Przewodnik firmy Microsoft po wymaganiach modułu TPM dla systemu Windows 11 w zakresie migracji maszyn wirtualnych

Przewodnik firmy Microsoft po wymaganiach modułu TPM dla systemu Windows 11 w zakresie migracji maszyn wirtualnych

Przewodnik firmy Microsoft dotyczący zarządzania certyfikatami modułu Virtual Trusted Platform Module (vTPM)

Firma Microsoft niedawno wydała szczegółowe wytyczne dla administratorów IT i systemów dotyczące zarządzania certyfikatami wirtualnego modułu Trusted Platform Module (vTPM).Wytyczne te są szczególnie ważne dla osób obsługujących gościnne systemy operacyjne, takie jak Windows 11 i Windows Server 2025, które działają na maszynach wirtualnych (VM) Hyper-V Generation 2. Prawidłowe wdrożenie tych praktyk zapewnia zachowanie krytycznych funkcji bezpieczeństwa podczas migracji maszyn wirtualnych między różnymi hostami.

Znaczenie TPM 2.0 dla zwiększonego bezpieczeństwa

Systemy Windows 11 i Windows Server 2025 mają określone wymagania systemowe, w tym TPM 2.0, które mają na celu poprawę standardów bezpieczeństwa w porównaniu z poprzednimi wersjami, takimi jak Windows 10. Firma Microsoft wyjaśniła już wcześniej, w jaki sposób działają te ulepszenia zabezpieczeń, podkreślając ich rolę w tworzeniu bezpieczniejszego środowiska dla użytkowników.

Jak vTPM działa w maszynach wirtualnych

W swojej istocie vTPM ułatwia podstawowe funkcje bezpieczeństwa, takie jak szyfrowanie BitLocker i Secure Boot w środowiskach wirtualnych. Jednak Microsoft podkreśla kluczowy aspekt zarządzania vTPM: wiąże każdą instancję z dwoma certyfikatami podpisanymi przez siebie, wygenerowanymi na lokalnym hoście. Bez odpowiedniego przeniesienia tych certyfikatów krytyczne procesy, takie jak migracje na żywo i ręczne eksporty maszyn wirtualnych z włączonym vTPM, mogą napotkać poważne problemy, potencjalnie utrudniając organizacjom skuteczne przenoszenie chronionych obciążeń.

Zrozumienie zaangażowanych certyfikatów

Dla każdej maszyny wirtualnej drugiej generacji z włączonym vTPM Hyper-V tworzy i przechowuje dwa certyfikaty podpisane przez siebie: certyfikat szyfrowania i certyfikat podpisu. Certyfikaty te znajdują się w magazynie „Shielded VM Local Certificates”, do którego można uzyskać dostęp za pośrednictwem sekcji Certificates (Local Computer) > Personal w konsoli Microsoft Management Console (MMC).Certyfikaty są następujące:

  • Certyfikat szyfrowania chronionej maszyny wirtualnej (UntrustedGuardian)(ComputerName)
  • Certyfikat podpisywania maszyn wirtualnych z osłoną (niezaufany strażnik) (ComputerName)

Oba certyfikaty mają domyślny okres ważności 10 lat.

Kroki prawidłowej migracji

Aby zapewnić pomyślną migrację maszyn wirtualnych z włączonym vTPM, Microsoft zaleca administratorom wyeksportowanie certyfikatów szyfrowania i podpisywania, w tym ich kluczy prywatnych, do pliku PFX (Personal Information Exchange).Następnie należy je zaimportować do odpowiedniego magazynu na hostach docelowych, aby ustanowić ich zaufanie.

Zasoby dla profesjonalistów IT

Firma Microsoft udostępniła kompleksowe instrukcje dotyczące eksportowania, importowania i aktualizowania tych certyfikatów w przypadku wygaśnięcia, a także odpowiednie PowerShellpolecenia ułatwiające wykonanie. Aby uzyskać szczegółowe informacje, odwiedź pełny wpis na blogu na stronie internetowej Microsoft’s Tech Community tutaj.

Źródło i obrazy

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *