Recommandations sur la sécurité basée sur la virtualisation vSphere

Suivez les recommandations en matière de sécurité basée sur la virtualisation afin d'optimiser la sécurité et la facilité de gestion de votre environnement de système d'exploitation invité Windows.

Évitez les problèmes en suivant ces recommandations.

Configuration matérielle requise pour VBS

Utilisez le matériel suivant pour VBS :

Intel
- CPU Haswell ou versions ultérieures. Pour des performances optimales, utilisez la CPU Skylake-EP ou versions ultérieures.
- Le CPU Ivy Bridge est acceptable.
- Le CPU Sandy Bridge peut causer un ralentissement des performances.
AMD
- CPU de la série Zen 2 (Rome) ou version ultérieure.
- Les CPU d'une version antérieure peuvent ralentir les performances.

Les atténuations de la vulnérabilité Exception de vérification de la machine sur la taille de page Modifier le CPU Intel peuvent avoir une incidence négative sur les performances du système d'exploitation invité lorsque VBS est utilisé. Pour plus d'informations, consultez l'article de la base de connaissances VMware à l'adresse https://kb.vmware.com/kb/76050.

Compatibilité entre VBS et le système d'exploitation invité Windows

VBS est pris en charge pour les machines virtuelles Windows 10, Windows Server 2016 et versions ultérieures, bien que les versions 1607 et 1703 de Windows Server 2016 requièrent des correctifs. Consultez la documentation Microsoft pour connaître la ESXi compatibilité matérielle de l'hôte. L'utilisation de CPU Intel pour VBS nécessite vSphere 6.7 ou version ultérieure et la version matérielle 14 ou version ultérieure.

Sous AMD, VBS est pris en charge sur les machines virtuelles Windows 10, version 1809 et Windows 2019 et versions ultérieures. L'utilisation de CPU AMD pour VBS nécessite vSphere 7.0 Update 2 ou version ultérieure et la version matérielle 19 ou version ultérieure.

Initialement, Windows 10 nécessitait que vous activiez Hyper-V pour VBS. L'activation de Hyper-V n'est pas requise pour Windows 10. Il en va de même pour Windows Server 2016 et versions ultérieures. Pour plus d'informations, consultez la documentation Microsoft actuelle et les Notes de mise à jour VMware vSphere.

Fonctionnalités de VMware non pris en charge sur la sécurité basée sur la virtualisation

Les fonctionnalités suivantes ne sont pas prises en charge dans une machine virtuelle lorsque la sécurité basée sur la virtualisation est activée :

Fault Tolerance
Relais PCI
Ajout à chaud de CPU ou de mémoire

Installation et mise à niveau de mises en garde avec la sécurité basée sur la virtualisation

Avant de configurer la sécurité basée sur la virtualisation, vous devez comprendre les mises en garde suivantes de l'installation et mise à niveau :

Les nouvelles machines virtuelles configurées pour Windows 10 et Windows Server 2016 sur des versions matérielles virtuelles antérieures à la version 14 sont créées avec le BIOS hérité par défaut. Vous devez réinstaller le système d'exploitation invité après le changement du type de microprogramme de la machine virtuelle à partir du BIOS hérité sur l'UEFI.
Si vous prévoyez de migrer vos machines virtuelles depuis les versions précédentes de vSphere vers vSphere 6.7 ou versions ultérieures et activer la sécurité basée sur la virtualisation sur vos machines virtuelles, utilisez l'UEFI pour éviter d'avoir à réinstaller le système d'exploitation.