Hyper-V の第 2 世代仮想マシンのセキュリティ設定Generation 2 virtual machine security settings for Hyper-V

適用先:Windows Server 2016、Microsoft Hyper-V Server 2016、Windows Server 2019、Microsoft Hyper-V Server 2019Applies To: Windows Server 2016, Microsoft Hyper-V Server 2016, Windows Server 2019, Microsoft Hyper-V Server 2019

仮想マシンのデータおよび状態の保護を促進するには、Hyper-V マネージャー内の仮想マシンのセキュリティ設定を使用します。Use the virtual machine security settings in Hyper-V Manager to help protect the data and state of a virtual machine. ホスト上で実行される可能性のあるマルウェアとデータセンター管理者の両方による閲覧、盗難、改ざんから仮想マシンを保護できます。You can protect virtual machines from inspection, theft, and tampering from both malware that may run on the host, and datacenter administrators. 得られるセキュリティのレベルは、実行するホスト ハードウェア、仮想マシンの世代、およびホスト ガーディアン サービス (シールドされた仮想マシンの起動することをホストの承認により許可するサービス) を設定するかどうかによって決まります。The level of security you get depends on the host hardware you run, the virtual machine generation, and whether you set up the service, called the Host Guardian Service, that authorizes hosts to start shielded virtual machines.

ホスト ガーディアン サービスは、Windows Server 2016 の新しい役割です。The Host Guardian Service is a new role in Windows Server 2016. これは、正当な Hyper-V ホストを識別し、それらが特定の仮想マシンを実行することを許可します。It identifies legitimate Hyper-V hosts and allows them to run a given virtual machine. ホスト ガーディアン サービスを設定する例として最も一般的なのはデータセンターです。You'd most commonly set up the Host Guardian Service for a datacenter. ただし、ホスト ガーディアン サービスを設定せずに、シールドされた仮想マシンを作成してローカルで実行することができます。But you can create a shielded virtual machine to run it locally without setting up a Host Guardian Service. シールドされた仮想マシンは、後でホスト ガーディアン ファブリックに割り振ることができます。You can later distribute the shielded virtual machine to a Host Guardian Fabric.

ホスト ガーディアン サービスが、未設定の場合、または仮想マシン所有者のガーディアン キーが存在する Hyper-V ホスト上でローカル モードで実行されている場合は、このトピックで説明する設定を変更できます。If you haven't set up the Host Guardian Service or are running it in local mode on the Hyper-V host and the host has the virtual machine owner's guardian key, you can change the settings described in this topic. ガーディアン キーの所有者は、秘密キーまたは公開キーを作成して共有し、そのキーを使用して作成されたすべての仮想マシンを所有する組織です。An owner of a guardian key is an organization that creates and shares a private or public key to own all virtual machines created with that key.

ホスト ガーディアン サービスを使用して仮想マシンのセキュリティを強化する方法については、次のリソースを参照してください。To learn how you can make your virtual machines more secure with the Host Guardian Service, see the following resources.

Hyper-V マネージャーでのセキュア ブートの設定Secure Boot setting in Hyper-V Manager

セキュア ブートは、第 2 世代仮想マシンで使用できる機能です。これにより、無許可のファームウェア、オペレーティング システム、または Unified Extensible Firmware Interface (UEFI) ドライバー (オプション ROM とも呼ばれます) が起動時に実行されないようにします。Secure Boot is a feature available with generation 2 virtual machines that helps prevent unauthorized firmware, operating systems, or Unified Extensible Firmware Interface (UEFI) drivers (also known as option ROMs) from running at boot time. セキュア ブートは既定で有効になっています。Secure Boot is enabled by default. Windows または Linux ディストリビューションのオペレーティング システムが実行されている第 2 世代仮想マシンでセキュア ブートを使用できます。You can use secure boot with generation 2 virtual machines that run Windows or Linux distribution operating systems.

次の表に記載されているテンプレートは、ブート プロセスの整合性を検証するために必要な証明書を示しています。The templates described in the following table refer to the certificates that you need to verify the integrity of the boot process.

テンプレート名Template name 説明Description
Microsoft WindowsMicrosoft Windows Windows オペレーティング システムの仮想マシンのセキュア ブートを有効にする場合に選択します。Select to secure boot the virtual machine for a Windows operating system.
Microsoft UEFI 証明機関Microsoft UEFI Certificate Authority Linux ディストリビューションのオペレーティング システムの仮想マシンのセキュア ブートを有効にする場合に選択します。Select to secure boot the virtual machine for a Linux distribution operating system.
オープン ソースのシールドされた VMOpen Source Shielded VM このテンプレートは、Linux ベースのシールドされた VM のセキュア ブートを有効にする場合に利用します。This template is leveraged to secure boot for Linux-based shielded VMs.

詳しくは、次のトピックをご覧ください。For more information, see the following topics.

Hyper-V マネージャーでの暗号化のサポートの設定Encryption support settings in Hyper-V Manager

次の暗号化サポート オプションを選択することで、仮想マシンのデータと状態を保護できます。You can help protect the data and state of the virtual machine by selecting the following encryption support options.

  • トラステッド プラットフォーム モジュールを有効にする - この設定によって、仮想マシンで仮想化されたトラステッド プラットフォーム モジュール (TPM) チップを使用できるようになります。Enable Trusted Platform Module - This setting makes a virtualized Trusted Platform Module (TPM) chip available to your virtual machine. これにより、ゲストは BitLocker を使用して仮想マシン ディスクを暗号化できます。This allows the guest to encrypt the virtual machine disk by using BitLocker.
    • Hyper-V ホストで Windows 10 1511 が実行されている場合は、分離ユーザー モードを有効にする必要があります。If your Hyper-V host is running Windows 10 1511, you have to enable Isolated User Mode.
  • 状態と仮想マシンのマイグレーション トラフィックの暗号化 - 仮想マシンの保存された状態とライブ マイグレーション トラフィックを暗号化します。Encrypt State and VM migration traffic - Encrypts the virtual machine saved state and live migration traffic.

分離ユーザー モードを有効にするEnable Isolated User Mode

Windows 10 Anniversary Update より前のバージョンの Windows を実行している Hyper-V ホストで [トラステッド プラットフォーム モジュールを有効にする] を選択した場合は、分離ユーザー モードを有効にする必要があります。If you select Enable Trusted Platform Module on Hyper-V hosts that run versions of Windows earlier than Windows 10 Anniversary Update, you must enable Isolated User Mode. Windows Server 2016 または Windows 10 Anniversary Update 以降を実行している Hyper-V ホストの場合は、これを行う必要はありません。You don't need to do this for Hyper-V hosts that run Windows Server 2016 or Windows 10 Anniversary Update or later.

分離ユーザー モードは、Hyper-V ホスト上の仮想保護モード内でセキュリティ アプリケーションをホストするランタイム環境です。Isolated User Mode is the runtime environment that hosts security applications inside Virtual Secure Mode on the Hyper-V host. 仮想保護モードは、仮想 TPM チップの状態を保護するために使用されます。Virtual Secure Mode is used to secure and protect the state of the virtual TPM chip.

以前のバージョンの Windows 10 を実行している Hyper-V ホストで分離ユーザー モードを有効にするには、To enable Isolated User Mode on the Hyper-V host that run earlier versions of Windows 10,

  1. 管理者として Windows PowerShell を開きます。Open Windows PowerShell as an administrator.

  2. 次のコマンドを実行します。Run the following commands:

    Enable-WindowsOptionalFeature -Feature IsolatedUserMode -Online
    New-Item -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Force
    New-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Control\DeviceGuard -Name EnableVirtualizationBasedSecurity -Value 1 -PropertyType DWord -Force
    
    

仮想 TPM が有効になっている仮想マシンは、Windows Server 2016 または Windows 10 ビルド 10586 以降のバージョンを実行しているホストに移行できます。You can migrate a virtual machine with virtual TPM enabled to any host that runs Windows Server 2016, Windows 10 build 10586 or higher versions. ただし、別のホストに移行すると、起動できないことがあります。But if you migrate it to another host, you may not be able to start it. 新しいホストで仮想マシンを実行することを承認するために、その仮想マシンのキーの保護機能を更新する必要があります。You must update the Key Protector for that virtual machine to authorize the new host to run the virtual machine. 詳細については、「保護されたファブリックとシールドされた VM」および「Windows Server 上の Hyper-V のシステム要件」 を参照してください。For more information, see Guarded Fabric and Shielded VMs and System requirements for Hyper-V on Windows Server.

Hyper-V マネージャーのセキュリティ ポリシーSecurity Policy in Hyper-V Manager

仮想マシンのセキュリティを向上させるには、 [Enable Shielding](シールドを有効にする) オプションを使用して、コンソール接続、PowerShell Direct、一部の統合コンポーネントなどの管理機能を無効にしてください。For more virtual machine security, use the Enable Shielding option to disable management features like console connection, PowerShell Direct, and some integration components. このオプションを選択すると、 [セキュア ブート][トラステッド プラットフォーム モジュールを有効にする][状態と仮想マシンのマイグレーション トラフィックの暗号化] の各オプションが選択および適用されます。If you select this option, Secure Boot, Enable Trusted Platform Module, and Encrypt State and VM migration traffic options are selected and enforced.

ホスト ガーディアン サービスを設定せずに、シールドされた仮想マシンをローカルで実行できます。You can run the shielded virtual machine locally without setting up a Host Guardian Service. ただし、別のホストに移行すると、起動できないことがあります。But if you migrate it to another host, you may not be able to start it. 新しいホストで仮想マシンを実行することを承認するために、その仮想マシンのキーの保護機能を更新する必要があります。You must update the Key Protector for that virtual machine to authorize the new host to run the virtual machine. 詳細については、「保護されたファブリックとシールドされた VM」を参照してください。For more information, see Guarded Fabric and Shielded VMs.

Windows Server のセキュリティの詳細については、「セキュリティおよび保証」を参照してください。For more information about security in Windows Server, see Security and Assurance.