Le système d'exploitation invité exécuté dans la machine virtuelle est exposé aux mêmes risques de sécurité qu'une machine physique. Pour optimiser la sécurité de votre environnement virtuel, vous pouvez ajouter un vTPM (Virtual Trusted Platform Module) à vos hôtes ESXi. Vous pouvez également activer la sécurité basée sur la virtualisation (VBS) pour les machines virtuelles qui exécutent les systèmes d'exploitation Windows 10 et Windows Server 2016 les plus récents.
Utilisation du TPM virtuel dans VMware Host Client
Le TPM (Trusted Platform Module) est une puce spécialisée qui stocke des informations sensibles spécifiques à l'hôte, comme des clés privées et des données secrètes du système d'exploitation. La puce TPM est également utilisée pour effectuer des tâches de chiffrement et attester de l'intégrité de la plate-forme.
Le périphérique TPM virtuel est une émulation logicielle de la fonctionnalité du TPM. Vous pouvez ajouter un périphérique TPM virtuel (vTPM) pour les machines virtuelles de votre environnement. La mise en œuvre du vTPM ne nécessite pas de puce TPM physique sur l'hôte. ESXi utilise le périphérique vTPM pour exercer la fonctionnalité de TPM dans votre environnement vSphere.
vTPM est disponible pour les machines virtuelles disposant des systèmes d'exploitation Windows 10 et Windows Server 2016. La machine virtuelle doit être de version matérielle 14 ou ultérieure.
Vous pouvez ajouter un périphérique TPM virtuel à une machine virtuelle uniquement dans l'instance vCenter Server. Pour plus d'informations, consultez la documentation Sécurité vSphere.
Dans VMware Host Client, vous pouvez uniquement supprimer le périphérique TPM virtuel depuis une machine virtuelle.
Utilisation de VBS dans VMware Host Client
La sécurité basée sur la virtualisation utilise la technologie de virtualisation basée sur Microsoft Hyper-V pour isoler les services du système d'exploitation Windows de base dans un environnement distinct et virtualisé. Ce type d'isolation offre un niveau de protection supplémentaire, car il rend impossible la manipulation des services clés de votre environnement.
L'activation de la sécurité basée sur la virtualisation sur une machine virtuelle active automatiquement le matériel virtuel dont Windows a besoin pour la fonctionnalité de sécurité basée sur la virtualisation. En activant la sécurité basée sur la virtualisation, une variante d'Hyper-V démarre sur la machine virtuelle et Windows commence à s'exécuter à l'intérieur de la partition racine d'Hyper-V.
La sécurité basée sur la virtualisation est disponible sur les versions les plus récentes du système d'exploitation Windows, par exemple Windows 10 et Windows Server 2016. Pour utiliser la sécurité basée sur la virtualisation sur une machine virtuelle, la machine virtuelle doit être compatible avec ESXi 6.7 et versions ultérieures.