安全引导和 vTPM

March 27, 2025

投稿者:

安全引导是统一可扩展固件接口 (UEFI) 的一项功能，负责引导系统。它确保在引导过程中只加载受信任的软件。

受信任的平台模块 (TPM) 是一种为加密密钥和其他敏感数据提供安全存储的硬件芯片。虚拟受信任的平台模块 (vTPM) 执行与 TPM 相同的功能，但在软件中执行加密协处理器功能。虽然 TPM 可以增强安全性，但它并不是安全引导的要求。

有关支持的云服务的详细信息，请参阅以下内容：

Google Cloud Platform 中的安全引导和 vTPM

可以在 Google Cloud Platform (GCP) 上预配受防护的虚拟机。受防护的 VM 的可验证完整性是通过使用以下功能实现的：

安全引导
启用了 vTPM 的测量的启动
完整性监视

有关使用 PowerShell 创建包含受防护的 VM 的目录的详细信息，请参阅使用 PowerShell 创建包含受防护的 VM 的目录。

注意：

如果您在主映像上安装 Windows 11，则必须在主映像创建过程中启用 vTPM。此外，如果您使用计算机配置文件创建目录，则必须在计算机配置文件源（VM 或实例模板）上启用 vTPM。有关在唯一租户节点上创建 Windows 11 VM 的信息，请参阅在唯一租户节点上创建 Windows 11 VM。

Microsoft Azure 中的安全引导和 vTPM

在 Azure 环境中，您可以创建启用了受信任启动功能的计算机目录。 Azure 提供受信任启动作为提高第 2 代 VM 安全性的无缝方式。受信任启动可防范高级和持续的攻击技术。要启用“受信任启动”，请使用基于计算机配置文件的目录配置。受信任启动的根源是 VM 的安全引导。受信任启动还使用 vTPM 执行云端远程证明。这用于平台运行状况检查和制定基于信任的决策。可以单独启用安全引导和 vTPM。有关创建具有受信任启动功能的计算机目录的详细信息，请参阅具有受信任启动功能的计算机目录。

VMware 中的 vTPM

MCS 支持通过 vTPM 创建计算机目录。如果在主映像上安装了 Windows 11，则需要为主映像启用 vTPM。如果使用基于计算机配置文件的配置，并且启用了 vTPM，则目录中的 VM 将从 VM 模板继承相同的 vTPM 内容。如果未使用计算机配置文件，但是主映像启用了 vTPM，目录中的 VM 将具有空 vTPM。有关详细信息，请参阅使用计算机配置文件创建计算机目录。

本内容的正式版本为英文版。部分 Cloud Software Group 文档内容采用了机器翻译，仅供您参考。Cloud Software Group 无法控制机器翻译的内容，这些内容可能包含错误、不准确或不合适的语言。对于从英文原文翻译成任何其他语言的内容的准确性、可靠性、适用性或正确性，或者您的 Cloud Software Group 产品或服务沿用了任何机器翻译的内容，我们均不作任何明示或暗示的保证，并且适用的最终用户许可协议或服务条款或者与 Cloud Software Group 签订的任何其他协议（产品或服务与已进行机器翻译的任何文档保持一致）下的任何保证均不适用。对于因使用机器翻译的内容而引起的任何损害或问题，Cloud Software Group 不承担任何责任。

这是否有帮助？

安全引导和 vTPM

March 27, 2025

投稿者:

在本文中

这是否有帮助？