要最大程度提高 Windows 客户机操作系统环境的安全性和可管理性,请遵循基于虚拟化的安全 (VBS) 的最佳做法。
通过遵循以下最佳做法来避免出现问题。
VBS 硬件
对 VBS 使用以下 Intel 硬件:
- Haswell CPU 或更高版本为获得最佳性能,请使用 Skylake-EP CPU 或更高版本。
- 可接受 Ivy Bridge CPU。
- Sandy Bridge CPU 可能会导致性能较低。
并非所有 VBS 功能都可以在 AMD CPU 上使用。有关更多信息,请参见 VMware 知识库文章,网址为 http://kb.vmware.com/kb/54009。
Windows 客户机操作系统兼容性
Windows 10、Windows Server 2016 和 Windows Server 2019 虚拟机支持 VBS,尽管 Windows Server 2016 版本 1607 和 1703 需要修补程序。有关 ESXi 主机硬件兼容性,请参见 Microsoft 文档。
Windows 客户机操作系统 RS1、RS2 和 RS3 中的 VBS 要求在客户机操作系统中启用 HyperV。有关更多信息,请参见《VMware vSphere 发行说明》。
VBS 上不支持的 VMware 功能
启用 VBS 时,以下功能在虚拟机中不受支持:
- Fault Tolerance
- PCI 直通
- 热添加 CPU 或内存
VBS 的安装和升级限制
配置 VBS 之前,请了解以下安装和升级限制:
- 默认情况下,为低于版本 14 的硬件版本上的 Windows 10、Windows Server 2016 和 Windows Server 2019 配置的新虚拟机是使用旧版 BIOS 创建的。将虚拟机的固件类型从旧版 BIOS 更改为 UEFI 后,必须重新安装客户机操作系统。
- 如果您计划将虚拟机从以前的 vSphere 版本迁移到 vSphere 6.7 或更高版本并在虚拟机中启用 VBS,请使用 UEFI 以避免重新安装操作系统。
