Безопасность — самое важное для ИТ-компаний в наши дни.
Прежде чем внедрять новую технологию в производственную среду, ИТ-администраторы должны рассмотреть вопросы безопасности и минимизировать угрозу атаки.
В этой статье мы обозначим 15 ключевых моментов, соблюдая которые, вы будете уверены, что ваша виртуальная среда безопасна и работает как надо.
Установка роли Hyper-V в варианте установки Server Core
По соображениям безопасности рекомендуется всегда устанавливать роль Hyper-V в варианте установки Server Core вместо использования полной версии операционной системы Windows. Отсутствие графического интерфейса в Server Core уменьшает поверхность атаки.Управляющие файлы клиента Hyper-V не устанавливаются, что снижает вероятность файловых атак.
Использование Server Core на физической машине под управлением Hyper-V обеспечивает три основных преимущества в области безопасности:
- Возможности для атак на управляющую операционную систему сведены к минимуму.
- Уменьшает цифровой след
- Система работает лучше, и меньше компонентов требуют обновления.
Учетные данные для входа в службы Hyper-V
Никогда не меняйте настройки безопасности по умолчанию для служб Hyper-V. Оповещения могут привести к прекращению работы Hyper-V. Изменение используемого контекста безопасности Hyper-V может дать любому контроль над всем гипервизором.
Блокировка ненужных портов
Нет необходимости настраивать какие-либо другие роли/службы на сервере Hyper-V. Установленные серверные приложения будут прослушивать статические порты.Всегда проверяйте порты, которые прослушивает сервер, и при необходимости блокируйте их.
Настройки Hyper-V по умолчанию
Всегда проверяйте настройки Hyper-V по умолчанию, прежде чем запускать его в производство.По умолчанию файлы виртуального сервера будут храниться локально.
Рекомендуется всегда менять место хранения на более безопасный диск.
Используйте шифрование BitLocker в родительском разделе.
Потому что BitLocker встроен в Windows, и его рекомендуется запускать на томах, где хранятся файлы Hyper-V и виртуальные серверы.
Физическая защита на основе BitLocker присутствует даже при выключенном сервере.
Данные будут защищены, даже если диск будет украден.
BitLocker защищает данные, даже если злоумышленник использует разные операционные системы, а также когда хакерское программное обеспечение используется для получения доступа к содержимому диска.
Примечание.
Используйте BitLocker только для Hyper-V. Не используйте его на виртуальных серверах, потому что.
BitLocker на них не поддерживается.
Не используйте встроенные учетные записи администратора
Не используйте учетную запись локального администратора по умолчанию для управления виртуальными машинами и Hyper-V. Вместо этого создайте новую группу управления Active Directory и используйте диспетчер авторизации, чтобы делегировать ей задачи по управлению виртуальными машинами.
Всегда устанавливайте антивирус на сервер
Установив антивирус, вы всегда будете уверены, что вредоносные действия будут перехвачены на уровне сервера Hyper-V. Также не забудьте обновить антивирус.
Всегда устанавливайте последние обновления компонентов интеграции.
Компоненты интеграции включают VMBUS и VSP/VSC, которые обеспечивают безопасное взаимодействие между виртуальными машинами и гипервизором.
Эти компоненты обновляются с каждым новым выпуском Hyper-V. Вам необходимо оперативно скачать последние версии компонентов с сайта Microsoft и обновить все виртуальные машины.
Не устанавливайте никакие приложения в родительский раздел Hyper-V.
Сервер Hyper-V следует использовать только для задач Hyper-V. Ненужные приложения на сервере могут мешать процессам Hyper-V, что может быть небезопасно.
Защитите файлы Hyper-V и файлы виртуальных машин.
Файлы Hyper-V и виртуального сервера должны быть защищены.
Поскольку эти данные хранятся в файлах VHD, любой, у кого есть доступ к файлам VHD, может смонтировать их и получить доступ к содержимому.
Отключите машины, которые не используются
Не используйте машины, которые не имеют каких-либо важных функций.Если вы запускаете какой-либо из серверов, убедитесь, что он отключен от коммутаторов Hyper-V, к которым подключены другие серверы.
Любой, у кого есть доступ к неиспользуемым серверам, может вмешаться в производственную среду через сеть или другими способами.
Всегда используйте брандмауэр и блокируйте ненужные функции.
После запуска Hyper-V на сервере Windows сервер управления предоставляет брандмауэру права, необходимые для связи Hyper-V. Убедитесь, что брандмауэру не предоставлены дополнительные права.
Предоставление снимков и контрольных точек
Снимок — это образ виртуальной машины в определенный момент времени, к которому впоследствии можно вернуть машину.Рекомендуется хранить созданные вами снимки и контрольные точки вместе со связанными с ними файлами VHD в безопасном месте.
Усиление ОС виртуальных серверов
Используйте один и тот же шаблон усиленной ОС для всех виртуальных машин, чтобы обеспечить одинаковый уровень безопасности.Также убедитесь, что ваш антивирус запущен и ненужные компоненты отключены.
Активировать аудит
Защита файловой системы может предотвратить несанкционированный доступ к файлам VHD. Включив аудит доступа к объектам, вы можете выявить потенциально вредоносные действия пользователя.Теги: #сервер Hyper-V #ОС Windows #VSP/VSC #VMBUS #Server Core
-
«Почему Я Не Катаюсь На Сапсане»
19 Oct, 24 -
Как Я Попал В 21 Школу И Раскрываем Секреты
19 Oct, 24 -
Chaos Construction 2010. Мои Впечатления
19 Oct, 24 -
3Gcamp Собрал Мобильное Сообщество
19 Oct, 24 -
[Москва] Встреча С Разработчиками Kotlin
19 Oct, 24
