Microsoft-Leitfaden zu den TPM-Anforderungen von Windows 11 für die Migration virtueller Maschinen

Microsoft-Leitfaden zu den TPM-Anforderungen von Windows 11 für die Migration virtueller Maschinen

Microsoft-Handbuch zur Verwaltung von Virtual Trusted Platform Module (vTPM)-Zertifikaten

Microsoft hat kürzlich einen ausführlichen Leitfaden für IT- und Systemadministratoren zur Verwaltung virtueller Trusted Platform Module (vTPM)-Zertifikate veröffentlicht. Dieser Leitfaden ist besonders wichtig für die Verwaltung von Gastbetriebssystemen wie Windows 11 und Windows Server 2025, die auf virtuellen Maschinen (VMs) der Hyper-V-Generation 2 laufen. Die korrekte Umsetzung dieser Vorgehensweisen gewährleistet den Erhalt kritischer Sicherheitsfunktionen bei der Migration von VMs zwischen verschiedenen Hosts.

Die Bedeutung von TPM 2.0 für verbesserte Sicherheit

Windows 11 und Windows Server 2025 haben spezifische Systemanforderungen, darunter TPM 2.0, die darauf abzielen, die Sicherheitsstandards im Vergleich zu ihren Vorgängern wie Windows 10 zu verbessern. Microsoft hat zuvor klargestellt, wie diese Sicherheitsverbesserungen funktionieren, und ihre Rolle bei der Schaffung einer sichereren Umgebung für Benutzer hervorgehoben.

Funktionsweise von vTPM in virtuellen Maschinen

Im Kern unterstützt vTPM wichtige Sicherheitsfunktionen wie BitLocker-Verschlüsselung und Secure Boot in virtuellen Umgebungen. Microsoft hebt jedoch einen zentralen Aspekt der vTPM-Verwaltung hervor: Jede Instanz wird an zwei selbstsignierte Zertifikate gebunden, die auf dem lokalen Host generiert werden. Ohne die ordnungsgemäße Übertragung dieser Zertifikate können kritische Prozesse wie Live-Migrationen und manuelle Exporte vTPM-fähiger VMs erhebliche Probleme verursachen und die effektive Migration geschützter Workloads in Unternehmen beeinträchtigen.

Grundlegendes zu den beteiligten Zertifikaten

Für jede vTPM-fähige VM der Generation 2 erstellt und speichert Hyper-V zwei selbstsignierte Zertifikate: ein Verschlüsselungszertifikat und ein Signaturzertifikat. Diese Zertifikate befinden sich im Speicher „Shielded VM Local Certificates“, erreichbar über den Bereich „Zertifikate (Lokaler Computer)“ > „Persönlich“ in der Microsoft Management Console (MMC).Die Zertifikate lauten wie folgt:

  • Geschütztes VM-Verschlüsselungszertifikat (UntrustedGuardian) (Computername)
  • Geschütztes VM-Signaturzertifikat (UntrustedGuardian) (Computername)

Beide Zertifikate haben standardmäßig eine Gültigkeitsdauer von 10 Jahren.

Schritte zur ordnungsgemäßen Migration

Um eine erfolgreiche Migration vTPM-fähiger VMs zu gewährleisten, empfiehlt Microsoft Administratoren, sowohl die Verschlüsselungs- als auch die Signaturzertifikate inklusive der privaten Schlüssel in eine PFX-Datei (Personal Information Exchange) zu exportieren. Diese sollten dann in den entsprechenden Speicher auf den Zielhosts importiert werden, um deren Vertrauenswürdigkeit zu gewährleisten.

Ressourcen für IT-Experten

Microsoft stellt umfassende Anweisungen zum Exportieren, Importieren und Aktualisieren dieser Zertifikate im Falle eines Ablaufs sowie entsprechende PowerShellBefehle zur einfachen Ausführung bereit. Ausführliche Informationen finden Sie im vollständigen Blogbeitrag auf der Tech Community-Website von Microsoft hier.

Quelle & Bilder

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert