在 vSphere 7.0 Update 2 及更新版本中,ESXi 主機會使用 TPM 根據平台設定暫存器 (PCR) 原則封裝主機組態。PCR 原則可設定為強制執行 UEFI 安全開機和其他設定。
TPM 可使用平台設定暫存器 (PCR) 度量來實作用於限制對機密資料進行未經授權存取的原則。將具有 TPM 的 ESXi 主機安裝或升級至 vSphere 7.0 Update 2 及更新版本時,TPM 會使用涵蓋安全開機設定的原則來封裝敏感資訊。此原則會在首次使用 TPM 封裝資料時確認是否已啟用安全開機,然後,在後續開機過程中嘗試解除封裝資料時,安全開機仍必須處於啟用狀態。
安全開機是 UEFI 韌體標準的一部分。啟用 UEFI 安全開機的情況下,除非作業系統開機載入器具有有效的數位簽章,否則主機將拒絕載入任何 UEFI 驅動程式或應用程式。
您可以選擇停用或啟用 UEFI 安全開機強制執行。請參閱啟用或停用安全開機強制執行以確保安全的 ESXi 組態。
esxcli system settings encryption set --mode=TPM啟用 TPM 後,便無法復原設定。
esxcli system settings encryption set 命令也會在某些 TPM 上失敗。
- 在 vSphere 7.0 Update 2 中:來自 NationZ (NTZ) 的 TPM、來自 Infineon Technologies (IFX) 的 TPM 以及來自 Nuvoton Technologies Corporation (NTC) 的某些新型號 (例如 NPCT75x)
- 在 vSphere 7.0 Update 3 中:來自 NationZ (NTZ) 的 TPM
如果安裝或升級 vSphere 7.0 Update 2 或更新版本在首次開機期間無法使用 TPM,則安裝或升級將繼續,並且模式預設為 [無] (即,--mode=NONE)。由此產生的行為就像未啟用 TPM 一樣。
TPM 也可以在封裝原則中強制執行 execInstalledOnly 開機選項的設定。execInstalledOnly 強制執行是一個進階 ESXi 開機選項,可保證 VMkernel 僅執行作為 VIB 一部分進行正確封裝和簽署的二進位檔案。execInstalledOnly 開機選項依賴於安全開機選項。必須啟用安全開機強制執行,然後才能在封裝原則中強制執行 execInstalledOnly 開機選項。請參閱啟用或停用 execInstalledOnly 強制執行以確保安全的 ESXi 組態。
