مایکروسافت راهنمای مدیریت vTPM را برای حفظ امنیت ماشین‌های مجازی منتشر کرد

مایکروسافت امروز راهنمایی جامع برای مدیران IT و مدیران سیستم درباره مدیریت گواهی‌های “ماژول پلتفرم مطمئن مجازی” (vTPM) منتشر کرده است. این شرکت تأکید دارد که درک و اجرای صحیح این موضوع بسیار مهم است، زیرا سیستم‌عامل‌هایی مانند ویندوز 11 و ویندوز سرور 2025 که بر روی ماشین‌های مجازی نسل دوم Hyper-V اجرا می‌شوند، می‌توانند هنگام انتقال بین میزبان‌ها، ویژگی‌های امنیتی کامل خود را حفظ کنند.

مایکروسافت همیشه اعلام کرده که الزامات سیستمی ویندوز 11، مانند TPM 2.0، به گونه‌ای طراحی شده‌اند که به طور پیش‌فرض امنیت بیشتری نسبت به ویندوز 10 ارائه دهند. این شرکت اخیراً توضیحی منتشر کرده که نشان می‌دهد چگونه این اتفاق می‌افتد.

برای کسانی که کنجکاو هستند بدانند این فناوری چگونه کار می‌کند، vTPM به ماشین‌های مجازی امکان فعال‌سازی ویژگی‌های امنیتی مانند BitLocker و Secure Boot را می‌دهد. با این حال، Hyper-V هر نمونه vTPM را به دو گواهی خودامضای محلی میزبان مرتبط می‌کند. بدون انتقال صحیح این گواهی‌ها، مایکروسافت هشدار می‌دهد که مهاجرت زنده و صادرات دستی ماشین‌های مجازی مجهز به vTPM ممکن است شکست بخورد. این مسئله می‌تواند برای سازمان‌ها بسیار مشکل‌ساز باشد، زیرا آن‌ها قادر به انتقال بارهای کاری حفاظت‌شده نخواهند بود.

مایکروسافت توضیح می‌دهد که میزبان‌های Hyper-V به طور خودکار دو گواهی خودامضا، یک گواهی رمزنگاری و یک گواهی امضا، برای هر ماشین مجازی نسل دوم مجهز به vTPM تولید می‌کنند و آن‌ها را در بخش “Shielded VM Local Certificates” در کنسول مدیریت مایکروسافت (MMC) ذخیره می‌کنند. این گواهی‌ها عبارتند از:

1. گواهی رمزنگاری ماشین مجازی محافظت‌شده (UntrustedGuardian)(ComputerName)
2. گواهی امضای ماشین مجازی محافظت‌شده (UntrustedGuardian)(ComputerName)

هر دو گواهی رمزنگاری و امضا به صورت پیش‌فرض دارای دوره اعتبار 10 ساله هستند.

برای مهاجرت صحیح، مایکروسافت تأکید دارد که مدیران باید هر دو گواهی را همراه با کلیدهای خصوصی آن‌ها به عنوان یک فایل PFX (Personal Information Exchange) صادر کرده و در همان بخش روی میزبان هدف وارد کنند تا به عنوان گواهی‌های معتبر شناخته شوند.

این شرکت مراحل دقیق صادر کردن، وارد کردن و به‌روزرسانی (در صورت انقضای گواهی‌ها) را شرح داده و همچنین دستورات PowerShell مربوطه را ارائه کرده است. می‌توانید پست کامل وبلاگ را در وب‌سایت Tech Community مایکروسافت مشاهده کنید.