安全是當(dāng)今IT組織最關(guān)心的問題之一。在生產(chǎn)環(huán)境中實(shí)施任何新的技術(shù)之前，IT管理員必須考慮技術(shù)安全性，并確保將攻擊面降到最低。

今天我們來看看國外serverwatch網(wǎng)站盤點(diǎn)的15個(gè)Hyper-V安全最佳實(shí)踐，管理員可據(jù)此管理Hyper-V服務(wù)器和虛擬機(jī)以保證Hyper-V環(huán)境安全運(yùn)行。

在Server Core上安裝Hyper-V角色

作為安全最佳實(shí)踐，記住，要在Server Core操作系統(tǒng)上安裝Hyper-V角色，而不是使用完整版本的Windows操作系統(tǒng)。因?yàn)镾erver Coer沒有GUI，因此將攻擊面降到了最低；沒有Hyper-V管理客戶端文件，奸商了文件攻擊面。在Hyper-V物理服務(wù)器上使用Server Core主要有下面三大安全優(yōu)勢：

• 最小化管理操作系統(tǒng)的攻擊面。
• 減少電腦痕跡。
• 改善了系統(tǒng)運(yùn)行時(shí)間，因?yàn)橛懈俚慕M件需要Windows更新。

Hyper-V服務(wù)的登錄憑證

千萬不要改變Hyper-V服務(wù)器的默認(rèn)安全上下文。報(bào)警可能會(huì)導(dǎo)致Hyper-V停止運(yùn)行。改變Hyper-V服務(wù)器的上下文還可能允許其他人控制整個(gè)hypervisor。

阻止不必要的端口

Hyper-V服務(wù)器上的其他角色/服務(wù)不需要實(shí)現(xiàn)。安裝客戶端/服務(wù)器應(yīng)用將導(dǎo)致靜態(tài)端口監(jiān)聽。時(shí)常檢查Hyper-V服務(wù)器上的端口監(jiān)聽，并按需阻止。

Hyper-V默認(rèn)配置

在生產(chǎn)環(huán)境中部署前，一定要檢查Hyper-V的默認(rèn)配置。默認(rèn)情況下，Hyper-V將虛擬機(jī)文件存儲(chǔ)在本地驅(qū)動(dòng)器上。

在父分區(qū)上使用BitLocker加密

BitLocker是內(nèi)置在Windows操作系統(tǒng)中的，建議對(duì)Hyper-V和虛擬機(jī)文件的存儲(chǔ)卷啟用BitLocker。即使在服務(wù)器關(guān)閉后，BitLocker保護(hù)仍有效。

即使磁盤被偷，上面的數(shù)據(jù)仍受保護(hù)。BitLocker還能防止攻擊者使用不同的操作系統(tǒng)或運(yùn)行軟件黑客攻擊來訪問磁盤內(nèi)容。

注意：只在Hyper-V管理操作系統(tǒng)中使用BitLocker驅(qū)動(dòng)器加密。不要在虛擬機(jī)上運(yùn)行BitLocker驅(qū)動(dòng)器加密。BitLocker驅(qū)動(dòng)器加密是不受虛擬機(jī)支持的。

不要使用內(nèi)置管理員帳戶

不應(yīng)該使用默認(rèn)的本地管理員賬戶來管理Hyper-V和虛擬機(jī)。相反，創(chuàng)建新的活動(dòng)目錄組，使用授權(quán)管理器管理虛擬機(jī)任務(wù)。

在Hyper-V服務(wù)器上安裝反病毒軟件

安裝殺毒軟件捕獲Hyper-V服務(wù)器上的惡意活動(dòng)。還必須配置防病毒工具定期接收更新。

安裝最新的集成組件

集成組件提供VMBUS和VSP/VSC，確保虛擬機(jī)和hypervisor之間的通信安全。每次Hyper-V發(fā)布都會(huì)帶來最新的集成組件。你需要做的是從微軟網(wǎng)站上下載最新的集成組件并更新所有的虛擬機(jī)。

不要在Hyper-V父分區(qū)上安裝應(yīng)用

千萬不要在Hyper-V服務(wù)器上安裝應(yīng)用程序。Hyper-V服務(wù)器只用來支持Hyper-V活動(dòng)。在Hyper-V服務(wù)器上安裝不必要的應(yīng)用會(huì)影響Hyper-V進(jìn)程，產(chǎn)生安全威脅。

保護(hù)Hyper-V和虛擬機(jī)文件

你必須保護(hù)Hyper-V和虛擬機(jī)文件。因?yàn)樘摂M機(jī)內(nèi)容存儲(chǔ)在VHD文件中，任何訪問該VHD文件的人都能掛載VHD文件并訪問其內(nèi)容。

斷開沒在使用的虛擬機(jī)

在部署虛擬機(jī)時(shí)，避免為其分配非真正的業(yè)務(wù)功能。如果你安裝了這類虛擬機(jī)，并且其他虛擬機(jī)共同連到某個(gè)Hyper-V虛擬交換機(jī)上，你必須將其斷開。任何訪問非功能性虛擬機(jī)的人可以通過網(wǎng)絡(luò)或其他方式對(duì)生產(chǎn)環(huán)境進(jìn)行訪問。

啟用Windows防火墻，阻止不必要的防火墻規(guī)則

在Windows服務(wù)器上啟用Hyper-V角色時(shí)，服務(wù)器管理器還將啟用所需的Hyper-V防火墻規(guī)則來保護(hù)通信安全。你必須確保Hyper-V服務(wù)器上沒有啟用其他的防火墻規(guī)則。檢查Hyper-V服務(wù)器上的Windows防火墻，阻止不必要的防火請規(guī)則。

保護(hù)快照/關(guān)卡文件安全

快照是某個(gè)“時(shí)間點(diǎn)”的虛擬機(jī)狀態(tài)。建議將你所創(chuàng)建的所有快照/關(guān)卡文件與其相關(guān)的VHD文件存儲(chǔ)在一個(gè)安全的位置。

加強(qiáng)虛擬機(jī)操作系統(tǒng)

你必須從基本操作系統(tǒng)映像模板部署虛擬機(jī)，這樣你就可以確保所有虛擬機(jī)部署的安全基線。你還必須確保在操作系統(tǒng)中安裝了防病毒產(chǎn)品，另外禁用任何不必要的組件。

啟用審計(jì)

文件系統(tǒng)安全可防止對(duì)關(guān)鍵虛擬機(jī)VHD文件的非法訪問。啟用對(duì)象訪問審計(jì)可以幫助檢查潛在的危險(xiǎn)活動(dòng)。