(1).將主機與其來賓隔離

　　當構建一個虛擬服務器的時候，我們應該慎重配置網絡組件。虛擬服務器應該有足夠多的網卡，把虛擬機的網絡適當分段，但是不應該把擁有多種網絡安全性區域的不同虛擬機放置在同一臺主機上。最好的解決方法是把具有相似角色和相似安全需求的虛擬來賓放到同一臺主機上。

　　我們應該把主機的網絡從它的來賓中隔離出來，這樣只有授權用戶能夠通過可信賴的網絡訪問主機。要這樣做，最好的方法是有一塊網卡，連接到一個隔離的、專門用于管理的網絡上。但是，如果不可能做到的話，應該使用一些技術，例如VLAN、IPsec、VPN、SSL以及包過濾，來限制哪些用戶能通過網絡連接到主機。

　　當涉及到加固虛擬來賓操作系統的情況時，我們可用與加固物理計算機的相同方法。虛擬機的一個優勢是：因為它們處于一個固定的硬件環境中(虛擬化硬件驅動程序總是相同的)，所以我們可以針對使用的不同服務器角色，輕松地構造經過加固的基線模板。。但是一定要小心地保護這些模板，以防它們遭到破壞，而且要使用類似Offline Vitual Machine Servicing Tool這樣的工具給它們打上最新的補丁，使之達到最新狀態。系統加固是一項耗費時間因而經常被忽略的任務。通過使用預先加固過的操作系統模板，可以確保每個新虛擬機都滿足預先確定的基準要求。

　　正如大家所知，與虛擬機有關的最大風險是任何能夠訪問到虛擬硬盤的用戶可以安裝它們并繞過來賓操作系統的安全機制。防止這一風險的一種方法是在來賓操作系統上實施磁盤加密，至少對敏感數據加密。微軟的加密文件系統(EFS)是保護數據的一個不錯的解決方案。假如虛擬來賓系統上的數據是高度敏感的話，一些全盤加密技術，如Bitlocker也是可以采用的。

　　(2).與硬件相關的安全設置

　　我們可以對虛擬機輕松地增加或刪除硬件設備。因此，好的做法是只在必要的時候連接設備，且在用于生產時刪除它們。這一策略對于映射到主機的光驅這樣的設備尤其重要，因為來賓虛擬機也能夠訪問插入到主機光驅中的光盤。

　　另外，當我們配置虛擬機的硬件時，還應該限制處理器的使用。默認情況下，一臺虛擬機能夠使用100%的物理主機的處理器，這就意味著某人有可能對一臺虛擬機實施拒絕服務DoS)攻擊，而對該系統上的所有其它虛擬來賓都有影響。限制CPU的使用可以確保留下夠的CPU周期來保證主機和其它虛擬機繼續運行。最后，因為在Hyper-V Management Console中訪問一臺虛擬機就相當于物理地使用來賓操作系統的控制臺，所以有必要嚴格遵循所有的安全性方面的最佳策略，例如設置帶密碼保護的屏幕保護以及在計算機不使用時注銷。

    3、基于敏感虛擬機的安全措施

　　有時候我們會有一臺特別敏感的虛擬機，需要更高級別的安全性。虛擬機的一個好處是使用Hyper-V的暫停功能可以輕松地離線系統并快速回到在線狀態。比方說，一臺根證書服務器就很敏感，我們會希望只有在特定任務時才讓它處于在線狀態。

　　(1).獨立磁盤運行

　　要保護這些敏感的虛擬機，我們可以在一塊移動硬盤上運行它們。當用完這些虛擬機的時候，把磁盤取下來并嚴密保存。如果有一個大多數時候都處于離線狀態的系統，定時一定要把機器上線一次獲取最新的補丁。

　　(2).使用啟動密碼

　　在適當的時候使用啟動密碼防止未授權用戶訪問敏感的虛擬機，盡管筆者不推薦在所有系統上都這樣做。防止某人啟動一臺Windows虛擬機的一個方法，是在操作系統上設置一個syskey密碼。在開始菜單的搜索框里輸入syskey按回車鍵。這樣會打開Startup Key對話框，單擊Update，選擇Password Startup選項，設置一個密碼，然后單擊OK即可。當然，當做了安全部署后一定要更新書面安全策略。

【相關文章】

• 服務器虛擬化平臺:VMWare ESX 3.5安裝圖記

• Windows Server 2008測試：更快、更安全，唯缺虛擬化

• Windows Server 2008虛擬化功能解析