安全启动
安全启动旨在确保只有受信任的软件才能用于启动系统。固件具有受信任证书数据库,并验证其加载的映像是否由其中一个受信任证书签名。如果该映像加载了其他映像,则该映像也必须以相同方式进行验证。vTPM 是传统物理 TPM 模块的虚拟化软件实例。vTPM 通过测量 VM 的整个启动链(UEFI、操作系统、系统和驱动程序)来实现证明。
有关支持的云服务的更多信息,请参阅以下内容:
AWS 中的安全启动
在 AWS 环境中,您可以选择启用 NitroTPM 和/或 UEFI 安全启动的主映像 (AMI)。因此,目录中预配的 VM 也启用了 NitroTPM 和/或 UEFI 安全启动。此实施可确保 VM 的安全性和可信度。有关 NitroTPM 和 UEFI 安全启动的更多信息,请参阅 Amazon 文档。有关创建启用 NitroTPM 和 UEFI 安全启动的目录的信息,请参阅 为 VM 实例启用 NitroTPM 和 UEFI 安全启动。
谷歌云平台中的安全启动
您可以在 GCP 上预配受保护的虚拟机。受保护的虚拟机通过一组安全控制进行强化,这些控制使用高级平台安全功能(如安全启动、虚拟可信平台模块、UEFI 固件和完整性监控)来提供 Compute Engine 实例的可验证完整性。
有关使用 PowerShell 创建包含受保护 VM 的目录的更多信息,请参阅 使用 PowerShell 创建包含受保护 VM 的目录。
注意:
如果您在主映像上安装 Windows 11,则必须在主映像创建过程中启用 vTPM。此外,您必须在计算机配置文件源(VM 或实例模板)上启用 vTPM。有关在单租户节点上创建 Windows 11 VM 的信息,请参阅 在单租户节点上创建 Windows 11 VM。
微软 Azure 中的安全启动
在 Azure 环境中,您可以创建启用可信启动的计算机目录。Azure 提供可信启动作为一种无缝方式,以提高第 2 代 VM 的安全性。可信启动可防止高级和持久性攻击技术。可信启动的核心是 VM 的安全启动。可信启动还使用 vTPM 执行云的远程证明。这用于平台健康检查和制定基于信任的决策。您可以单独启用安全启动和 vTPM。有关使用可信启动创建计算机目录的更多信息,请参阅使用可信启动的计算机目录。
VMware 中的安全启动
MCS 支持使用附加了 vTPM 的 VMware 模板作为计算机配置文件输入的来源来创建计算机目录。如果主映像上安装了 Windows 11,则要求为主映像启用 vTPM。因此,作为计算机配置文件来源的 VMware 模板必须附加 vTPM。有关更多信息,请参阅使用计算机配置文件创建计算机目录。