想要有效保護主機中各類重要的敏感資料,可藉由各種安全加密機制來做防護。只是當需要保護的對象是虛擬機器而非實體主機時,該怎麼辦呢?且看本文以實戰講解方式說明如何運用vSphere 6.7對於vTPM技術的支援,解決極機密虛擬機器資料的保護需求。
最後,開啟虛擬機器電源來進入Guest OS的桌面。只要是相容的Windows Server 2016或Windows 10,便可以在打開「電腦管理」介面後,發現「裝置管理員」頁面中的「安全性裝置」多了一個「信賴平台模組2.0」設定選項,如圖8所示,這與在實體主機所看到的是一樣的結果。
 |
| ▲圖8 在Guest OS電腦管理介面內新增了一個「信賴平台模組2.0」設定選項。 |
對虛擬機器來說,這表示已經成功啟用了vTPM 2.0的加密防護功能,接下來準備加密系統磁碟,以及任何需要受到保護的磁碟。對於所產生的加密以及憑證的相關資訊,將會自動寫入至虛擬機器的.nvram檔案內,並且受到VM Encryption安全加密機制的保護。
Windows TPM管理說明
用來搭配vTPM技術以管理磁碟加密保護的工具即是BitLocker,然而無論是Windows Server 2016或是Windows 10專業版和企業版,皆支援相容VMware vSphere 6.7 vTPM功能的BitLocker,只是前者預設並未安裝此項功能,需要透過「伺服器管理員」介面進行安裝。
先在「管理」選單中點選「新增角色及功能」,接著連續按下〔下一步〕按鈕來到「功能」頁面,如圖9所示,勾選「BitLocker磁碟機加密」並按下〔下一步〕按鈕,完成安裝以及重新開機即可。
 |
| ▲圖9 新增Windows Server功能。 |
除了可透過「伺服器管理員」圖形介面來安裝「BitLocker磁碟機加密」功能外,也可以透過下列的PowerSehll Cmdlet進行安裝,執行此命令參數後,將會在成功安裝後自動進行重新開機:
Install-WindowsFeature BitLocker
-IncludeAllSubFeature -Include
ManagementTools -Restart
完成BitLocker功能與相關管理工具的安裝後,可以先從執行MMC介面或「控制台」的「BitLocker磁碟機加密」介面中,來開啟「本機電腦上的信賴平台模組(TPM)管理」。
如圖10所示,在此首先可以查看到「製造廠商名稱」為VMW,其實也就是VMware的縮寫,而「規格版本」則是2.0,並且呈現TPM已可使用的狀態,這表示採用了vSphere vTPM 2.0的虛擬化技術。
 |
| ▲圖10 到TPM管理介面內查詢。 |
在右側的「動作」選單中,可以執行的操作包括「變更擁有者密碼」、「清除TPM」以及「重設TPM鎖定」。必須注意的是,如果在此介面中出現「找不到相容的TPM」訊息,表示尚未正確啟用虛擬機器的TPM裝置。而關於TPM的管理,除了可以透過簡易的GUI操作介面之外,對於進階的管理員而言,也可透過Windows PowerShell來完成,可參閱表1的說明。若想知道某一個命令的用法與範例,只要執行「Get-Help 命令名稱 -Detailed」即可。
表1 TPM管理命令一覽
但必須注意的是,即便Microsoft有提供在Windows 7和Windows Server 2008 R2的更新(Hotfix),讓這兩款作業系統也能夠支援TPM 2.0,但是在vSphere 6.7中仍然不支援於這兩種Guest OS中使用vTPM功能。
進行BitLocker磁碟管理
確認TPM功能已經在Windows的Guest OS中啟用後,便可以開啟「控制台」的「BitLocker磁碟機加密」介面來選擇想要啟用加密的磁碟,這包括作業系統磁碟、固定資料磁碟機以及抽取式資料磁碟機。如圖11所示,以作業系統磁碟為例,點選「開啟BitLocker」超連結。
 |
| ▲圖11 進行BitLocker磁碟加密管理。 |