21.4. Windows 仮想マシンでの拡張ハードウェアセキュリティーの有効化
Windows 仮想マシンをさらにセキュアにするために、コード整合性の仮想化ベースの保護 (HVCI (Hypervisor-Protected Code Integrity) とも呼ばれます) を有効にできます。
前提条件
- 標準のハードウェアセキュリティーが有効になっていることを確認します。詳細は、Windows 仮想マシンでの標準ハードウェアセキュリティーの有効化 を参照してください。
- Hyper-V enlightenments が有効になっていることを確認します。詳細は、Hyper-V enlightenment の有効化 を参照してください。
手順
Windows VM の XML 設定を開きます。次の例では、Example-L1 VM の設定を開きます。
# virsh edit Example-L1
<cpu>
セクションで、CPU モードを指定し、ポリシーフラグを追加します。重要-
Intel CPU の場合は、
vmx
ポリシーフラグを有効にします。 -
AMD CPU の場合は、
svm
ポリシーフラグを有効にします。 -
カスタム CPU を指定したくない場合は、
<cpu mode>
をhost-passthrough
として設定できます。
<cpu mode='custom' match='exact' check='partial'> <model fallback='allow'>Skylake-Client-IBRS</model> <topology sockets='1' dies='1' cores='4' threads='1'/> <feature policy='require' name='vmx'/> </cpu>
-
Intel CPU の場合は、
- XML 設定を保存し、仮想マシンを再起動します。
仮想マシンオペレーティングシステムで、Core isolation details ページに移動します。
Settings > Update & Security > Windows Security > Device Security > Core isolation details
- スイッチを切り替えて、メモリーの整合性 を有効にします。
- 仮想マシンを再起動します。
HVCI を有効にするその他の方法は、関連する Microsoft ドキュメントを参照してください。
検証
Windows 仮想マシンの デバイスのセキュリティー ページに、以下のメッセージが表示されていることを確認します。
Settings > Update & Security > Windows Security > Device Security
Your device meets the requirements for enhanced hardware security.
または、Windows 仮想マシンのシステム情報を確認します。
-
コマンドプロンプトで
msinfo32.exe
を実行します。 - Virtualization-based security Services Running の下に Credential Guard, Hypervisor enforced Code Integrity がリスト表示されているかどうかを確認します。
-
コマンドプロンプトで