从 vSphere 7.0 Update 2 开始，ESXi 配置会受到加密保护。当选择使用 TPM 保护 ESXi 主机时，TPM 会封装 ESXi 配置加密密钥。

许多 ESXi 服务将密钥存储在其配置文件中。这些配置会作为存储文件存储在 ESXi 主机的引导槽中。从 vSphere 7.0 Update 2 开始，将加密此存档文件。这样，攻击者将无法直接读取或更改此文件，即使他们具有 ESXi 主机存储的物理访问权限。

除了防止攻击者访问密钥外，当 ESXi 安全配置与 TPM 一同使用时，还可以使保存的虚拟机加密密钥在重新引导后仍然存在。因此，当密钥服务器不可用或无法访问时，加密的工作负载可以继续运行。请参见密钥持久性概览。