安全启动和 vTPM

安全启动是统一可扩展固件接口 (UEFI) 的一项功能，负责启动系统。它确保在启动过程中只加载受信任的软件。

可信平台模块 (TPM) 是一种硬件芯片，为加密密钥和其他敏感数据提供安全存储。虚拟可信平台模块 (vTPM) 执行与 TPM 相同的功能，但它在软件中执行加密协处理器功能。虽然 TPM 可以增强安全性，但它不是安全启动的必需条件。

有关支持的管理程序的更多信息，请参阅以下内容：

• 亚马逊云科技中的安全启动和 NitroTPM
• 谷歌云平台中的安全启动和 vTPM
• 微软 Azure 中的安全启动和 vTPM
• Nutanix Prism Central 中的安全启动和虚拟可信平台模块
• VMware 中的虚拟可信平台模块
• 适用于 XenServer® 平台的安全启动和 vTPM

亚马逊云科技中的安全启动和 NitroTPM

在 AWS 环境中，您可以选择一个已启用 NitroTPM 和/或 UEFI 安全启动的主映像 (AMI)。因此，目录中预配的 VM 也已启用 NitroTPM 和/或 UEFI 安全启动。此实施可确保 VM 的安全性和可信度。有关 NitroTPM 和 UEFI 安全启动的更多信息，请参阅 Amazon 文档。有关创建已启用 NitroTPM 和 UEFI 安全启动的目录，请参阅 为 VM 实例启用 NitroTPM 和 UEFI 安全启动。

谷歌云平台中的安全启动和 vTPM

您可以在 Google Cloud Platform (GCP) 上预配受保护的虚拟机。受保护的 VM 的可验证完整性通过使用以下功能实现：

• 安全启动
• 启用 vTPM 的度量启动
• 完整性监控

有关使用 PowerShell 创建包含受保护 VM 的目录的更多信息，请参阅 使用 PowerShell 创建包含受保护 VM 的目录。

注意：

如果在主映像上安装 Windows 11，则必须在主映像创建过程中启用 vTPM。此外，如果使用计算机配置文件创建目录，则必须在计算机配置文件源（VM 或实例模板）上启用 vTPM。有关在独占租户节点上创建 Windows 11 VM 的信息，请参阅 在独占租户节点上创建 Windows 11 VM。

微软 Azure 中的安全启动和 vTPM

在 Azure 环境中，可以创建启用可信启动的计算机目录。Azure 提供可信启动，这是一种无缝提高第 2 代 VM 安全性的方法。可信启动可防止高级和持久性攻击技术。要启用可信启动，请使用基于计算机配置文件的目录配置。可信启动的核心是 VM 的安全启动。可信启动还使用 vTPM 执行云的远程证明。这用于平台运行状况检查和做出基于信任的决策。您可以单独启用安全启动和 vTPM。 有关使用可信启动创建计算机目录的更多信息，请参阅 使用可信启动的计算机目录。

Nutanix Prism Central 中的安全启动和虚拟可信平台模块

MCS 支持使用 Nutanix Prism Central 创建包含 vTPM、UEFI 和安全启动的计算机目录。您可以选择启用 vTPM 和 UEFI 安全启动的主映像（模板）。

在 Nutanix Prism Central 中，UEFI 安全启动不需要 vTPM。但是，要将 vTPM 链接到 VM，VM 必须通过 UEFI 启动，无论是否启用安全启动。

此外，启用了虚拟可信平台模块、UEFI 和安全启动的虚拟机可以从 Nutanix Prism Central 导入，并由 Citrix Virtual Apps and Desktops 进行电源管理。

Nutanix 提供对 vTPM 和 UEFI 安全启动的支持。请参阅：

• AHV 上的 vTPM（虚拟可信平台模块）支持。
• VM 的安全启动支持
• 使用虚拟可信平台模块保护 AHV VM

VMware 中的虚拟可信平台模块

MCS 支持创建包含 vTPM 的计算机目录。如果主映像上安装了 Windows 11，则主映像必须启用 vTPM。如果使用基于计算机配置文件的配置并启用了 vTPM，则目录中的 VM 将从 VM 模板继承相同的 vTPM 内容。如果未使用计算机配置文件且主映像启用了 vTPM，则目录中的 VM 将具有空白 vTPM。有关详细信息，请参阅使用计算机配置文件创建计算机目录。

适用于 XenServer® 的安全启动和 vTPM

XenServer 在其部分支持的 VM 操作系统上提供 UEFI 安全启动。安全启动可防止未签名、签名不正确或已修改的二进制文件在启动期间运行。在强制执行安全启动的 UEFI 虚拟机上，所有驱动程序都必须经过签名。有关详细信息，请参阅来宾 UEFI 和安全启动。

在 XenServer 8 中，UEFI 安全启动不需要 vTPM。但是，要将 vTPM 链接到 VM，该 VM 必须通过 UEFI 启动，无论是否启用安全启动。Windows 11 VM 需要链接的 vTPM，并且在从提供的模板创建 Windows 11 VM 时会自动创建。对于其他操作系统，vTPM 是可选的。有关详细信息，请参阅vTPM。