16.9. Windows 仮想マシンでの標準ハードウェアセキュリティーの有効化
Windows 仮想マシンを保護するには、Windows デバイスの標準ハードウェア機能を使用して基本的なレベルのセキュリティーを有効にします。
前提条件
- 最新の WHQL 認定 VirtIO ドライバーがインストールされている。
- 仮想マシンのファームウェアが UEFI ブートに対応している。
edk2-OVMF
パッケージをホストマシンにインストールしている。# {PackageManagerCommand} install edk2-ovmf
ホストマシンに
vTPM
パッケージをインストールしている。# {PackageManagerCommand} install swtpm libtpms
- 仮想マシンが Q35 マシンアーキテクチャーを使用している。
- Windows インストールメディアを使用している。
手順
TPM 2.0 を有効にするには、仮想マシンの XML 設定の
<devices>
セクションに以下のパラメーターを追加します。<devices> [...] <tpm model='tpm-crb'> <backend type='emulator' version='2.0'/> </tpm> [...] </devices>
- UEFI モードで Windows をインストールします。詳細は、SecureBoot の仮想マシンの作成 を参照してください。
- Windows 仮想マシンに VirtIO ドライバーをインストールします。詳細は、Windows ゲストへの virtio ドライバーのインストール を参照してください。
- UEFI でセキュアブートを有効にします。詳細は、セキュアブート を参照してください。
検証
Windows マシンの デバイスのセキュリティー ページに、以下のメッセージが表示されていることを確認します。
Settings > Update & Security > Windows Security > Device Security
Your device meets the requirements for standard hardware security.