HYPER-V ホストのオペレーティング システム、仮想マシン、構成ファイル、および仮想マシンのデータをセキュリティで保護します。 HYPER-V 環境を保護するためにチェックリストとして次の推奨されるベスト プラクティスの一覧を使用します。
HYPER-V ホストのセキュリティ保護します。
ホスト OS のセキュリティを確保します。
- 管理オペレーティング システムに必要な最低限の Windows Server インストール オプションを使用して、攻撃対象領域を最小限に抑えます。 詳細については、Windows Server テクニカル コンテンツ ライブラリのインストール オプション セクションを参照してください。 Windows 10 では、HYPER-V では、実稼働ワークロードを実行することは推奨されません。
- HYPER-V ホストのオペレーティング システム、ファームウェア、およびデバイス ドライバーは最新のセキュリティ更新プログラムを最新のしてください。 ファームウェアとドライバーを更新する、ベンダーの推奨事項を確認してください。
- HYPER-V ホストをワークステーションとして使用したり、不要なソフトウェアをインストールしないでください。
- HYPER-V ホストをリモートで管理します。 ローカル HYPER-V ホストを管理する必要があります、資格情報の保護を使用します。 詳細については、次を参照してください。 派生した資格情報 Guard でのドメイン資格情報を保護するです。
- コード整合性ポリシーを有効にします。 仮想化ベースのセキュリティを使用するには、サービスのコードの整合性が保護されています。 詳細については、次を参照してください。 デバイス ガード展開ガイドします。
セキュリティ保護されたネットワークを使用します。
- 物理的な HYPER-V コンピューターの専用のネットワーク アダプターで別のネットワークを使用します。
- VM のアクセスの構成および仮想ハード ディスク ファイルへのプライベートまたはセキュリティで保護されたネットワークを使用します。
- ライブ マイグレーション トラフィック/専用のプライベート ネットワークを使用します。 暗号化を使用し、移行中にネットワーク経由で仮想マシンのデータをセキュリティで保護するには、このネットワーク上の IPSec を有効にしてください。 詳細については、次を参照してください。 フェールオーバー クラスタ リングのないライブ マイグレーションのためのホスト設定します。
記憶域の移行トラフィックを保護します。
SMB データとデータ保護の改ざんまたは信頼されていないネットワークの盗聴のエンド ツー エンドの暗号化の SMB 3.0 を使用します。 中間の攻撃を防ぐための SMB 共有の内容にアクセスするのにには、プライベート ネットワークを使用します。 詳細については、次を参照してください。 SMB のセキュリティの強化します。
保護されたファブリックの一部としてホストを構成します。
詳細については、「 保護されたファブリック」を参照してください。
デバイスをセキュリティで保護する。
仮想マシンのリソース ファイルを保存する記憶装置をセキュリティで保護します。
ハード ドライブを保護します。
リソースを保護するのにには、BitLocker ドライブ暗号化を使用します。
HYPER-V ホストのオペレーティング システムを強化します。
ベースライン セキュリティ設定の推奨事項を使用して、 Windows サーバーのセキュリティ ベースラインします。
適切なアクセス許可を付与します。
- HYPER-V administrators グループに HYPER-V ホストを管理する必要があるユーザーを追加します。
- 与えないで仮想マシンの管理者、HYPER-V に対するアクセス許可は、オペレーティング システムをホストします。
Hyper-V に適したウイルス対策の除外設定とオプションを構成します。
Windows Defender には、 自動除外が既に 構成されています。 除外リストの詳細については、次を参照してください。 Hyper-v ホストでのウイルス対策の除外をお勧めします。
不明な Vhd をマウントしません。 これは、ファイル システム レベルの攻撃にホストを公開できます。
必要な場合を除き、運用環境での入れ子の有効化は避けてください。
入れ子を有効にした場合は、仮想マシンでサポートされていないハイパーバイザーを実行しないでください。
安全な環境向け。
トラステッド プラットフォーム モジュール (TPM) 2.0 チップを搭載したハードウェアを使用して、保護されたファブリックを設定します。
詳細については、次を参照してください。 Windows Server 2016 にインストールされた Hyper-v のシステム要件します。
セキュリティ保護された仮想マシン
サポートされているゲスト オペレーティング システムでは、第 2 世代の仮想マシンを作成します。
詳細については、次を参照してください。 第 2 世代のセキュリティ設定します。
セキュア ブートを有効にします。
詳細については、次を参照してください。 第 2 世代のセキュリティ設定します。
ゲスト OS のセキュリティを確保します。
- 運用環境で仮想マシンを有効にする前に、最新のセキュリティ更新プログラムをインストールします。
- 統合サービスを必要とすることに保ちますサポートされるゲスト オペレーティング システムをインストールします。 サポートされているバージョンの Windows を実行しているゲストの統合サービスの更新プログラムは、Windows Update を通して利用できます。
- 実行する役割に基づく各仮想マシンで実行されているオペレーティング システムを強化します。 説明されているベースライン セキュリティ設定の推奨事項を使用して、 Windows セキュリティ ベースラインします。
セキュリティ保護されたネットワークを使用します。
仮想ネットワーク アダプターが正しい仮想スイッチに接続し、適切なセキュリティ設定と制限を適用することを確認してください。
バーチャル ハード ディスクやスナップショット ファイルを安全な場所に保存します。
デバイスをセキュリティで保護する。
仮想マシンにのみ必要なデバイスを構成します。 特定のシナリオに必要な場合を除き、実稼働環境内で個別のデバイスの割り当てを有効にしません。 これを有効にして場合は、信頼できるベンダーからのデバイスのみを公開することを確認してください。
仮想マシン ロールに基づいて、仮想マシン内で適切にウイルス対策、ファイアウォール、侵入検知ソフトウェアを構成します。
Windows 10 または Windows Server 2016 以降を実行しているゲストの仮想化ベースのセキュリティを有効にします。
詳細については、次を参照してください。、 デバイス ガード展開ガイドします。
特定のワークロードに必要な場合のみ、Discrete Device Assignment を有効にします。
物理デバイスを通過の性質上、セキュリティで保護された環境で使用するかどうかを理解するデバイスの製造元と協力します。
安全な環境向け。
シールド機能を有効にした仮想マシンを展開し、保護されたファブリックに展開します。
詳細については、次を参照してください。 第 2 世代のセキュリティ設定 と 保護され、fabricします。