Bảo mật & Hardening Hyper-V / Cluster
Host Hyper-V nắm toàn bộ VM — bảo vệ host = bảo vệ cả hạ tầng. Hardening theo 5 lớp:
1 · Hardening Host
- Cài bản Server Core (ít bề mặt tấn công) cho host production
- Chỉ cài role cần thiết; không lướt web/email trên host
- Bật Windows Defender + loại trừ đúng đường dẫn VM/CSV
- Bật firewall, giới hạn RDP/WinRM theo IP quản trị
- Secured-core server (TPM 2.0, DRTM, HVCI) nếu phần cứng hỗ trợ
2 · Bảo vệ VM
- VM Gen2 + Secure Boot + vTPM
- Shielded VM + Host Guardian Service (HGS): chặn cả admin host độc đọc VM
- BitLocker mã hoá ổ host & CSV
- Credential Guard bảo vệ thông tin đăng nhập
3 · Phân quyền (RBAC)
- Dùng nhóm Hyper-V Administrators, không cấp Domain Admin
- JEA (Just Enough Administration) cho thao tác hạn chế
- Mô hình admin tier 0/1/2; tài khoản riêng cho quản trị
4 · Bảo mật mạng VM
- MAC spoofing OFF, DHCP Guard, Router Guard ON
- Port ACL + VLAN cô lập từng nhóm VM
- Tách mạng: Mgmt / Storage / Live Migration / VM riêng
5 · Bảo mật cụm & di chuyển
Checklist tối thiểu: Server Core · Defender + exclusions · firewall + RDP hạn chế · VM Gen2 + Secure Boot · BitLocker · Hyper-V Admins (không Domain Admin) · MAC spoofing off · Kerberos LM · CAU patching.
Cấu hình bảo mật chi tiết — từng bước
Hướng dẫn cụ thể cho người mới: từng mục A–H kèm lệnh PowerShell thực thi trực tiếp. Áp dụng dần từ cơ bản đến nâng cao trên node H-NODE01/H-NODE02, domain hyperlab.local (HYPERLAB), cụm HV-CLUSTER.
A · Giảm bề mặt tấn công host
Dùng Server Core, gỡ feature thừa, tắt giao thức cũ, và loại trừ Defender đúng đường dẫn/tiến trình Hyper-V để tránh quét nhầm gây hỏng VM.
B · Credential Guard + VBS (chống trộm thông tin đăng nhập)
Bật bảo mật dựa trên ảo hoá (VBS) + Credential Guard trên host để bảo vệ thông tin đăng nhập khỏi bị trích xuất.
Cách GUI: gpedit.msc → Computer Configuration → Administrative Templates → System → Device Guard → "Turn On Virtualization Based Security" → Credential Guard: "Enabled with UEFI lock".
C · BitLocker mã hoá ổ host & CSV (advanced)
Mã hoá ổ đĩa host và CSV để bảo vệ dữ liệu VM khi ổ bị đánh cắp vật lý.
BitLocker trên CSV là nâng cao — cần TPM/recovery key lưu nơi an toàn; thử ở lab trước.
D · Shielded VM + Host Guardian Service (HGS) (advanced)
Bảo vệ VM khỏi cả admin host độc hại; cần 1 server HGS riêng làm cơ quan chứng thực & giữ khoá.
Sau đó tạo VM Gen2 + vTPM và áp shielding data (.pdk). Đây là tính năng nâng cao cho môi trường bảo mật cao.
E · Bảo mật mạng cho VM (Port ACL + VLAN)
Dùng Port ACL chặn lưu lượng ngoài ý muốn và VLAN cô lập card mạng VM theo từng phân vùng.
F · JEA — uỷ quyền tối thiểu (vận hành không cần full admin)
Cấu hình JEA để operator chỉ chạy được vài lệnh VM qua virtual account, không cần quyền admin đầy đủ.
G · Hạn chế truy cập quản trị (RDP/WinRM theo subnet)
Chỉ cho phép RDP/WinRM từ subnet quản lý, giảm rủi ro truy cập trái phép từ mạng khác.
H · Mã hoá Live Migration & lưu trữ
Dùng Kerberos cho Live Migration và bật mã hoá SMB cho lưu trữ để bảo vệ dữ liệu trên đường truyền.
Áp dụng theo mức độ: A–B–E–G–H là cơ bản nên làm; C, D, F là nâng cao cho môi trường yêu cầu bảo mật cao.
🧪 LAB thực hành — Hardening 1 VM & uỷ quyền
Mục tiêu: siết bảo mật cho VM-Lab01 + host H-NODE01: bật vTPM, khoá vNIC, mã hoá Live Migration bằng Kerberos, uỷ quyền vận hành không cần Domain Admin.
Bật vTPM (VM Gen2) — mã hoá & sẵn sàng Shielded
Cách GUI: Hyper-V Manager → chuột phải VM-Lab01 → Settings → Security → tick "Enable Trusted Platform Module" và "Enable Secure Boot".
Khoá bảo mật card mạng VM
Cách GUI: VM Settings → Network Adapter → Advanced Features → bỏ tick "Enable MAC address spoofing"; tick "Enable DHCP guard" và "Enable router advertisement guard".
Mã hoá Live Migration bằng Kerberos (cả 2 host)
Cách GUI: Hyper-V Manager → Hyper-V Settings… → Live Migrations → Advanced Features → Authentication protocol: chọn "Use Kerberos". Làm trên cả 2 host.
Uỷ quyền vận hành — KHÔNG dùng Domain Admin
Cách GUI: mở lusrmgr.msc (hoặc Computer Management → Local Users and Groups) → Groups → "Hyper-V Administrators" → Add → HYPERLAB\op.hyperv (KHÔNG dùng Domain Admin).
Kiểm chứng: Get-VMSecurity -VMName VM-Lab01 → TpmEnabled = True; Get-VMNetworkAdapter -VMName VM-Lab01 | fl MacAddressSpoofing,DhcpGuard,RouterGuard đúng như cấu hình.