altre informazioni, vedere Infrastruttura sorvegliata.

  • Dispositivi protetti.

    Proteggere i dispositivi di archiviazione in cui si mantengono i file di risorse della macchina virtuale.

  • Proteggere il disco rigido.

    Usare Crittografia unità BitLocker per proteggere le risorse.

  • Rafforzare la protezione avanzata del sistema operativo host Hyper-V.

    Usare le raccomandazioni relative alle impostazioni di sicurezza di base descritte nella baseline di sicurezza di Windows Server.

  • Concedere le autorizzazioni appropriate.

    • Aggiungere utenti che devono gestire l'host Hyper-V al gruppo administrators di Hyper-V.
    • Non concedere agli amministratori delle macchine virtuali le autorizzazioni per il sistema operativo host Hyper-V.

  • Configurare le esclusioni e le opzioni antivirus per Hyper-V.

    Windows Defender dispone già di esclusioni automatiche configurate . Per altre informazioni sulle esclusioni, vedere Esclusioni antivirus consigliate per gli host Hyper-V.

  • Non montare dischi rigidi virtuali sconosciuti. Ciò può esporre l'host agli attacchi a livello di file system.

  • Non abilitare l'annidamento nell'ambiente di produzione, a meno che non sia necessario.

    Se si abilita l'annidamento, non eseguire hypervisor non supportati in una macchina virtuale.

Per ambienti più sicuri:

Proteggere le macchine virtuali

  • Creare macchine virtuali di seconda generazione per i sistemi operativi guest supportati.

    Per altre informazioni, vedere Impostazioni di sicurezza di seconda generazione.

  • Abilitare l'avvio protetto.

    Per altre informazioni, vedere Impostazioni di sicurezza di seconda generazione.

  • Mantenere il sistema operativo guest sicuro.

    • Installare gli aggiornamenti della sicurezza più recenti prima di attivare una macchina virtuale in un ambiente di produzione.
    • Installare i servizi di integrazione per i sistemi operativi guest supportati che lo richiedono e mantenerli aggiornati. Gli aggiornamenti del servizio di integrazione per gli utenti guest che eseguono versioni di Windows supportate sono disponibili tramite Windows Update.
    • Rafforzare la protezione avanzata del sistema operativo eseguito in ogni macchina virtuale in base al ruolo eseguito. Usare le raccomandazioni relative all'impostazione di sicurezza di base descritte nella baseline di Sicurezza di Windows.

  • Usare una rete sicura.

    Assicurarsi che le schede di rete virtuale si connettano al commutatore virtuale corretto e che siano applicate le impostazioni di sicurezza e i limiti appropriati.

  • Archiviare dischi rigidi virtuali e file di snapshot in un percorso sicuro.

  • Dispositivi protetti.

    Configurare solo i dispositivi necessari per una macchina virtuale. Non abilitare l'assegnazione di dispositivi discreti nell'ambiente di produzione, a meno che non sia necessaria per uno scenario specifico. Se lo si abilita, assicurarsi di esporre solo i dispositivi di fornitori attendibili.

  • Configurare software antivirus, firewall e rilevamento intrusioni all'interno delle macchine virtuali in base al ruolo della macchina virtuale.

  • Abilitare la sicurezza basata sulla virtualizzazione per gli utenti guest che eseguono Windows 10 o Windows Server 2016 o versione successiva.

    Per altre informazioni, vedere la Guida alla distribuzione di Device Guard.

  • Abilitare l'assegnazione di dispositivi discreti solo se necessario per un carico di lavoro specifico.

    A causa della natura del passaggio di un dispositivo fisico, collaborare con il produttore del dispositivo per capire se deve essere usato in un ambiente sicuro.

Per ambienti più sicuri:

  • Distribuire macchine virtuali con schermatura abilitata e distribuirle in un'infrastruttura sorvegliata.

    Per altre informazioni, vedere Impostazioni di sicurezza di seconda generazione e Infrastruttura sorvegliata.