A resposta do Ben N é claramente a mais útil e clara.
Para aqueles que ainda se perguntam, no entanto, aqui está a história completa.
A virtualização é obtida com assistência de hardware da CPU. Como um sistema operacional virtualizado interferiria no sistema operacional host, pois eles competem pelos mesmos recursos, é necessário um mecanismo para impedir que o convidado tenha acesso descontrolado ao hardware.
Isso pode ser baixo com software, lento, técnicas ou com assistência da CPU.
A virtualização assistida por hardware é implementada com instruções específicas, opcionais , você pode ler sobre isso nos capítulos 23, 24, 25, 26, 27 e 28 de Manual Intel 3B Parte 3 .
O software deve primeiro verificar se há suporte para essas instruções, antes de tentar usá-las.
Por motivo de segurança, a CPU tem um registrador especial, é um MSR , chamado IA32_FEATURE_CONTROL que impede que o recurso de bits seja ativado ou desativado.
Citando
Bit 0 is the lock bit. If this bit is clear, VMXON causes a general-protection exception. If the lock bit is set,
WRMSR to this MSR causes a general-protection exception; the MSR cannot be modified until a power-up reset
condition. System BIOS can use this bit to provide a setup option for BIOS to disable support for VMX. To
enable VMX support in a platform, BIOS must set bit 1, bit 2, or both (see below), as well as the lock bit.
O ponto fundamental é que uma vez que o registrador esteja bloqueado, ele não pode ser desbloqueado até um power-up .
Como o BIOS / UEFI vem em primeiro lugar, ele tem o poder de desabilitar a virtualização limpando os bits apropriados e bloqueando o registro antes que qualquer SO possa impedir isso.
Quando o recurso de virtualização é desativado dessa maneira, a CPU informa que está faltando a extensão de instrução opcional (e, na verdade, falha se for usada) e, portanto, o software não pode usar a virtualização de hardware.