Inicialização segura
A inicialização segura foi projetada para garantir que apenas software confiável seja usado para inicializar o sistema. O firmware possui um banco de dados de certificados confiáveis e verifica se a imagem que ele carrega é assinada por um dos certificados confiáveis. Se essa imagem carregar outras imagens, essa imagem também deverá ser verificada da mesma forma. O vTPM é uma instância de software virtualizada de um módulo TPM físico tradicional. O vTPM permite a atestação medindo toda a cadeia de inicialização da sua VM (UEFI, SO, sistema e drivers).
Consulte o seguinte para obter mais informações sobre os serviços de nuvem compatíveis:
- Inicialização segura na AWS
- Inicialização segura no Google Cloud Platform
- Inicialização segura no Microsoft Azure
- Inicialização segura no VMware
Inicialização segura na AWS
Em ambientes AWS, você pode selecionar uma imagem mestre (AMI) com NitroTPM e/ou inicialização segura UEFI ativada. Consequentemente, as VMs provisionadas no catálogo também são ativadas com NitroTPM e/ou inicialização segura UEFI. Essa implementação garante que as VMs sejam seguras e confiáveis. Para obter mais informações sobre NitroTPM e inicialização segura UEFI, consulte a documentação da Amazon. Para criar um catálogo ativado com NitroTPM e inicialização segura UEFI, consulte Habilitar NitroTPM e inicialização segura UEFI para instâncias de VM.
Inicialização segura no Google Cloud Platform
Você pode provisionar máquinas virtuais blindadas no GCP. Uma máquina virtual blindada é reforçada usando um conjunto de controles de segurança que fornecem integridade verificável de suas instâncias do Compute Engine, usando recursos avançados de segurança de plataforma, como inicialização segura, um módulo de plataforma confiável virtual, firmware UEFI e monitoramento de integridade.
Para obter mais informações sobre como usar o PowerShell para criar um catálogo com VM blindada, consulte Usando o PowerShell para criar um catálogo com VM blindada.
Nota:
Se você instalar o Windows 11 na imagem mestre, deverá habilitar o vTPM durante o processo de criação da imagem mestre. Além disso, você deve habilitar o vTPM na origem do perfil da máquina (VM ou modelo de instância). Para obter informações sobre como criar VMs do Windows 11 no nó de locatário único, consulte Criar VMs do Windows 11 no nó de locatário único.
Inicialização segura no Microsoft Azure
Em ambientes Azure, você pode criar catálogos de máquinas habilitados com Inicialização Confiável. O Azure oferece a inicialização confiável como uma forma contínua de melhorar a segurança de VMs de geração 2. A inicialização confiável protege contra técnicas de ataque avançadas e persistentes. Na raiz da inicialização confiável está o secure boot para sua VM. A inicialização confiável também usa o vTPM para realizar atestado remoto pela nuvem. Isso é usado para verificações de integridade da plataforma e para tomar decisões baseadas em confiança. Você pode habilitar individualmente o secure boot e o vTPM. Para obter mais informações sobre como criar um catálogo de máquinas com Inicialização Confiável, consulte Catálogos de máquinas com Inicialização Confiável.
Secure boot no VMware
O MCS oferece suporte à criação de um catálogo de máquinas com um modelo VMware com vTPM anexado como fonte para entrada de perfil de máquina. Se o Windows 11 estiver instalado na imagem mestre, é um requisito ter o vTPM habilitado para a imagem mestre. Portanto, o modelo VMware, que é uma fonte de perfil de máquina, deve ter o vTPM anexado a ele. Para obter mais informações, consulte Criar um catálogo de máquinas usando um perfil de máquina.