No vSphere 7.0 Update 2 e versões posteriores, um host ESXi usa o TPM para selar a configuração do host em relação a uma política de registro de configuração de plataforma (PCR). A política de PCR pode ser configurada para impor UEFI Secure Boot e outras configurações.
Um TPM pode usar medidas de registro de configuração de plataforma (PCR) para implementar políticas que restringem o acesso não autorizado a dados confidenciais. Quando você instala ou atualiza um host do ESXi com um TPM para o vSphere 7.0 Update 2 e versões posteriores, o TPM sela as informações confidenciais usando uma política que incorpora a configuração de inicialização segura. Essa política verifica se a inicialização segura foi habilitada quando os dados foram selados pela primeira vez com o TPM, então a inicialização segura ainda deve ser habilitada ao tentar desmarcar os dados em uma inicialização subsequente.
A inicialização segura faz parte do padrão de firmware UEFI. Com o UEFI Secure Boot habilitado, um host se recusa a carregar qualquer driver ou aplicativo UEFI, a menos que o bootloader do sistema operacional tenha uma assinatura digital válida.
Você pode optar por desativar ou ativar a aplicação de inicialização segura da UEFI. Consulte o Ativar ou desativar a aplicação de inicialização segura para uma configuração ESXi segura.
esxcli system settings encryption set --mode=TPMDepois de ativar o TPM, você não poderá desfazer a configuração.
esxcli system settings encryption set falha em alguns TPMs, mesmo quando o TPM está ativado para o host.
- No vSphere 7.0 Update 2: TPMs da NationZ (NTZ) e da Infineon Technologies (IFX)
- No vSphere 7.0 Update 3: TPMs da NationZ (NTZ)
Se uma instalação ou atualização do vSphere 7.0 Update 2 ou posterior não puder usar o TPM durante a primeira inicialização, a instalação ou a atualização continuará e o modo será padronizado como NONE (ou seja, --mode=NONE). O comportamento resultante é como se o TPM não estivesse ativado.
O TPM também pode impor a configuração para a opção de inicialização execInstalledOnly na política de selagem. A imposição execInstalledOnly é uma opção de inicialização avançada do ESXi que garante que o VMkernel execute apenas os binários que foram devidamente empacotados e assinados como parte de um VIB. A opção de inicialização execInstalledOnly depende da opção de inicialização segura. A aplicação de inicialização segura deve ser ativada antes que você possa aplicar a opção de inicialização execInstalledOnly na política de selagem. Consulte o Ativar ou desativar a aplicação execInstalledOnly para uma configuração ESXi segura.
