Risoluzione del problema dell'allarme di attestazione TPM host in VMware

Tecnica
By Merwan Redha

i punti principali

  • L'autenticazione host in vSphere verifica l'integrità del sistema host per garantire che non sia stato manomesso, creando un ambiente sicuro per le macchine virtuali (VM).
  • L'"allarme di autenticazione host TPM" solitamente deriva da problemi con il chip fisico TPM 2.0, spesso dovuti a impostazioni UEFI errate o all'aggiunta di un nuovo chip TPM.
  • Per correggere questo errore, assicurarsi che Secure Boot sia abilitato, che le impostazioni TPM siano corrette e che le versioni di vCenter Server/ESXi siano aggiornate; inoltre, disconnettere e ricollegare l'host a vCenter può risolvere il problema se è stato aggiunto un nuovo TPM.

In VMwareo più specificamente, in vSpherePotresti riscontrare un errore che recita "Allarme di autenticazione host TPMSe hai appena installato un nuovo chip TPM 2.0 nel tuo sistema host, potresti chiederti perché visualizzi questo messaggio. In questa guida, spiegheremo cosa significa autenticazione host e come risolvere questo problema.

Risoluzione del problema dell'allarme di attestazione TPM host in VMware

Che cos'è l'autenticazione host?

In termini semplici, l'autenticazione dell'host è verificata da لا Il tuo computer (l'host) su cui lavori molto macchine virtuali Attraverso vSphereCiò garantisce che il sistema rimanga intatto e fornisce un ambiente sicuro per le macchine virtuali. Immagina quanto sicura vorresti che fosse la tua casa (l'host) tu (la macchina virtuale).

Viene generato un report contenente dati essenziali sul sistema, che viene utilizzato per confrontarlo con valori noti o attesi e determinare se l'host è affidabile. Questo diventa indispensabile negli ambienti server in cui vengono immessi dati preziosi nel sistema. miliardi di dollari Per i dispositivi remoti, e vorrai assicurarti che questi dispositivi siano affidabili.

Di solito non è necessario TPM In vSphereOgni macchina virtuale viene utilizzata nell'ambiente vSphere. vTPM (Virtual Trusted Platform Module) per garantire una sicurezza di base. Non è necessario un TPM fisico per utilizzare vTPM. vTPM consente l'utilizzo di servizi come BitLocker Ogni macchina virtuale è separata.

Si verifica un problema.Allarme di autenticazione host TPM"A causa del TPM fisico. Ciò potrebbe essere dovuto a diversi motivi; l'aggiunta di un chip Nuovo TPMDispositivi TPM غير كافيةimpostazioni UEFI non correttoo problema vSphere/vCenter.

Come risolvere l'allarme "TPM host authentication"?

Fortunatamente, risolvere un avviso di autenticazione TPM host non è difficile. Innanzitutto, dobbiamo individuare la causa principale del problema. Per farlo, possiamo visualizzare il messaggio di errore pertinente o esaminare i log.

  1. chiamata Server vCenter.
  2. Seleziona un data center e vai su “Monitorare".
  3. entro "Cookie di prestazione", tocca "Sicurezza ".
  4. Identificare il dispositivo che presenta questo problema e controllare il messaggio di errore nel "Messaggio(Fonte: VMware)
  5. Se il messaggio dice:L'avvio sicuro dell'host è stato disabilitato“Quindi segui Passo 1 Di seguito per abilitare Secure Boot Dalle impostazioni UEFI. Se la colonna "attestazioneSi riferisce semplicemente afallito"Allora dovrai controllare file di registro Specifico per vCenter Server. Per ulteriori informazioni sui file di registro, consultare questo articolo. Guida.
  6. Una volta trovato un file vpxd.logControlla se contiene il record: “Non esiste una chiave di identità nascosta; il caricamento avviene dal database.Se è così, segui Passo 2.

1) Il tuo host soddisfa i requisiti?

Se la macchina virtuale è configurata per utilizzare l'autenticazione host, deve soddisfare determinati requisiti, ovvero:

  • fetta TPM 2.0 fisico
  • deve essere abilitato Secure Boot
  • Il TPM deve utilizzare la crittografia basata su SHA-256
  • Le versioni devono essere aggiornate Server vCenter e ESXi per me 6.7 o superiore

Nella quasi totalità dei casi, l'utente ha disabilitato accidentalmente TPM o Secure Boot. Per riabilitare queste impostazioni, seguire questi passaggi:

  1. Riavvia il computer e premi i tasti “Elimina","F1","F2"O"F10".
  2. Vai alla scheda “stivale"E cerca un'impostazione chiamata"Secure BootImpostalo su "Gli utenti dell’app Smart Spaces con Google Wallet possono ora usufruire di accesso mobile contactless con qualsiasi lettore HID® Signo™ abilitato NFC.".
  3. Successivamente, dobbiamo abilitare TPM. Andiamo su "Impostazioni profiloNel nostro caso, il TPM si trovava all'interno del "Informatica fidataQuesto può variare a seconda del sistema, quindi è meglio fare riferimento al manuale della scheda madre.
  4. Se le tue app non sono aggiornate, dovresti aggiornarle alla versione più recente. 6.7 Almeno, secondo i requisiti. Poiché vSphere e vCenter sono applicazioni sofisticate, è consigliabile seguire i manuali corretti.vSphere, vCenterPer garantire che non si verifichino problemi imprevisti.

2) Installare il chip TPM in un host esistente

Se i file di registro contengono il testo "Nessuna chiave di identità memorizzata nella cache, caricamento dal DBCiò significa essenzialmente che hai installato il chip TPM 2.0 su un host già gestito da vCenter. Per risolvere il problema, è sufficiente mettere l'host in modalità. manutenzioneScollegare l'host ESXi dal server vCenter, quindi ricollegarlo.

  1. Registrazione per me vSphere Client.
  2. Fare clic con il tasto destro Sull'host ESXi il significato.
  3. Trova "Modalità di manutenzione(Modalità manutenzione) e cliccare su “Entra in modalità di manutenzione(Entrando in modalità manutenzione). (Fonte: Software StarWind)
  4. Una volta entrati in modalità di manutenzione, Fare clic con il tasto destro Torna sul server. Vai a "Connessione(Connetti) e seleziona “Disconnect(Disconnessione) come mostrato. (Fonte: VMware)
  5. Dopo esserti disconnesso con successo dal server, fai nuovamente clic con il pulsante destro del mouse sul server e vai su "Connessione(Connetti) e seleziona “Connettere(Connessione). Attendi che lo stato dell'attività venga aggiornato a "Completato".
  6. Se il file non è più disponibile vpxd.log Contiene lo stesso messaggio, quindi procedi come segue: Ripristina (Reimposta) Avviso colore il verde (Verde) Manualmente. (Fonte: Lenovo)

Quanto è affidabile il TPM?

L'attestazione host si basa sui dispositivi TPM (Trusted Platform Module) installati sull'host. Il sistema genera un report contenente un hash del suo stato attuale, del software, del firmware e di altre informazioni. Se combinato, questo è praticamente impossibile. Falsificazione (parodia) o Ricreare (ricreare) una copia di questo frammento, grazie ad un processo chiamato Catena di vendita al dettaglio (hash-chaining).

Il modulo TPM fisico sul tuo host non può essere passato alle macchine virtuali (VM) installate su di esso. Le macchine virtuali utilizzano quello che viene chiamato un vTPM (Il modulo TPM virtuale) fornisce le funzionalità a livello software del chip TPM 2.0. Il modulo TPM fisico garantisce il funzionamento sicuro dell'host e ha una connessione minima o nulla con le macchine virtuali installate su di esso.

Potrebbe verificarsi una situazione in cui, se il server utilizza "Autenticazione host(Attestazione host) Autenticazione non riuscita a causa del modulo TPM fisico; l'host non è in grado di decrittografare i file di configurazione della macchina virtuale perché Server vCenter Non si fida di lui.

Pertanto, un modulo TPM può essere estremamente utile se si desidera un ulteriore livello di protezione e sicurezza. Tuttavia, è bene essere consapevoli dei suoi svantaggi, poiché servizi come BitLocker possono crittografare l'intera unità e renderla inaccessibile senza credenziali valide.

Conclusione

Preparare"Allarme di autenticazione host TPMIl problema "Allarme attestazione TPM host" è un argomento molto complesso e dettagliato se si approfondiscono le sue complessità; tuttavia, la risoluzione di questo problema comporta solo 2 Si tratta di un controllo semplice. Tieni presente che potrebbero verificarsi numerosi problemi durante la configurazione di questa funzionalità, come algoritmi di hashing, gestione di più host, ecc., ma la procedura può diventare molto specifica.

Tuttavia, grazie all'astrazione e a un processo semplificato, questo errore si verifica spesso a causa delle impostazioni. UEFI Installazione errata o impropria del chip TPMTuttavia, sebbene il TPM offra vantaggi, in rari casi può comportare il rischio di bloccare completamente l'accesso al sistema. Pertanto, consigliamo agli utenti di valutare rischi e benefici e di procedere con cautela.

domande comuni

Che cosa è l'attestazione dell'host?

L'attestazione dell'host è una procedura che verifica l'affidabilità dell'hardware di un host prima che gli utenti possano interagire con esso. Il servizio di attestazione verifica l'integrità dell'host in base a buone pratiche note o a una policy predefinita.

Questo problema riguarda le macchine virtuali sull'host?

Dipende dalla gravità del problema. In genere, un allarme di attestazione TPM host è correlato all'host o al modulo TPM fisico. Nel peggiore dei casi, potresti essere bloccato fuori dalle tue macchine virtuali se vCenter Server rileva che l'host è stato compromesso.

È necessaria un'unità TPM fisica per VMware?

Le macchine virtuali installate sugli host utilizzano un cosiddetto TPM (Type-Performing Device) virtuale. I TPM virtuali non si basano in alcun modo su un TPM fisico.

Merwan Redha 2632 messaggi 0 commenti
Ti potrebbe piacere anche Altri di autore

I commenti sono chiusi.