Windows ゲスト OS 環境のセキュリティと管理性を最大にするには、仮想化ベースのセキュリティ (VBS) のベスト プラクティスを遵守してください。

これらのベスト プラクティスを遵守することで、次の問題を回避できます。

仮想化ベースのセキュリティ ハードウェア

仮想化ベースのセキュリティには次のハードウェアを使用します。

  • Intel 社
    • Haswell CPU 以降。最適なパフォーマンスを実現するには、Skylake-EP CPU 以降を使用します。
    • Ivy Bridge CPU が許容されます。
    • Sandy Bridge CPU では、パフォーマンスが低下する可能性があります。
  • AMD 社
    • Zen 2 シリーズ CPU (Rome) 以降。
    • 古い CPU を使用すると、パフォーマンスが低下することがあります。

VBS が使用中の場合に、ページ サイズ変更に伴う Intel CPU の脆弱性に対するマシン チェックの例外を緩和すると、ゲスト OS のパフォーマンスが低下する可能性があります。詳細については、VMware ナレッジベースの記事 (https://kb.vmware.com/kb/76050) を参照してください。

Windows ゲスト OS の互換性

Intel の場合、VBS は Windows 10 および Windows Server 2016 以降の仮想マシンでサポートされていますが、Windows Server 2016 バージョンの 1607 および 1703 にはパッチが必要です。ESXi ホストのハードウェア互換性については、Microsoft 社のドキュメントを確認してください。VBS に Intel CPU を使用するには、vSphere 6.7 以降およびハードウェア バージョン 14 が必要です。

AMD の場合、VBS は Windows 10 バージョン 1809、および Windows 2019 以降の仮想マシンでサポートされています。VBS に AMD CPU を使用するには、vSphere 7.0 Update 2 以降およびハードウェア バージョン 19 が必要です。

当初、Windows 10 では、VBS の使用には Hyper-V の有効化が必要でした。現在、Hyper-V の有効化は Windows 10 で不要になりました。これは、Windows Server 2016 以降にも該当します。詳細については、現在の Microsoft のドキュメントおよび「VMware vSphere リリース ノート」を参照してください。

VBS でサポートされていない VMware の機能

VBS を有効にすると、仮想マシンで次の機能はサポートされません。

  • フォールト トレランス
  • PCI パススルー
  • CPU またはメモリのホット アド

仮想化ベースのセキュリティに関するインストールとアップグレードの注意事項

仮想化ベースのセキュリティを設定する前に、インストールとアップグレードに関する次の注意事項をよくお読みください。

  • 仮想ハードウェア バージョン 14 未満で Windows 10 および Windows Server 2016 以降用に構成された新規仮想マシンは、デフォルトでレガシー BIOS を使用して作成されます。ゲスト OS を再インストールする前に、仮想マシンのファームウェア タイプをレガシーの BIOS から UEFI に変更する必要があります。
  • 以前の vSphere リリースから vSphere 6.7 以降に仮想マシンを移行し、その仮想マシンで仮想化ベースのセキュリティを有効にする場合は、UEFI を使用することで、オペレーティング システムの再インストールを回避できます。