您可以在 vSphere 中创建虚拟机以使用基于虚拟化的安全性 (VBS)。使用启用了 VBS 的虚拟机可以更好地防范内部漏洞以及针对操作系统的恶意攻击。

前提条件

  • Microsoft Windows 10(64 位)或 Windows Server 2016(64 位)操作系统。
  • 熟悉虚拟机自定义配置参数。请参阅虚拟机自定义配置参数
注: 在允许虚拟机使用 VBS 时,您只能部署包含完整虚拟机或即时克隆的自动桌面池。启用 vGPU 的虚拟机不支持 VBS。在启用 VBS 的情况下,URL 重定向和扫描仪重定向可能无法正常工作。

过程

  1. 登录到 vSphere Client。
  2. 右键单击属于虚拟机的有效父对象的任何清单对象,例如数据中心、文件夹、群集、资源池或主机,然后选择新建虚拟机
  3. 选择创建新的虚拟机,然后单击下一步
  4. 按照提示指定虚拟机的自定义选项。
  5. 选择客户机操作系统页面上,选择 Windows 作为客户机操作系统,然后选择 Microsoft Windows 10(64 位)作为客户机操作系统版本。然后,选择为 Windows 启用基于虚拟化的安全性
  6. 要部署包含完整虚拟机或即时克隆的自动桌面池,请在自定义硬件页面上确认您没有添加任何可信的平台模块 (vTPM) 设备。在桌面池创建过程中,连接服务器会将 vTPM 设备添加到每个虚拟机。
  7. 按照提示完成虚拟机设置,然后单击完成以创建虚拟机。

下一步做什么

  • 在虚拟机上安装 Windows 10(64 位)或 Windows Server 2016(64 位)操作系统。
  • 在 Windows 10 1803 内部版本中,启用 VBS 组策略。有关更多信息,请参考 Microsoft 文档中的文章《启用基于虚拟化的代码完整性保护》。然后,重新引导虚拟机。
  • 对于低于 1803 的 Windows 10 版本和 Windows Server 2016,需要启用 Hyper-V 功能才能启用 VBS。要启用 Hyper-V 功能,请导航到“Windows 功能”,启用 Hyper-V > Hyper-V 平台 > Hyper-V 虚拟化管理程序。然后,启用 VBS 组策略。Hyper-V 可向虚拟机添加一个虚拟交换机,以便虚拟机可以获取其他 IP 范围内的更多 IP。在具有多个网卡的虚拟机上安装 Horizon Agent 时,必须配置 Horizon Agent 使用的子网。子网确定 Horizon Agent 提供给连接服务器实例以进行客户端协议连接的网络地址。请参阅为 Horizon Agent 配置具有多个网卡的虚拟机
  • 在 Windows Server 2016 上,启用 VBS 组策略,安装 Hyper-V 角色,然后重新引导虚拟机。