Virtualisierungsbasierte Sicherheit – Empfohlene Vorgehensweisen

Befolgen Sie die empfohlenen Vorgehensweisen für virtualisierungsbasierte Sicherheit (VBS), um Sicherheit und Handhabbarkeit Ihrer Windows-Gastbetriebssystemumgebung zu maximieren.

Vermeiden Sie Probleme, indem Sie diese empfohlenen Vorgehensweisen befolgen.

VBS-Hardware

Verwenden Sie folgende Hardware für VBS:

Intel
- Haswell-CPU oder höher. Verwenden Sie für eine optimale Leistung die Skylake-EP-CPU oder höher.
- Die Ivy-Bridge-CPU ist akzeptabel.
- Die Sandy-Bridge-CPU kann die Leistung beeinträchtigen.
AMD
- CPUs der Zen 2-Serie (Rome) oder höher.
- Ältere CPUs können die Leistung beeinträchtigen.

Die Risikominderungen für die Schwachstelle „Machine Check Exception on Page Size Change Intel CPU“ können sich negativ auf die Leistung des Gastbetriebssystems auswirken, wenn VBS verwendet wird. Weitere Informationen finden Sie im VMware Knowledge Base-Artikel unter https://kb.vmware.com/kb/76050.

Kompatibilität des Windows-Gastbetriebssystems

Auf Intel wird VBS für virtuelle Maschinen unter Windows 10, Windows Server 2016 und höher unterstützt. Für die Windows Server 2016-Versionen 1607 und 1703 sind jedoch Patches erforderlich. In der Microsoft-Dokumentation finden Sie Informationen zur Hardwarekompatibilität der ESXi-Hosts. Die Verwendung von Intel-CPUs für VBS erfordert vSphere 6.7 oder höher und Hardwareversion 14.

Auf AMD wird VBS auf virtuellen Maschinen mit Windows 10, Version 1809 und Windows 2019 und höher unterstützt. Die Verwendung von AMD-CPUs für VBS erfordert vSphere 7.0 Update 2 oder höher und Hardwareversion 19.

Anfänglich war für Windows 10 erforderlich, dass Sie Hyper-V für VBS aktivieren. Die Aktivierung von Hyper-V ist für Windows 10 nicht mehr erforderlich. Dasselbe gilt für Windows Server 2016 und höher. Weitere Informationen finden Sie in der aktuellen Microsoft-Dokumentation und in den VMware vSphere-Versionshinweisen .

Nicht unterstützte VMware-Funktionen auf VBS

Die folgenden Funktionen werden bei aktivierter VBS auf einer virtuellen Maschine nicht unterstützt:

Fault Tolerance
PCI-Passthrough
CPU oder Arbeitsspeicher im laufenden Betrieb hinzufügen

Installations- und Upgrade-Einschränkungen mit VBS

Vor der Konfiguration von VBS müssen Sie sich mit den folgenden Einschränkungen hinsichtlich Installation und Aktualisierung vertraut machen:

Neue virtuelle Maschinen, die in niedrigeren virtuellen Hardwareversionen als Version 14 für Windows 10 und Windows Server 2016 und höher konfiguriert werden, werden standardmäßig mit dem Legacy-BIOS erstellt. Sie müssen das Gastbetriebssystem neu installieren, nachdem Sie den Firmware-Typ der virtuellen Maschine von Legacy-BIOS in UEFI geändert haben.
Wenn Sie Ihre virtuellen Maschinen von vorherigen vSphere-Versionen zu vSphere 6.7 oder höher migrieren und VBS auf den virtuellen Maschinen aktivieren möchten, verwenden Sie UEFI, um eine Neuinstallation des Betriebssystems zu vermeiden.