Windows Server 2016 中的 Hyper-V 安全性

管理员帐户在虚拟环境中的工作方式与在物理环境中的工作方式不同。特别是，在物理环境中，存储管理员、网络管理员、备份操作员和虚拟化主机管理员等管理角色的权限有限或隔离。相反，在虚拟基础架构中，每个具有管理物理基础架构权限的角色可能对虚拟基础架构具有不适当的访问级别。

您可以通过使用受保护的结构来降低这种风险。受保护的结构是一个统称，用于描述 Microsoft Hyper-V 主机及其可管理和运行受保护的虚拟机 (VM) 的主机保护服务 (HGS) 的结构。

防护织物

在 Windows Server 2016 中，Microsoft 引入了改进的 Hyper-V 安全模型，旨在帮助保护主机及其虚拟机免受其中可能存在的恶意软件的侵害。由于虚拟机只是一个文件，因此在备份时需要保护它免受来自存储系统或网络的攻击。

受保护的结构可以运行三种类型的虚拟机：

• 普通虚拟机不提供比早期版本的 Hyper-V 更高的保护
• 支持加密的虚拟机，其保护可由结构管理员配置
• 受防护的虚拟机，其保护功能已打开且无法由结构管理员禁用

主机监护服务

HGS 是防护织物解决方案的核心。它负责确保架构中的 Hyper-V 主机为托管者或企业所知并运行受信任的软件。

具体来说，HGS 是 Windows Server 2016 中引入的新服务器角色，它提供证明服务和密钥保护服务 (KPS)，使 Hyper-V 能够运行受防护的虚拟机。一旦证明服务肯定地验证了 Hyper-V 主机的身份和配置，该主机就会成为受保护的主机。 KPS 提供解锁和运行受防护的虚拟机所需的传输密钥。

HGS 支持受保护结构的两种不同的证明模式：

• 管理员信任的证明（基于 Active Directory）。管理员信任的证明旨在支持 TPM 2.0 不可用的现有主机硬件。它需要相对较少的配置步骤，并且与常见的服务器硬件兼容。
• TPM 可信证明（基于硬件）。TPM 可信证明提供尽可能最强的保护，但也需要更多配置步骤。主机的硬件和固件必须包含启用了安全启动的 TPM 2.0 和 UEFI 2.3.1。

受防护的虚拟机

为了帮助保护结构免受损害，带有 Hyper-V 的 Windows Server 2016 引入了受防护的虚拟机。受防护的 VM 是具有虚拟 TPM 的第 2 代 VM，使用 BitLocker 驱动器加密进行加密，并且只能在结构中运行状况良好且经过批准的主机上运行。

HGS 管理用于启动受防护的 VM 的密钥。如果没有 HGS，Hyper-V 主机将无法启动受防护的 VM，因为它无法对其进行解密。 HGS 不会向 Hyper-V 主机提供密钥，直到该主机经过测量并被认为是健康的。

以下三个示例说明了受防护的虚拟机如何帮助防范攻击：

• 如果恶意员工窃取受防护的虚拟机的 .vhd 文件，则风险较小，因为这些文件已加密。
• HGS 不会向连接了调试器的主机释放密钥。
• 恶意员工尝试将受防护的虚拟机移动到不受信任的主机时会发现新主机将无法被识别。受信任的主机通过其 TPM 唯一的标识符添加到 HGS，即使它们移动到另一个 HGS，也受到保护。

您使用什么技术来保护您的虚拟化基础设施？

• 受防护的虚拟机
• 受保护的结构
• 我不使用 Hyper-V
• 我以不同的方式保护我的虚拟化基础设施（请在下面的评论部分分享）