
Przewodnik firmy Microsoft dotyczący zarządzania certyfikatami modułu Virtual Trusted Platform Module (vTPM)
Firma Microsoft niedawno wydała szczegółowe wytyczne dla administratorów IT i systemów dotyczące zarządzania certyfikatami wirtualnego modułu Trusted Platform Module (vTPM).Wytyczne te są szczególnie ważne dla osób obsługujących gościnne systemy operacyjne, takie jak Windows 11 i Windows Server 2025, które działają na maszynach wirtualnych (VM) Hyper-V Generation 2. Prawidłowe wdrożenie tych praktyk zapewnia zachowanie krytycznych funkcji bezpieczeństwa podczas migracji maszyn wirtualnych między różnymi hostami.
Znaczenie TPM 2.0 dla zwiększonego bezpieczeństwa
Systemy Windows 11 i Windows Server 2025 mają określone wymagania systemowe, w tym TPM 2.0, które mają na celu poprawę standardów bezpieczeństwa w porównaniu z poprzednimi wersjami, takimi jak Windows 10. Firma Microsoft wyjaśniła już wcześniej, w jaki sposób działają te ulepszenia zabezpieczeń, podkreślając ich rolę w tworzeniu bezpieczniejszego środowiska dla użytkowników.
Jak vTPM działa w maszynach wirtualnych
W swojej istocie vTPM ułatwia podstawowe funkcje bezpieczeństwa, takie jak szyfrowanie BitLocker i Secure Boot w środowiskach wirtualnych. Jednak Microsoft podkreśla kluczowy aspekt zarządzania vTPM: wiąże każdą instancję z dwoma certyfikatami podpisanymi przez siebie, wygenerowanymi na lokalnym hoście. Bez odpowiedniego przeniesienia tych certyfikatów krytyczne procesy, takie jak migracje na żywo i ręczne eksporty maszyn wirtualnych z włączonym vTPM, mogą napotkać poważne problemy, potencjalnie utrudniając organizacjom skuteczne przenoszenie chronionych obciążeń.
Zrozumienie zaangażowanych certyfikatów
Dla każdej maszyny wirtualnej drugiej generacji z włączonym vTPM Hyper-V tworzy i przechowuje dwa certyfikaty podpisane przez siebie: certyfikat szyfrowania i certyfikat podpisu. Certyfikaty te znajdują się w magazynie „Shielded VM Local Certificates”, do którego można uzyskać dostęp za pośrednictwem sekcji Certificates (Local Computer) > Personal w konsoli Microsoft Management Console (MMC).Certyfikaty są następujące:
- Certyfikat szyfrowania chronionej maszyny wirtualnej (UntrustedGuardian)(ComputerName)
- Certyfikat podpisywania maszyn wirtualnych z osłoną (niezaufany strażnik) (ComputerName)
Oba certyfikaty mają domyślny okres ważności 10 lat.
Kroki prawidłowej migracji
Aby zapewnić pomyślną migrację maszyn wirtualnych z włączonym vTPM, Microsoft zaleca administratorom wyeksportowanie certyfikatów szyfrowania i podpisywania, w tym ich kluczy prywatnych, do pliku PFX (Personal Information Exchange).Następnie należy je zaimportować do odpowiedniego magazynu na hostach docelowych, aby ustanowić ich zaufanie.
Zasoby dla profesjonalistów IT
Firma Microsoft udostępniła kompleksowe instrukcje dotyczące eksportowania, importowania i aktualizowania tych certyfikatów w przypadku wygaśnięcia, a także odpowiednie PowerShell
polecenia ułatwiające wykonanie. Aby uzyskać szczegółowe informacje, odwiedź pełny wpis na blogu na stronie internetowej Microsoft’s Tech Community tutaj.
Dodaj komentarz