21.4. Windows 가상 머신에서 향상된 하드웨어 보안 활성화
Windows 가상 머신(VM)을 추가로 보호하려면 HVCI(하이퍼바이저 보호 코드 무결성)라고도 하는 코드 무결성의 가상화 기반 보호를 활성화할 수 있습니다.
사전 요구 사항
- 표준 하드웨어 보안이 활성화되어 있는지 확인합니다. 자세한 내용은 Windows 가상 머신에서 표준 하드웨어 보안 활성화를 참조하십시오.
- Hyper-V를 사용하도록 설정했는지 확인합니다. 자세한 내용은 Hyper-V 항목 활성화를 참조하십시오.
프로세스
Windows VM의 XML 구성을 엽니다. 다음 예제에서는 Example-L1 VM의 구성을 엽니다.
# virsh edit Example-L1
<
;cpu&
gt; 섹션에서 CPU 모드를 지정하고 policy 플래그를 추가합니다.중요-
Intel CPU의 경우
vmx
정책 플래그를 활성화합니다. -
AMD CPU의 경우
svm
정책 플래그를 활성화합니다. -
사용자 지정 CPU를 지정하지 않으려면 <
cpu mode
>를host-passthrough
로 설정할 수 있습니다.
<cpu mode='custom' match='exact' check='partial'> <model fallback='allow'>Skylake-Client-IBRS</model> <topology sockets='1' dies='1' cores='4' threads='1'/> <feature policy='require' name='vmx'/> </cpu>
-
Intel CPU의 경우
- XML 구성을 저장하고 VM을 재부팅합니다.
VMs 운영 체제에서 코어 격리 세부 정보 페이지로 이동합니다.
설정 > 업데이트 및 보안 > Windows 보안 > 장치 보안 > 핵심 격리 세부 정보
- 스위치를 전환하여 메모리 무결성을 활성화합니다.
- VM을 재부팅합니다.
HVCI를 활성화하는 다른 방법은 관련 Microsoft 설명서를 참조하십시오.
검증
Windows VM의 장치 보안 페이지에 다음 메시지가 표시되는지 확인합니다.
설정 > 업데이트 및 보안 > Windows 보안 > 장치 보안
Your device meets the requirements for enhanced hardware security.
또는 Windows VM에 대한 시스템 정보를 확인합니다.
-
명령 프롬프트에서
msinfo32.exe
를 실행합니다. - Credential Guard, Hypervisor 적용 코드 무결성이 가상화 기반 보안 서비스 실행 목록에 나열되어 있는지 확인합니다.
-
명령 프롬프트에서