在虚拟机中运行的客户机操作系统容易遭受与任何物理系统相同的安全风险。要提高虚拟环境的安全性,可向 ESXi 主机添加虚拟可信平台模块 (vTPM)。也可以对运行最新 Windows 10 和 Windows Server 2016 操作系统的虚拟机启用基于虚拟化的安全 (VBS)。

VMware Host Client 中使用虚拟 TPM

可信平台模块 (TPM) 是一个专用芯片,存储特定于主机的敏感信息(例如私钥和操作系统密钥)。该 TPM 芯片还用于执行加密任务以及证明平台的完整性。

虚拟 TPM 设备是 TPM 功能的软件模拟。可以向环境中的虚拟机添加虚拟 TPM (vTPM) 设备。vTPM 实现不要求主机上存在物理 TPM 芯片。ESXi 借助 vTPM 设备在 vSphere 环境中使用 TPM 功能。

vTPM 对运行 Windows 10 和 Windows Server 2016 操作系统的虚拟机可用。虚拟机必须使用硬件版本 14 或更高版本。

vCenter Server 实例中,只能向虚拟机添加虚拟 TPM 设备。有关详细信息,请参见《vSphere 安全性》文档。

VMware Host Client 中,只能从虚拟机中移除虚拟 TPM 设备。

VMware Host Client 中使用 VBS

基于虚拟化的安全 (VBS) 使用基于 Microsoft Hyper-V 的虚拟化技术在单独的虚拟化环境中隔离核心 Windows 操作系统服务。该隔离提供了另一层保护,因为它确保环境中的关键服务不会被操作。

在虚拟机中启用 VBS 会自动启用 Windows 使用 VBS 功能所需的虚拟硬件。启用 VBS 后,Hyper-V 的变体会在虚拟机中运行,并且 Windows 会开始在 Hyper-V 根分区内运行。

VBS 在最新 Windows 操作系统版本中可用,例如 Windows 10 和 Windows Server 2016。要在虚拟机中使用 VBS,虚拟机必须与 ESXi 6.7 及更高版本兼容。

VMware Host Client 中,可以在创建虚拟机期间启用 VBS。或者,也可以对现有虚拟机启用或禁用 VBS。
注: 仅当主机的 TPM 验证成功时,才能在虚拟机中启用 VBS。