在虛擬機器中執行的客體作業系統會與任何實體系統一樣,很容易遭到相同安全性風險的攻擊。

若要提高虛擬環境中的安全性,您可以將虛擬信賴平台模組 (vTPM) 新增至 ESXi 主機。也可以針對執行最新 Windows 10 和 Windows Server 2016 作業系統的虛擬機器啟用虛擬化型安全性 (VBS)。可以使用虛擬機器的虛擬 Intel® 軟體防護延伸 (vSGX) 為工作負載提供額外的安全性。

VMware Host Client 中啟用虛擬機器上的 vSGX

若要防止洩露和修改 Enclave 內容,您可以在 VMware Host Client 中啟用虛擬機器上的 vSGX。

使用 vSGX 保護虛擬機器
vSphere 允許您為虛擬機器設定 vSGX。某些新型 Intel CPU 會執行稱為 Intel ® 軟體防護延伸 (Intel ® SGX) 的安全性延伸。Intel SGX 允許使用者層級代碼定義記憶體的私有區域 (稱為 Enclave)。Intel SGX 可透過以下方式防止 Enclave 內容洩露或修改:使在 Enclave 外部執行的代碼無法存取 Enclave。
vSGX 允許虛擬機器使用 Intel SGX 技術 (如果在硬體上可用)。若要使用 vSGX, ESXi主機必須安裝在支援 SGX 的 CPU 上,並且必須在 ESXi 主機的 BIOS 中啟用 SGX。您可以使用 vSphere Client為虛擬機器啟用 SGX。如需詳細資訊,請參閱 vSphere 安全性說明文件。

某些作業和功能與 SGX 不相容。

  • Storage vMotion 移轉
  • 暫停或恢復虛擬機器
  • 建立虛擬機器的快照
  • Fault Tolerance
  • 啟用客體完整性 (GI,VMware AppDefense 1.0 的平台基礎)

必要條件

  • 關閉虛擬機器電源。

  • 確認虛擬機器使用 EFI 韌體。
  • 確認 ESXi主機是 7.0 版或更新版本。
  • 確認虛擬機器中的客體作業系統為 Linux、Windows 10 (64 位元) 或更新版本,或 Windows Server 2016 (64 位元) 或更新版本。
  • 確認您在虛擬機器上具備虛擬機器.組態.修改裝置設定權限。
  • 確認 ESXi主機安裝在支援 SGX 的 CPU 上,並且在ESXi 主機的 BIOS 中啟用了 SGX。如需支援的 CPU 的相關資訊,請參閱 https://kb.vmware.com/s/article/71367

程序

  1. VMware Host Client 詳細目錄中,按一下虛擬機器
  2. 在清單中的虛擬機器上按一下滑鼠右鍵,然後從快顯功能表中選取編輯設定
  3. 虛擬硬體索引標籤上,展開安全性裝置
  4. 選取啟用核取方塊。
  5. Enclave 頁面快取大小下,在文字方塊中輸入新值,然後從下拉式功能表中選取大小 (MB 或 GB)。
    備註: Enclave 頁面快取大小必須為 2 的倍數。
  6. 啟動控制組態下拉式功能表中,選取適當模式。
    選項 動作
    已鎖定 啟用啟動 Enclave 組態。

    啟動 Enclave 公開金鑰雜湊下,輸入有效的 SHA256 雜湊。

    SHA256 雜湊金鑰必須包含 64 個字元。
    已解除鎖定 啟用客體作業系統的啟動 Enclave 組態。
  7. 按一下儲存

VMware Host Client 中停用虛擬機器上的 vSGX

若要在虛擬機器上停用 vSGX,您可以使用 VMware Host Client

程序

  1. VMware Host Client 詳細目錄中,按一下虛擬機器
  2. 在清單中的虛擬機器上按一下滑鼠右鍵,然後從快顯功能表中選取編輯設定
  3. 虛擬硬體索引標籤上,展開安全性裝置
  4. 取消選取啟用核取方塊,然後按一下儲存

結果

此虛擬機器上已停用 vSGX。

VMware Host Client 中從虛擬機器移除 vTPM 裝置

信賴平台模組 (TPM) 是一種專用晶片,用於儲存主機特定的敏感資訊,例如私密金鑰和作業系統密碼。TPM 晶片也用於執行密碼編譯工作以及證明平台的完整性。在 VMware Host Client 中,只能從虛擬機器移除 vTPM 裝置。

虛擬 TPM 裝置是對 TPM 功能的軟體模擬。您可以將虛擬 TPM (vTPM) 裝置新增到您環境中的虛擬機器。vTPM 實作不需要主機上的實體 TPM 晶片。ESXi 使用 vTPM 裝置在 vSphere 環境中執行 TPM 功能。

vTPM 適用於具有 Windows 10 和 Windows Server 2016 作業系統的虛擬機器。虛擬機器必須具有硬體版本 14 或更新版本。

只能將虛擬 TPM 裝置新增至 vCenter Server 執行個體中的虛擬機器。如需詳細資訊,請參閱 vSphere 安全性說明文件。

VMware Host Client 中,只能從虛擬機器移除虛擬 TPM 裝置。

必要條件

  • 虛擬機器必須具有硬體版本 14 或更新版本。
  • 客體作業系統必須是 Windows 10 或 Windows Server 2016 及更新版本。
  • 必須關閉虛擬機器的電源。

程序

  1. VMware Host Client 詳細目錄中按一下虛擬機器
  2. 在清單中的虛擬機器上按一下滑鼠右鍵,然後從快顯功能表中選取編輯設定
  3. 虛擬硬體索引標籤上,找到 TPM 裝置,然後按一下移除圖示。
    會從虛擬機器移除虛擬 TPM 裝置。
  4. 按一下儲存以關閉精靈。

VMware Host Client 中的現有虛擬機器上啟用或停用虛擬化型安全性

虛擬化型安全性 (VBS) 會使用 Microsoft Hyper-V 型虛擬化技術在單獨的虛擬化環境中隔離核心 Windows 作業系統服務。此類隔離提供額外的一層保護,因為它可使環境中的關鍵服務無法操縱。

對於支援的 Windows 客體作業系統,可以透過在現有虛擬機器上啟用或停用 Microsoft 虛擬化型安全性 (VBS) 來變更虛擬機器的安全性層級。

在虛擬機器上啟用 VBS,會自動啟用 Windows 執行 VBS 功能所需的虛擬硬體。透過啟用 VBS,Hyper-V 的變體會在虛擬機器中啟動,並且 Windows 會在 Hyper-V 根磁碟分割內開始執行。

VBS 在最新的 Windows 作業系統版本上可供使用,例如 Windows 10 和 Windows Server 2016。若要在虛擬機器上使用 VBS,虛擬機器相容性必須為 ESXi 6.7 及更新版本。

VMware Host Client 中,您可以在虛擬機器建立期間啟用 VBS。或者,您可以針對現有虛擬機器啟用或停用 VBS。

必要條件

設定 VBS 的程序涉及首先在虛擬機器中啟用 VBS,然後在客體作業系統中啟用 VBS。
備註: 在低於版本 14 的硬體版本上針對 Windows 10、Windows Server 2016 和 Windows Server 2019 設定的新虛擬機器,預設為使用舊版 BIOS 進行建立。如果將虛擬機器的韌體類型從舊版 BIOS 變更為 UEFI,則必須重新安裝客體作業系統。

僅當主機的 TPM 驗證成功時,才可以在虛擬機器上啟用 VBS。

要使用 Intel CPU 實現 VBS,需要使用 vSphere 6.7 或更新版本。必須已使用硬體版本 14 或更新版本,以及下列其中一個支援的客體作業系統建立虛擬機器:

  • Windows 10 (64 位元) 或更新版本
  • Windows Server 2016 (64 位元) 或更新版本

要使用 AMD CPU 實現 VBS,需要使用 vSphere 7.0 Update 2 或更新版本。必須已使用硬體版本 19 或更新版本、以及下列其中一個支援的客體作業系統建立虛擬機器:

  • Windows 10 (64 位元) 版本 1809 或更新版本
  • Windows Server 2019 (64 位元) 或更新版本

在啟用 VBS 之前,請確保已安裝 Windows 10 版本 1809 和 Windows Server 2019 的最新修補程式。

如需有關在 AMD 平台中的虛擬機器上啟用 VBS 的詳細資訊,請參閱 VMware 知識庫文章,網址為 https://kb.vmware.com/s/article/89880

程序

  1. VMware Host Client 詳細目錄中按一下虛擬機器
  2. 在清單中的虛擬機器上按一下滑鼠右鍵,然後從快顯功能表中選取編輯設定
  3. 虛擬機器選項索引標籤上,為虛擬機器啟用或停用 VBS。
    • 若要為虛擬機器啟用 VBS,請選取啟用虛擬化型安全性核取方塊。
    • 若要為虛擬機器停用 VBS,請取消選取啟用虛擬化型安全性核取方塊。
    啟用 VBS 時,數個選項會自動選取,並且在精靈中以灰色顯示。
  4. 按一下儲存以關閉精靈。