19.10. Activation d'une sécurité matérielle renforcée sur les machines virtuelles Windows
Pour sécuriser davantage les machines virtuelles Windows (VM), vous pouvez activer la protection de l'intégrité du code basée sur la virtualisation, également connue sous le nom d'intégrité du code protégée par l'hyperviseur (HVCI).
Conditions préalables
- Assurez-vous que la sécurité matérielle standard est activée. Pour plus d'informations, voir Activation de la sécurité matérielle standard sur les machines virtuelles Windows.
- Assurez-vous d'avoir activé les extensions Hyper-V. Pour plus d'informations, voir Activation des améliorations Hyper-V.
Procédure
Ouvrez la configuration XML de la VM Windows. L'exemple suivant ouvre la configuration de la VM Example-L1:
# virsh edit Example-L1
Dans la section
<cpu>
, spécifiez le mode CPU et ajoutez l'indicateur de politique.Important-
Pour les processeurs Intel, activez l'indicateur de politique
vmx
. -
Pour les processeurs AMD, activez l'indicateur de politique
svm
. -
Si vous ne souhaitez pas spécifier une unité centrale personnalisée, vous pouvez définir l'adresse
<cpu mode>
commehost-passthrough
.
<cpu mode='custom' match='exact' check='partial'> <model fallback='allow'>Skylake-Client-IBRS</model> <topology sockets='1' dies='1' cores='4' threads='1'/> <feature policy='require' name='vmx'/> </cpu>
-
Pour les processeurs Intel, activez l'indicateur de politique
- Enregistrez la configuration XML et redémarrez la VM.
Sur le système d'exploitation des VM, accédez à la page Core isolation details:
Settings > Update & Security > Windows Security > Device Security > Core isolation details
- Basculer l'interrupteur pour activer Memory Integrity.
- Redémarrez la VM.
Pour d'autres méthodes d'activation de HVCI, voir la documentation Microsoft correspondante.
Vérification
Assurez-vous que la page Device Security de votre VM Windows affiche le message suivant :
Settings > Update & Security > Windows Security > Device Security
Your device meets the requirements for enhanced hardware security.
Vous pouvez également consulter les informations système relatives à la VM Windows :
-
Exécutez
msinfo32.exe
dans une invite de commande. - Vérifiez si Credential Guard, Hypervisor enforced Code Integrity figure sous Virtualization-based security Services Running.
-
Exécutez