Hyper-V是微软提出的一种系统管理程序虚拟化技术，该技术的设计目的是为更为广泛的用户提供更加熟悉的、成本效益更高的虚拟化基础设施软件。

和之前的Virtual PC、Virtual Server类似，Hyper-V也是微软的一种虚拟化技术解决方案，但相比于之前的解决方案，该方案在各方面都取得了突飞猛进的发展，从架构上来讲只有"硬件－Hyper-V－虚拟机"三层，而且Hyper-V本身非常小巧，代码简单，且不包含任何第三方驱动，所以安全可靠、执行效率高，能够充分利用硬件资源，使虚拟机系统性能更接近于真实系统的性能。

在新的Hyper-V中微软一直强调提出其安全性方面的优势，或许微软希望通过对安全性的阐述强调以下两点：

1、微软的Hyper-V是与众不同的；

2、微软Hyper-V的微架构相比与其它"第三方的解决方案"是有特殊安全性优势的。

的确，微软Hyper-V在微内核方面就已经显示了它所具有的极大优势。Hyper-V的微内核管理程序包含了尽可能少的代码，在Hyper-V的管理程序中，驱动程序是跑在每一个独立的分区之中的，在这里，我们并不能看不到设备驱动程序，是因为虚拟主机OS虽然在相互独立的单独分区内，但是却能够很好地通过Hypervisor直接访问硬件。

同时，Hyper-V本身内部也很少含有第三方代码，它所有的代码都是一个纯粹的微软代码，而且代码性能非常好，所以里面不存在任何BUG，所以说微软非常成功地将Hyper-V的安全隐患降到了最低。但这也只是Hyper-V安全性话题中的一部分而已，很显然，微软在保护Hyper-V上投入了更为巨大的力量，而且这些力量产生了更为有效的作用，Hyper-V具有了其他任何同类产品无法比拟的安全性，特别是在与Windows Server紧密结合之后，其安全性又得到了极大的提高。而所有这一切也成了微软与VMware、Xen Source这些第三方解决方案抗衡的重要砝码。

另外，我们知道微软Hyper-V的前身来自于Virtual Server，这是一个建立在Ring0内核模式和Ring3用户模式下的传统模式。宿主机的Windows和驱动程序及VS底层驱动都是在Ring0下，Virtual Server则是在Windows Server上的，它通过IIS来进行管理，与内核进行通信。但是，对于虚拟机来讲，其Virtual Server则是运行于一个高于Windows的Ring1虚拟内核模式上，特权低于Ring0，高于Ring3--问题在于很多特权指令很可能不能够在Ring1上得到完善的支持，当然，我记得微软好像也有一种二进制指令翻译的技术对此进行处理，但是这毕竟不是一个最"根本"的解决途径。

在Hyper-V中，不再有宿主机和虚拟机之分，微软带来的新概念是：父分区和子分区。先在硬件底层安装Hypervisor，然后在虚拟机上划分多个分区。虽然父分区和子分区可以对应之前的宿主机和虚拟机，但是它们基本上拥有了平等的地位，它们的内核都是运行在Ring0上，应用程序运行在Ring3用户模式上。与VS最大的不同是，虚拟机的内核不再运行在Ring1之中，Hypervisor则运行在更底层上，大致是运行在CPU上的一个层上，从图中我们可以看到，微软虚拟化的功能和结构已经大大复杂化和体系化。

其次，微软Hyper-V的安全因素还包括其完善的隔离机制，微软Hyper-V所有的虚拟化设备之间都不是经过共享的，每一个Parent Partition与Child Partition之间的VMbus调用全部都是经过隔离的。不管是网络，还是硬盘，还是其他的设备，每台主机之间都是经过隔离的子分区。每一个虚拟机之间都是通通看不到对方的（在你没有设置任何共享的情况下）。所以在这样的条件下，每个安全应用都能各自独立而安全的运行。

通过以上的解释，我们对Hyper-V的架构有了一定的了解--从第三方的结构上来看，Hypervisor有两点安全性值得我们注意：

第一，其不能满足深度防御体系--这一点也是微软一致推崇的；第二，Hypervisor直接运行在硬件上，这就导致了特权的最大化，其风险可想而知，Hyper-V既然是基于Hypervisor技术的，也就面临着同样的问题。对于这两个方面的问题，微软的解决办法是：在Hyper-V中只做内存管理和CPU调度，其他的设备通过关键的VMbus--这是一种穿越机制，通过VMbus进入Ring0进行转接，从而构建了一个微软Hyper-V的三层架构（当然，就是那个深度防御体系）：调度CPU管理内存的Hypervisor层、存储/网络堆栈和驱动运行的Ring0层以及Ring3层之中的虚拟设备/管理用API/虚拟机。

不知道有没有人注意到：VMbus是其中的一个安全性核心，它负责了那些可能会出现问题的命令和代码的执行--基于VMbus的高速内存总线架构是其安全性实现超越的主要贡献者，每台虚拟机之间隔离的VMbus调用保证了每个分区、每个虚拟机之间完全的隔离开（或许我们可以说是"类物理机"）。

当然，这并不是全部内容，微软的工程师曾经提到过有关Hpyer-V安全加固部分的内容：

首先，Hypervisor拥有自己的地址空间，它与Guest的地址空间隔离；其次，Hypervisor可以运行在Windows Server 2008的Server Core上，这是一个仅仅支持命令行接口的、最精简的Windows Server，也是一个没有GUI Shell但是可以运行GUI程序的诡异系统。还有一点是，利用Server Core安装Hyper-V的好处很明显：去掉GUI Shell后，它的性能更好了。同时，代码量越小，系统需要补丁的几率也就越小--我觉得这点是最关键的，谁都知道，微软的Windows绝对是补丁大王。

补：需要说明的是，目前，子分区仍然要通过父分区来访问硬件资源，当子分区内的操作系统需要访问硬件的时候，由子分区内的VSC(Virtualization Service Client)通过VMBUS将request发给父分区里的VSP(Virtualization Service Provider)，然后由VSP提供实际的硬件服务。通过这种方式来使用硬件，相对于使用了硬件模拟的方法，其访问性能就有了大幅度的提高。

Hyper-V的安全特点还体现在很多方面，希望大家在实际使用中，能有更好的体验。