Procedure consigliate per la sicurezza basata sulla virtualizzazione di vSphere

Seguire le procedure consigliate per la sicurezza basata sulla virtualizzazione (VBS) per ottimizzare la sicurezza e la gestibilità dell'ambiente del sistema operativo guest di Windows.

È possibile evitare problemi seguendo queste procedure consigliate.

Requisiti hardware di VBS

Utilizzare l'hardware seguente per la VBS:

Intel
- CPU Haswell o versioni successive. Per prestazioni ottimali, utilizzare la CPU Skylake-EP o successiva.
- La CPU di Ivy Bridge è accettabile.
- La CPU Sandy Bridge potrebbe rallentare le prestazioni.
AMD
- CPU della serie Zen 2 (Rome) o successive.
- Le CPU precedenti potrebbero rallentare le prestazioni.

Le attenuazioni per l'Eccezione di controllo della macchina nella vulnerabilità della CPU Intel di Modifica formato pagina possono influire negativamente sulle prestazioni del sistema operativo guest quando si usa la VBS. Per ulteriori informazioni, vedere l'articolo della KB VMware disponibile su https://kb.vmware.com/kb/76050.

Compatibilità tra VBS e il sistema operativo guest Windows

In Intel, la VBS è supportata per le macchine virtuali di Windows 10, Windows Server 2016 e versioni successive, sebbene le versioni 1607 e 1703 di Windows Server 2016 richiedano patch. Per la compatibilità hardware dell'host ESXi, consultare la documentazione Microsoft. L'utilizzo di CPU Intel per la VBS richiede vSphere 6.7 o versione successiva e hardware versione 14 o successiva.

In AMD, la VBS è supportata in macchine virtuali con Windows 10, versione 1809 e Windows 2019 e versioni successive. L'utilizzo di CPU AMD per la VBS richiede vSphere 7.0 Update 2 o versione successiva, e hardware versione 19 o successiva.

Inizialmente, Windows 10 richiedeva l'abilitazione di Hyper-V per la VBS. L'abilitazione di Hyper-V non è necessaria per Windows 10. Lo stesso vale per Windows Server 2016 e versioni successive. Per ulteriori informazioni, consultare la documentazione Microsoft corrente e le Note di rilascio di VMware vSphere.

Funzionalità VMware non supportate in VBS

Le seguenti funzionalità non sono supportate in una macchina virtuale quando la VBS è abilitata:

Fault Tolerance
Passthrough PCI
Aggiunta a caldo di CPU o memoria

Avvertenze sull'installazione e l'aggiornamento con la VBS

Prima di configurare la VBS, è necessario prendere in esame le seguenti avvertenze per l'installazione e l'aggiornamento:

Le nuove macchine virtuali configurate per Windows 10 e Windows Server 2016 e versioni successive nell'hardware virtuale versioni precedenti alla 14 vengono create utilizzando il BIOS legacy per impostazione predefinita. È necessario reinstallare il sistema operativo guest dopo aver modificato il tipo di firmware della macchina virtuale da BIOS legacy a UEFI.
Se si intende eseguire la migrazione delle macchine virtuali da versioni di vSphere precedenti a vSphere 6.7 o versioni successive e abilitare la VBS nelle macchine virtuali, utilizzare UEFI per evitare di reinstallare il sistema operativo.