Sichern von virtuellen Maschinen im VMware Host Client

Das auf der virtuellen Maschine ausgeführte Gastbetriebssystem ist denselben Sicherheitsrisiken ausgesetzt wie ein physisches System. Zur Verbesserung der Sicherheit in Ihrer virtuellen Umgebung können Sie ein virtuelles Trusted Platform Module (vTPM) zu Ihren ESXi-Hosts hinzufügen. Sie können auch virtualisierungsbasierte Sicherheit (VBS) für die virtuellen Maschinen aktivieren, auf denen die aktuellen Windows 10- und Windows Server 2016-Betriebssysteme ausgeführt werden.

Verwenden des virtuellen TPM im VMware Host Client

Das Trusted Platform Module (TPM) ist ein spezieller Chip, auf dem hostspezifische vertrauliche Informationen gespeichert werden, wie z. B. private Schlüssel und Betriebssystemgeheimnisse. Der TPM-Chip wird auch verwendet, um kryptografische Aufgaben durchzuführen und die Integrität der Plattform zu bestätigen.

Das virtuelle TPM-Gerät stellt eine Softwareemulation der TPM-Funktion dar. Sie können den virtuellen Maschinen in Ihrer Umgebung ein virtuelles TPM-Gerät hinzufügen. Die vTPM-Implementierung benötigt keinen physischen TPM-Chip auf dem Host. ESXi verwendet das vTPM-Gerät, um die TPM-Funktionen in Ihrer vSphere-Umgebung anzuwenden.

vTPM steht für virtuelle Maschinen unter Windows 10 oder Windows Server 2016 zur Verfügung. Die virtuelle Maschine muss die Hardwareversion 14 oder höher aufweisen.

Sie können ein virtuelles TPM-Gerät nur in der vCenter Server-Instanz einer virtuellen Maschine hinzufügen. Weitere Informationen finden Sie in der Dokumentation vSphere-Sicherheit.

Im VMware Host Client können Sie das virtuelle TPM-Gerät ausschließlich aus einer virtuellen Maschine entfernen.

Verwenden von VBS im VMware Host Client

Virtualisierungsbasierte Sicherheit (VBS) verwendet die auf Microsoft Hyper-V basierende Virtualisierungstechnologie, um Kerndienste des Windows-Betriebssystems in einer separaten virtualisierten Umgebung zu isolieren. Diese Isolation bietet zusätzlichen Schutz, da sie verhindert, dass Schlüsseldienste in Ihrer Umgebung manipuliert werden.

Durch Aktivierung von VBS auf einer virtuellen Maschine wird automatisch auch die virtuelle Hardware aktiviert, die von Windows für die VBS-Funktion benötigt wird. Durch Aktivierung von VBS startet eine Variante von Hyper-V in der virtuellen Maschine und Windows wird innerhalb der Hyper-V-Root-Partition ausgeführt.

VBS steht in den aktuellen Versionen der Windows-Betriebssysteme zur Verfügung, z. B. Windows 10 und Windows Server 2016. Zur Verwendung von VBS auf einer virtuellen Maschine muss diese mit ESXi 6.7 und höher kompatibel sein.

Sie können VBS während der Erstellung einer virtuellen Maschine im VMware Host Client aktivieren. Alternativ können Sie VBS für eine vorhandene virtuelle Maschine aktivieren oder deaktivieren.

Hinweis: Sie können VBS nur dann auf einer virtuellen Maschine aktivieren, wenn die TPM-Validierung des Hosts erfolgreich verläuft.