In vSphere 7.0 Update 2 und höher verwendet ein ESXi-Host das TPM, um die Konfiguration des Hosts mit einer Richtlinie für das Platform Configuration Register (PCR) zu versiegeln. Die PCR-Richtlinie kann so konfiguriert werden, dass UEFI Secure Boot und andere Einstellungen erzwungen werden.
Ein TPM kann mithilfe von PCR-Messungen (Platform Configuration Register) Richtlinien implementieren, die den nicht autorisierten Zugriff auf vertrauliche Daten beschränken. Wenn Sie einen ESXi-Host mit einem TPM installieren oder ein Upgrade auf vSphere 7.0 Update 2 und höher durchführen, versiegelt das TPM die vertraulichen Informationen mithilfe einer Richtlinie, die die Einstellung für den sicheren Start enthält. Diese Richtlinie überprüft, dass, wenn der sichere Start aktiviert war, als Daten zum ersten Mal mit dem TPM versiegelt wurden, der sichere Start immer noch aktiviert sein muss, wenn versucht wird, die Daten bei einem nachfolgenden Start zu entsiegeln.
Secure Boot (sicherer Start) ist Bestandteil des UEFI-Firmwarestandards. Bei aktiviertem UEFI Secure Boot lädt ein Host einen UEFI-Treiber oder -Apps nur, wenn der Bootloader des Betriebssystems über ein gültige digitale Signatur verfügt.
Sie können die UEFI Secure Boot-Erzwingung deaktivieren oder aktivieren. Weitere Informationen hierzu finden Sie unter Aktivieren oder Deaktivieren der Secure Boot-Erzwingung für eine sichere ESXi-Konfiguration.
esxcli system settings encryption set --mode=TPMNach Aktivierung des TPM können Sie die Einstellung nicht mehr rückgängig machen.
esxcli system settings encryption set
schlägt auf manchen TPMs selbst dann fehl, wenn das jeweilige TPM für den Host aktiviert ist.
- In vSphere 7.0 Update 2: TPMs von NationZ (NTZ), Infineon Technologies (IFX) und bestimmte neue Modelle (wie NPCT75x) von Nuvoton Technologies Corporation (NTC)
- In vSphere 7.0 Update 3: TPMs von NationZ (NTZ)
Wenn eine Installation oder ein Upgrade von vSphere 7.0 Update 2 das TPM beim ersten Start nicht verwenden kann, wird die Installation oder das Upgrade fortgesetzt, und der Modus wird standardmäßig auf KEINE (d. h. --mode=NONE
) festgelegt. Das resultierende Verhalten sieht so aus, als ob das TPM nicht aktiviert ist.
Das TPM kann auch die Einstellung für die Startoption „execInstalledOnly“ in der Versiegelungsrichtlinie erzwingen. Die Erzwingung „execInstalledOnly“ ist eine erweiterte ESXi-Startoption, mit der garantiert wird, dass der VMkernel nur Binärdateien ausführt, die ordnungsgemäß verpackt und als Teil eines VIB signiert wurden. Die Startoption „execInstalledOnly“ ist von der Option für den sicheren Start abhängig. Die Erzwingung des sicheren Starts muss aktiviert sein, bevor Sie die Startoption „execInstalledOnly“ in der Versiegelungsrichtlinie erzwingen können. Weitere Informationen hierzu finden Sie unter Aktivieren oder Deaktivieren der execInstalledOnly-Erzwingung für eine sichere ESXi-Konfiguration.