مایکروسافت امروز راهنمایی جامع برای مدیران IT و مدیران سیستم درباره مدیریت گواهیهای “ماژول پلتفرم مطمئن مجازی” (vTPM) منتشر کرده است. این شرکت تأکید دارد که درک و اجرای صحیح این موضوع بسیار مهم است، زیرا سیستمعاملهایی مانند ویندوز 11 و ویندوز سرور 2025 که بر روی ماشینهای مجازی نسل دوم Hyper-V اجرا میشوند، میتوانند هنگام انتقال بین میزبانها، ویژگیهای امنیتی کامل خود را حفظ کنند.
مایکروسافت همیشه اعلام کرده که الزامات سیستمی ویندوز 11، مانند TPM 2.0، به گونهای طراحی شدهاند که به طور پیشفرض امنیت بیشتری نسبت به ویندوز 10 ارائه دهند. این شرکت اخیراً توضیحی منتشر کرده که نشان میدهد چگونه این اتفاق میافتد.
برای کسانی که کنجکاو هستند بدانند این فناوری چگونه کار میکند، vTPM به ماشینهای مجازی امکان فعالسازی ویژگیهای امنیتی مانند BitLocker و Secure Boot را میدهد. با این حال، Hyper-V هر نمونه vTPM را به دو گواهی خودامضای محلی میزبان مرتبط میکند. بدون انتقال صحیح این گواهیها، مایکروسافت هشدار میدهد که مهاجرت زنده و صادرات دستی ماشینهای مجازی مجهز به vTPM ممکن است شکست بخورد. این مسئله میتواند برای سازمانها بسیار مشکلساز باشد، زیرا آنها قادر به انتقال بارهای کاری حفاظتشده نخواهند بود.
مایکروسافت توضیح میدهد که میزبانهای Hyper-V به طور خودکار دو گواهی خودامضا، یک گواهی رمزنگاری و یک گواهی امضا، برای هر ماشین مجازی نسل دوم مجهز به vTPM تولید میکنند و آنها را در بخش “Shielded VM Local Certificates” در کنسول مدیریت مایکروسافت (MMC) ذخیره میکنند. این گواهیها عبارتند از:
- گواهی رمزنگاری ماشین مجازی محافظتشده (UntrustedGuardian)(ComputerName)
- گواهی امضای ماشین مجازی محافظتشده (UntrustedGuardian)(ComputerName)
هر دو گواهی رمزنگاری و امضا به صورت پیشفرض دارای دوره اعتبار 10 ساله هستند.
برای مهاجرت صحیح، مایکروسافت تأکید دارد که مدیران باید هر دو گواهی را همراه با کلیدهای خصوصی آنها به عنوان یک فایل PFX (Personal Information Exchange) صادر کرده و در همان بخش روی میزبان هدف وارد کنند تا به عنوان گواهیهای معتبر شناخته شوند.
این شرکت مراحل دقیق صادر کردن، وارد کردن و بهروزرسانی (در صورت انقضای گواهیها) را شرح داده و همچنین دستورات PowerShell مربوطه را ارائه کرده است. میتوانید پست کامل وبلاگ را در وبسایت Tech Community مایکروسافت مشاهده کنید.