在 vSphere 7.0 Update 2 及更高版本中,ESXi 主机使用 TPM 根据平台配置寄存器 (PCR) 策略封装主机配置。PCR 策略可配置为强制执行 UEFI 安全引导和其他设置。
TPM 可以使用平台配置寄存器 (PCR) 衡量指标实施用于限制对敏感数据的未授权访问的策略。安装具有 TPM 的 ESXi 主机或将其升级到 vSphere 7.0 Update 2 或更高版本时,TPM 会使用包含安全引导设置的策略来封装敏感信息。此策略会在首次使用 TPM 封装数据时检查是否已启用安全引导,然后,在后续引导中尝试解封数据时,安全引导必须仍然处于启用状态。
安全引导属于 UEFI 固件标准的一部分。启用 UEFI 安全引导后,主机会拒绝加载任何 UEFI 驱动程序或应用程序,除非操作系统引导加载程序具有有效的数字签名。
您可以选择禁用或启用 UEFI 安全引导实施。请参见启用或禁用安全引导实施以获得安全的 ESXi 配置。
esxcli system settings encryption set --mode=TPM激活 TPM 后,将无法撤消该设置。
esxcli system settings encryption set
命令也会在某些 TPM 上失败。
- 在 vSphere 7.0 Update 2 中:NationZ (NTZ) 的 TPM、Infineon Technologies (IFX) 的 TPM 以及 Nuvoton Technologies Corporation (NTC) 的某些新型号(例如 NPCT75x)
- vSphere 7.0 Update 3 中:来自 NationZ (NTZ) 的 TPM
如果安装或升级 vSphere 7.0 Update 2 或更高版本在首次引导期间无法使用 TPM,则安装或升级将继续,并且模式默认为“无”(即,--mode=NONE
)。由此引发的行为就像未激活 TPM 一样。
TPM 还可以在封装策略中强制执行 execInstalledOnly 引导选项的设置。execInstalledOnly 实施是 ESXi 高级引导选项,可保证 VMkernel 仅执行已作为 VIB 的一部分正确打包和签名的二进制文件。execInstalledOnly 引导选项依赖于安全引导选项。必须先启用安全引导实施,然后才能在封装策略中强制执行 execInstalledOnly 引导选项。请参见启用或禁用 execInstalledOnly 实施以获得安全的 ESXi 配置。