20.4. Windows 가상 머신에서 향상된 하드웨어 보안 활성화
Windows VM(Windows 가상 머신)을 보다 안전하게 보호하려면 HVCI(하이퍼바이저 보호 코드 무결성)라고도 하는 코드 무결성의 가상화 기반 보호를 활성화할 수 있습니다.
사전 요구 사항
- 표준 하드웨어 보안이 활성화되어 있는지 확인합니다. 자세한 내용은 Windows 가상 머신에서 표준 하드웨어 보안 활성화를 참조하십시오.
- Hyper-V 시행을 활성화했는지 확인합니다. 자세한 내용은 Enabling Hyper-V Enlightenments를 참조하십시오.
절차
Windows VM의 XML 구성을 엽니다. 다음 예제에서는 Example-L1 VM의 구성을 엽니다.
# virsh edit Example-L1<
;cpu> 섹션에서 CPU 모드를 지정하고 정책 플래그를 추가합니다.중요-
Intel CPU의 경우
vmx정책 플래그를 활성화합니다. -
AMD CPU의 경우
svm정책 플래그를 활성화합니다. -
사용자 정의 CPU를 지정하지 않으려면 <
cpu mode>를host-passthrough로 설정할 수 있습니다.
<cpu mode='custom' match='exact' check='partial'> <model fallback='allow'>Skylake-Client-IBRS</model> <topology sockets='1' dies='1' cores='4' threads='1'/> <feature policy='require' name='vmx'/> </cpu>-
Intel CPU의 경우
- XML 구성을 저장하고 VM을 재부팅합니다.
VM 운영 체제에서 코어 격리 세부 정보 페이지로 이동합니다.
설정 > 업데이트 및 보안 > Windows 보안 > 장치 보안 > 핵심 격리 세부 정보
- 스위치를 전환하여 메모리 무결성을 활성화합니다.
- VM을 재부팅합니다.
참고
HVCI를 활성화하는 다른 방법은 관련 Microsoft 문서를 참조하십시오.
검증
Windows VM의 장치 보안 페이지에 다음 메시지가 표시되는지 확인합니다.
설정 > 업데이트 및 보안 > Windows 보안 > 장치 보안
Your device meets the requirements for enhanced hardware security.또는 Windows VM의 시스템 정보를 확인합니다.
-
명령 프롬프트에서
msinfo32.exe를 실행합니다. - Credential Guard를 확인하고, Hypervisor 강제 코드 무결성 이 가상화 기반 보안 서비스 실행 아래에 나열되어 있는지 확인합니다.
-
명령 프롬프트에서
