Você parece estar perguntando duas coisas aqui:
- fornecendo um meio seguro (canal) para as máquinas virtuais conversarem entre si, que outras máquinas na rede física real não podem espionar.
- usando contas de usuários com menos privilégios para autenticar as conexões entre as máquinas virtuais, para reduzir a superfície de ataque baseada em privilégios.
Para o ponto 1, na perspectiva do Hyper-V, você pode criar uma rede interna virtual ou uma rede privada e, em seguida, atribuir um segundo adaptador de rede a cada VM a essa rede. A diferença é que o primeiro tem um canal de comunicação de volta ao host (partição pai), enquanto o segundo é somente entre VMs nessa rede privada.
Para o ponto 2, se você usar uma conta de usuário SAM local no servidor Web IIS - o que parece ser o caso porque não há menção a um controlador de domínio, então presumo que eles não pertençam a nenhum domínio do AD - o mesmo conta com a mesma senha deve ser criada no servidor do SQL Server, com a conta dada as permissões apropriadas para acessar e acessar o banco de dados específico e seus objetos que se destina.
Talvez essas páginas possam ajudar