Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Hyper-V virtuella datorer i generation 2 tillhandahåller robusta säkerhetsfunktioner som är utformade för att skydda känsliga data och förhindra obehörig åtkomst eller manipulering. I den här artikeln beskrivs de säkerhetsinställningar som är tillgängliga i Hyper-V Manager för virtuella datorer i generation 2 och visar hur du konfigurerar dem. Lär dig hur de här funktionerna kan hjälpa dig att skydda dina virtuella datorer mot hot och säkerställa efterlevnad av bästa praxis för säkerhet.
De tillgängliga säkerhetsfunktionerna för virtuella datorer i generation 2 i Hyper-V omfattar:
- Secure Boot
- Krypteringsstöd för TPM (Trusted Platform Module), direktmigrering och sparat tillstånd.
- Avskärmade virtuella datorer.
- Värdskyddstjänst (HGS).
Dessa säkerhetsfunktioner är utformade för att skydda data och tillstånd för en virtuell dator. Du kan skydda virtuella datorer från inspektion, stöld och manipulering från både skadlig kod som kan köras på värden och datacenteradministratörer. Vilken säkerhetsnivå du får beror på vilken värdmaskinvara du kör, genereringen av den virtuella datorn och om du konfigurerar den tillhörande värdskyddstjänsten (HGS) som tillåter värdar att starta avskärmade virtuella datorer.
Tjänsten Host Guardian Service introducerades först i Windows Server 2016. Den identifierar legitima Hyper-V värdar och gör att de kan köra en uppsättning avskärmade virtuella datorer. Du skulle oftast aktivera Tjänsten Värdskydd för ett datacenter, men du kan också skapa en avskärmad virtuell dator för att köra den lokalt utan att konfigurera Tjänsten Värdskydd. Du kan senare distribuera den skyddade virtuella maskinen till värdtjänstens skyddstjänst.
Information om hur du kan göra dina virtuella datorer säkrare med tjänsten Värdskydd finns i Skyddad infrastruktur och avskärmade virtuella datorer och Skydda infrastrukturen: Skydda hyresgästs hemligheter i Hyper-V (Ignite-video).
Säker Boot
Säker start är en funktion som är tillgänglig med virtuella datorer i generation 2 som förhindrar att obehörig inbyggd programvara, operativsystem eller UEFI-drivrutiner (Unified Extensible Firmware Interface) (även kallade alternativ-ROM) körs vid start. Säker start är aktiverat som standard. Du kan använda säker start med virtuella datorer av andra generationen som kör Windows- eller Linux-distributionsoperativsystem.
Det finns tre olika mallar tillgängliga, beroende på den virtuella datorns operativsystem och konfiguration. I följande tabell visas var och en av dessa mallar och refererar till de certifikat som du behöver för att verifiera startprocessens integritet:
| Mallnamn | Compatibility |
|---|---|
| Microsoft Windows | Windows-operativsystem. |
| Microsoft UEFI-certifikatutfärdare | Linux-distributionsoperativsystem. |
| Avskärmad virtuell dator med öppen källkod | Linux-baserade avskärmade virtuella datorer. |
Stöd för kryptering
Hyper-V virtuella datorer i generation 2 erbjuder robusta krypteringsfunktioner som ger flera skyddslager för din virtualiserade infrastruktur. Krypteringsstödet omfattar tre viktiga områden: TPM-funktioner (Trusted Platform Module), direktmigreringsnätverkstrafik och sparade tillståndsdata. Dessa säkerhetsfunktioner fungerar tillsammans för att skapa ett omfattande skydd mot obehörig åtkomst och dataintrång, vilket säkerställer att känslig information förblir skyddad både i vila och under överföring.
Den virtualiserade TPM-funktionen (vTPM) representerar ett betydande framsteg i vm-säkerhetsarkitekturen. Genom att lägga till en vTPM på den virtuella datorn i generation 2 gör du det möjligt för gästoperativsystemet att använda maskinvarubaserade säkerhetsfunktioner som liknar de funktioner som är tillgängliga på fysiska datorer. Med det här virtualiserade säkerhetschipet kan gästoperativsystemet kryptera hela den virtuella datordisken med bitLocker-diskkryptering, vilket skapar ett extra skyddslager mot obehörig åtkomst. VTPM kan också stödja andra säkerhetstekniker som behöver en TPM, vilket gör den till en viktig komponent för företagsmiljöer som kräver strikt efterlevnad av säkerhetsstandarder och föreskrifter.
Du kan migrera en virtuell dator med virtuell TPM aktiverat till alla värdar som kör en version av Windows Server eller Windows som stöds. Om du migrerar den till en annan värd kanske du inte kan starta den. Du måste uppdatera nyckelskyddet för den virtuella datorn för att den nya värden ska kunna köra den virtuella datorn. Mer information finns i Skyddade infrastrukturresurser och avskärmade virtuella datorer och systemkrav för Hyper-V på Windows Server.
Säkerhetsprincip i Hyper-V Manager
Avskärmade virtuella datorer representerar den högsta säkerhetsnivån som är tillgänglig för Hyper-V virtuella datorer i generation 2, vilket ger omfattande skydd mot både externa hot och privilegierade åtkomstattacker. När du aktiverar avskärmning på en virtuell dator skapar du en härdad miljö som krypterar den virtuella datorns tillstånd och migreringstrafik samtidigt som den administrativa åtkomsten till kritiska VM-funktioner begränsas. Det här skyddet sträcker sig utöver traditionella säkerhetsåtgärder genom att förhindra att även datacenteradministratörer och skadlig kod på värdnivå får åtkomst till den virtuella datorns minne, sparade tillstånd eller nätverkstrafik under direktmigreringsåtgärder.
Avskärmningsfunktionen tillämpar automatiskt flera säkerhetskrav, inklusive säker start, TPM-aktivering och kryptering av sparat tillstånd och migreringstrafik. Dessutom inaktiverar skärmade virtuella datorer vissa hanteringsfunktioner, till exempel konsolanslutningar, PowerShell Direct och specifika integreringskomponenter som angripare potentiellt kan utnyttja. Den här metoden skapar en försvarsdjup säkerhetsmodell där den virtuella datorn blir effektivt ogenomskinlig för värdsystemet, vilket säkerställer att känsliga arbetsbelastningar förblir skyddade även i komprometterade värdmiljöer. Organisationer kan distribuera avskärmade virtuella datorer med Host Guardian Service för implementeringar i företagsskala eller köra dem lokalt för ökad säkerhet i mindre distributioner.
Du kan köra den avskärmade virtuella datorn lokalt utan att konfigurera en värdskyddstjänst. Om du migrerar den till en annan värd kanske du inte kan starta den. Du måste uppdatera nyckelskyddet för den virtuella datorn för att den nya värden ska kunna köra den virtuella datorn. För mer information, se Skyddat nätverk och skyddade virtuella datorer.
Relaterat innehåll
Mer information finns i följande artiklar: