Red Hat Training

A Red Hat training course is available for RHEL 8

15.10. Windows 仮想マシンでの拡張ハードウェアセキュリティーの有効化

Windows 仮想マシンをさらにセキュアにするために、コード整合性の仮想化ベースの保護 (HVCI (Hypervisor-Protected Code Integrity) とも呼ばれます) を有効にできます。

前提条件

手順

  1. Windows VM の XML 設定を開きます。次の例では、Example-L1 VM の設定を開きます。

    # virsh edit Example-L1
  2. <cpu> セクションで、CPU モードを指定し、ポリシーフラグを追加します。

    重要
    • Intel CPU の場合は、vmx ポリシーフラグを有効にします。
    • AMD CPU の場合は、svm ポリシーフラグを有効にします。
    • カスタム CPU を指定したくない場合は、<cpu mode>host-passthrough として設定できます。
    <cpu mode='custom' match='exact' check='partial'>
        <model fallback='allow'>Skylake-Client-IBRS</model>
        <topology sockets='1' dies='1' cores='4' threads='1'/>
        <feature policy='require' name='vmx'/>
    </cpu>
  3. XML 設定を保存し、仮想マシンを再起動します。
  4. 仮想マシンオペレーティングシステムで、Core isolation details ページに移動します。

    Settings > Update & Security > Windows Security > Device Security > Core isolation details

  5. スイッチを切り替えて、メモリーの整合性 を有効にします。
  6. 仮想マシンを再起動します。
注記

HVCI を有効にするその他の方法は、関連する Microsoft ドキュメントを参照してください。

検証

  • Windows 仮想マシンの デバイスのセキュリティー ページに、以下のメッセージが表示されていることを確認します。

    Settings > Update & Security > Windows Security > Device Security

    Your device meets the requirements for enhanced hardware security.
  • または、Windows 仮想マシンのシステム情報を確認します。

    1. コマンドプロンプトで msinfo32.exe を実行します。
    2. Virtualization-based security Services Running の下に Credential Guard, Hypervisor enforced Code Integrity がリスト表示されているかどうかを確認します。