MỤC
Các quản trị viên cần phải biết được cấu hình mặc định của Hyper-V. Đầu tiên, chúng ta sẽ đề cập đến việc bảo mật các thư mục mà ở đó có chứa các máy ảo VHD
và các file cấu hình (XML).
Khi kích hoạt Hyper-V role trên Windows Server 2008 lần đầu, chương trình sẽ tạo một vài thư mục và copy nhiều file trong nó. Ở đây chúng ta cần phải biết được
location mặc định cho việc lưu các máy ảo và các file cấu hình trước khi bắt tay vào thực hiện bảo mật cho Hyper-V.
%SystemRoot%ProgramDataMicrosoftWindowsHyper-VVirtual Machines %SystemRoot%ProgramDataMicrosoftWindowsHyper-VVirtual Hard Disks
%SystemRoot%ProgramDataMicrosoftWindowsHyper-VSnapshots
Mặc định, Hyper-V sử dụng các thư mục ở trên để lưu các file cấu hình máy ảo cũng như VHD và các snapshot có liên quan đến các máy ảo. Chúng ta phải thay đổi location mặc định trước khi chuyển Hyper-V sang môi trường sản xuất. Cách tốt nhất
là nên thay đổi location mặc định cho việc lưu VHD, XML và các file Snapshot vào SAN drive.
Khi chúng ta cài đặt Hyper-V Role, một nhóm bảo mật đặc biệt mang tên "Virtual Machines" sẽ được tạo. Nhóm bảo mật này gồm có các GUID của tất cả máy
ảo đã được đăng ký với Hyper-V Server, và nó có quyền truy cập vào thư mục
Đây là thư mục lưu các file cấu hình (XML Files) của các máy ảo. Nếu nhóm bảo mật (Security Group) bị xóa hoặc không có trong tab Security của thư mục máy ảo thì chúng ta không thể truy cập vào các máy ảo đang chạy trên Hyper-V. Quá trình
VMMS.EXE chịu trách nhiệm quản lý sự truy cập cho tất cả các máy ảo, sử dụng nhóm bảo mật "Virtual Machines" để tăng sự truy cập vào các máy ảo trên Hyper-V
Server.
Mặc định, các đặc quyền bảo mật trên thư mục Hyper-V Virtual Machines như thể hiện dưới đây:
Hình 13. Cấu hình bảo mật mặc định của thư mục Virtual Machines Tối thiểu, cần giữ các nhóm bảo mật được đề cập bên dưới trong property của thư mục
SYSTEM Account -Full Control Administrators -Full Control Virtual Machines -Special Permissions
Mặc định, Hyper-V không cho phép bất cứ ai truy cập các máy ảo ngoại trừ SYSTEM Account và Local Administrators Account. Điều này hoàn toàn rõ ràng trong hình ở trên. Local Administrators Security Group được bổ sung vào kho lưu trữ
các chính sách của Authorization Manager và nó được trao quyền kiểm soát toàn bộ trên Hyper-V, gồm có cả các máy ảo đang chạy trên nó.
Các thiết lập bảo mật tương tự, được thể hiện trong hình trên, sử dụng cho thư mục Hyper-Vsnapshots.
Chú ý: Nếu chúng ta muốn không cho người dùng hoặc quản trị viên tạo các
máy ảo trên Hyper-V Server, hãy remove nhóm bảo mật đặc biệt "Virtual Machines" khỏi thư mục: Hyper-V Virtual Machines. Thư mục tiếp theo cần bảo mật trên Hyper-
V là Hyper-V Virtual Hard Disks.
Việc bảo mật thư mục này có ý nghĩa quan trọng hơn so với thư mục có chứa các file XML vì Hyper-V hỗ trợ các máy ảo dưới định dạng VHD. Các định dạng VHD này có thể được sử dụng với các phiên bản trước đây của phần mềm ảo hóa. Người dùng không thẩm định truy cập vào các file VHD đều có thể copy file VHD và
sử dụng nó với Virtual Server hoặc Virtual PC. Các thiết lập mặc định trên thư mục VHDs.
Hình 13. Cấu hình bảo mật mặc định cho thư mục VHDs
Để thắt chặt hơn vấn đề bảo mật cho thư mục có chứa VHD, chúng ta có thể remove nhóm bảo mật Users đã được thêm khi kích hoạt Hyper-V Role ban đầu. Tối
thiểu, chúng ta nên giữ các nhóm bảo mật dưới đây trong tab Security: SYSTEM - Full Control
Administrators - Full Control Authenticated Users - Read & Execute