Citrix Virtual Apps and Desktops

安全启动

安全引导旨在确保仅使用受信任的软件来引导系统。固件具有可信证书的数据库,可验证其加载的映像是否由其中一个可信证书签名。如果该映像加载了更多映像,还必须以相同的方式验证该映像。vTPM 是传统物理 TPM 模块的虚拟化软件实例。vTPM 通过测量 VM 的整个引导链(UEFI、操作系统、系统和驱动程序)来实现认证。

有关支持的云服务的详细信息,请参阅以下内容:

Google 云端平台中的安全引导

可以在 GCP 上预配受防护的虚拟机。使用一组安全控制措施强化了受防护的虚拟机,这些控制措施使用安全引导、虚拟可信平台模块、UEFI 固件和完整性监视等高级平台安全功能提供计算引擎实例的可验证的完整性。

有关使用 PowerShell 创建包含受防护的 VM 的目录的详细信息,请参阅使用 PowerShell 创建包含受防护的 VM 的目录

注意:

如果您在主映像上安装 Windows 11,则必须在主映像创建过程中启用 vTPM。此外,您必须在计算机配置文件源(VM 或实例模板)上启用 vTPM。有关在唯一租户节点上创建 Windows 11 VM 的信息,请参阅在唯一租户节点上创建 Windows 11 VM

Microsoft Azure 中的安全引导

在 Azure 环境中,您可以创建启用了受信任启动功能的计算机目录。Azure 提供受信任启动作为提高第 2 代 VM 安全性的无缝方式。受信任启动可防范高级和持续攻击技术。受信任启动的根源是 VM 的安全引导。受信任启动还使用 vTPM 执行云端远程认证。这用于平台运行状况检查和制定基于信任的决策。可以单独启用安全引导和 vTPM。有关创建具有受信任启动功能的计算机目录的详细信息,请参阅具有受信任启动功能的计算机目录

VMware 中的安全引导

MCS 支持使用附加了 vTPM 的 VMware 模板作为计算机配置文件输入源创建计算机目录。如果在主映像上安装了 Windows 11,则需要为主映像启用 vTPM。因此,作为计算机配置文件来源的 VMware 模板必须附加 vTPM。有关详细信息,请参阅使用计算机配置文件创建计算机目录

安全启动