Windows Server での Hyper-v セキュリティの計画Plan for Hyper-V security in Windows Server

適用先:Windows Server 2016、Microsoft Hyper-V Server 2016、Windows Server 2019、Microsoft Hyper-V Server 2019Applies To: Windows Server 2016, Microsoft Hyper-V Server 2016, Windows Server 2019, Microsoft Hyper-V Server 2019

HYPER-V ホストのオペレーティング システム、仮想マシン、構成ファイル、および仮想マシンのデータをセキュリティで保護します。Secure the Hyper-V host operating system, the virtual machines, configuration files, and virtual machine data. HYPER-V 環境を保護するためにチェックリストとして次の推奨されるベスト プラクティスの一覧を使用します。Use the following list of recommended practices as a checklist to help you secure your Hyper-V environment.

HYPER-V ホストのセキュリティ保護します。Secure the Hyper-V host

  • ホストの OS をセキュリティで保護してください。Keep the host OS secure.

    • 管理オペレーティング システムに必要な最低限の Windows Server インストール オプションを使用して、攻撃対象領域を最小限に抑えます。Minimize the attack surface by using the minimum Windows Server installation option that you need for the management operating system. 詳細については、Windows Server テクニカルコンテンツライブラリの インストールオプション に関するセクションを参照してください。For more information, see the Installation Options section of the Windows Server technical content library. Windows 10 では、HYPER-V では、実稼働ワークロードを実行することは推奨されません。We don't recommend that you run production workloads on Hyper-V on Windows 10.
    • HYPER-V ホストのオペレーティング システム、ファームウェア、およびデバイス ドライバーは最新のセキュリティ更新プログラムを最新のしてください。Keep the Hyper-V host operating system, firmware, and device drivers up to date with the latest security updates. ファームウェアとドライバーを更新する、ベンダーの推奨事項を確認してください。Check your vendor's recommendations to update firmware and drivers.
    • HYPER-V ホストをワークステーションとして使用したり、不要なソフトウェアをインストールしないでください。Don't use the Hyper-V host as a workstation or install any unnecessary software.
    • HYPER-V ホストをリモートで管理します。Remotely manage the Hyper-V host. ローカル HYPER-V ホストを管理する必要があります、資格情報の保護を使用します。If you must manage the Hyper-V host locally, use Credential Guard. 詳細については、次を参照してください。 派生した資格情報 Guard でのドメイン資格情報を保護するです。For more information, see Protect derived domain credentials with Credential Guard.
    • コード整合性ポリシーを有効にします。Enable code integrity policies. 仮想化ベースのセキュリティを使用するには、サービスのコードの整合性が保護されています。Use virtualization-based security protected Code Integrity services. 詳細については、次を参照してください。 デバイス ガード展開ガイドします。For more information, see Device Guard Deployment Guide.
  • セキュリティで保護されたネットワークを使用します。Use a secure network.

    • 物理的な HYPER-V コンピューターの専用のネットワーク アダプターで別のネットワークを使用します。Use a separate network with a dedicated network adapter for the physical Hyper-V computer.
    • VM のアクセスの構成および仮想ハード ディスク ファイルへのプライベートまたはセキュリティで保護されたネットワークを使用します。Use a private or secure network to access VM configurations and virtual hard disk files.
    • ライブ マイグレーション トラフィック/専用のプライベート ネットワークを使用します。Use a private/dedicated network for your live migration traffic. 暗号化を使用し、移行中にネットワーク経由で仮想マシンのデータをセキュリティで保護するには、このネットワーク上の IPSec を有効にしてください。Consider enabling IPSec on this network to use encryption and secure your VM's data going over the network during migration. 詳細については、次を参照してください。 フェールオーバー クラスタ リングのないライブ マイグレーションのためのホスト設定します。For more information, see Set up hosts for live migration without Failover Clustering.
  • 記憶域の移行のトラフィックをセキュリティで保護します。Secure storage migration traffic.

    SMB データとデータ保護の改ざんまたは信頼されていないネットワークの盗聴のエンド ツー エンドの暗号化の SMB 3.0 を使用します。Use SMB 3.0 for end-to-end encryption of SMB data and data protection tampering or eavesdropping on untrusted networks. 中間の攻撃を防ぐための SMB 共有の内容にアクセスするのにには、プライベート ネットワークを使用します。Use a private network to access the SMB share contents to prevent man-in-the-middle attacks. 詳細については、次を参照してください。 SMB のセキュリティの強化します。For more information, see SMB Security Enhancements.

  • 保護されたファブリックの一部としてホストを構成します。Configure hosts to be part of a guarded fabric.

    詳細については、次を参照してください。 保護され、fabricします。For more information, see Guarded fabric.

  • デバイスをセキュリティで保護する。Secure devices.

    仮想マシンのリソース ファイルを保存する記憶装置をセキュリティで保護します。Secure the storage devices where you keep virtual machine resource files.

  • ハード ドライブをセキュリティで保護します。Secure the hard drive.

    リソースを保護するのにには、BitLocker ドライブ暗号化を使用します。Use BitLocker Drive Encryption to protect resources.

  • HYPER-V ホストのオペレーティング システムを強化します。Harden the Hyper-V host operating system.

    ベースライン セキュリティ設定の推奨事項を使用して、 Windows サーバーのセキュリティ ベースラインします。Use the baseline security setting recommendations described in the Windows Server Security Baseline.

  • 適切なアクセス許可を付与します。Grant appropriate permissions.

    • HYPER-V administrators グループに HYPER-V ホストを管理する必要があるユーザーを追加します。Add users that need to manage the Hyper-V host to the Hyper-V administrators group.
    • 与えないで仮想マシンの管理者、HYPER-V に対するアクセス許可は、オペレーティング システムをホストします。Don't grant virtual machine administrators permissions on the Hyper-V host operating system.
  • 除外リストのウイルス対策と HYPER-V のオプションを構成します。Configure anti-virus exclusions and options for Hyper-V.

    Windows Defender は既に 自動除外 ように構成します。Windows Defender already has automatic exclusions configured. 除外リストの詳細については、次を参照してください。 Hyper-v ホストでのウイルス対策の除外をお勧めします。For more information about exclusions, see Recommended antivirus exclusions for Hyper-V hosts.

  • 不明な Vhd をマウントしません。Don't mount unknown VHDs. これは、ファイル システム レベルの攻撃にホストを公開できます。This can expose the host to file system level attacks.

  • 必要な場合を除き、運用環境での入れ子を有効にしません。Don't enable nesting in your production environment unless it's required.

    入れ子を有効にした場合は、仮想マシンでサポートされていないハイパーバイザーを実行しないでください。If you enable nesting, don't run unsupported hypervisors on a virtual machine.

安全な環境向け。For more secure environments:

セキュリティ保護された仮想マシンSecure virtual machines

  • サポートされるゲスト オペレーティング システムの 2 つの仮想マシンの世代を作成します。Create generation 2 virtual machines for supported guest operating systems.

    詳細については、次を参照してください。 第 2 世代のセキュリティ設定します。For more information, see Generation 2 security settings.

  • セキュアブートを有効にします。Enable Secure Boot.

    詳細については、次を参照してください。 第 2 世代のセキュリティ設定します。For more information, see Generation 2 security settings.

  • ゲスト OS をセキュリティで保護してください。Keep the guest OS secure.

    • 運用環境で仮想マシンを有効にする前に、最新のセキュリティ更新プログラムをインストールします。Install the latest security updates before you turn on a virtual machine in a production environment.
    • 統合サービスを必要とすることに保ちますサポートされるゲスト オペレーティング システムをインストールします。Install integration services for the supported guest operating systems that need it and keep it up to date. サポートされているバージョンの Windows を実行しているゲストの統合サービスの更新プログラムは、Windows Update を通して利用できます。Integration service updates for guests that run supported Windows versions are available through Windows Update.
    • 実行する役割に基づく各仮想マシンで実行されているオペレーティング システムを強化します。Harden the operating system that runs in each virtual machine based on the role it performs. 説明されているベースライン セキュリティ設定の推奨事項を使用して、 Windows セキュリティ ベースラインします。Use the baseline security setting recommendations that are described in the Windows Security Baseline.
  • セキュリティで保護されたネットワークを使用します。Use a secure network.

    仮想ネットワーク アダプターが正しい仮想スイッチに接続し、適切なセキュリティ設定と制限を適用することを確認してください。Make sure virtual network adapters connect to the correct virtual switch and have the appropriate security setting and limits applied.

  • バーチャル ハード ディスクやスナップショット ファイルを安全な場所に保存します。Store virtual hard disks and snapshot files in a secure location.

  • デバイスをセキュリティで保護する。Secure devices.

    仮想マシンにのみ必要なデバイスを構成します。Configure only required devices for a virtual machine. 特定のシナリオに必要な場合を除き、実稼働環境内で個別のデバイスの割り当てを有効にしません。Don't enable discrete device assignment in your production environment unless you need it for a specific scenario. これを有効にして場合は、信頼できるベンダーからのデバイスのみを公開することを確認してください。If you do enable it, make sure to only expose devices from trusted vendors.

  • ウイルス対策ソフトウェア、構成、ファイアウォールおよび侵入検知ソフトウェア 仮想マシン ロールに基いて、必要に応じて仮想マシン内で。Configure antivirus, firewall, and intrusion detection software within virtual machines as appropriate based on the virtual machine role.

  • Windows 10 または Windows Server 2016 以降を実行しているゲストの仮想化ベースのセキュリティを有効にします。Enable virtualization based security for guests that run Windows 10 or Windows Server 2016 or later.

    詳細については、次を参照してください。、 デバイス ガード展開ガイドします。For more information, see the Device Guard Deployment Guide.

  • 特定のワークロードに必要な場合のみ個別のデバイスの割り当てを有効にするです。Only enable Discrete Device Assignment if needed for a specific workload.

    物理デバイスを通過の性質上、セキュリティで保護された環境で使用するかどうかを理解するデバイスの製造元と協力します。Due to the nature of passing through a physical device, work with the device manufacturer to understand if it should be used in a secure environment.

安全な環境向け。For more secure environments: