CertBase Community
Die Lernplattform für Ihren Erfolg
Virtuelles Trusted Platform Module (vTPM) in Hyper-V Gast nutzen

Die mit Windows 10 Enterprise eingeführte virtualisierungsbasierte Sicherheit (Virtualization-based security, VBS) ermöglicht unter anderem die Nutzung eines virtuellen TPM-Chips in Gastsystemen. Nutzen kann man den TPM-Chip z.B. für die BitLocker-Laufwerksverschlüsselung oder für die Anmeldung mit virtuellen Smartcards.
In Versionen vor Windows 10, Version 1511 (Build 10586) wird ein TPM-Chip der Version 2.0 benötigt. Ab Windows 10 Version 1511 werden auch TPM-Chips der Spezifikation 1.2 unterstützt.

Sowohl das Host- als auch das Gastsystem müssen bestimmte Voraussetzungen erfüllen, damit die virtualisierungsbasierte Sicherheit aktiviert und ein virtueller TPM-Chip verwendet werden kann.

Voraussetzungen für das Hostsystem:

  • Windows 10 Enterprise 64-Bit
  • UEFI und sicherer Start
  • Second-Level Address Translation (SLAT)
  • Virtualisierungserweiterungen (Intel VT-x oder AMD RVI)
  • I/O Memory Management Unit (IOMMU) Chipset Virtualization (Intel VT-d or AMD-Vi)
  • TPM 2.0 oder TPM 1.2 (ab Windows 10, Version 1511)

Durch Aufruf von msinfo32.exe kann der Status für einen Großteil der Voraussetzungen schnell geprüft werden.

Info:
Haben Sie Windows 10 Pro installiert und verfügen Sie über einen gültigen Lizenzschlüssel für Windows 10 Enterprise können Sie Ihren Computer ohne viel Aufwand upgraden. Rufen Sie changePK.exe auf und geben Sie den Enterprise-Schlüssel ein. Den Rest erledigt der Assistent.

Die virtualisierungsbasierte Sicherheit wird im Editor für lokale Gruppenrichtlinien aktiviert. Der Pfad zur Richtlinie lautet Computerkonfiguration\ Administrative Vorlagen\ System\ Device Guard. Ist der Knoten nicht vorhanden, führt Ihr Computer vermutlich nicht die Enterprise Version von Windows 10 aus.

Durch das Aktivieren der Richtlinie wird automatisch die erforderliche Windows-Funktion Isolierter Benutzermodus installiert. Der isolierte Benutzermodus bietet eine Umgebung für die Ausführung von Prozessen der virtualisierungsbasierten Sicherheit.

Nachdem die Voraussetzungen erfüllt sind, kann das Trusted Platform Module in den Sicherheitseinstellungen des Gastsystems aktiviert werden.

Voraussetzungen für das Gastsystem:

  • Nur VMs der 2. Generation werden unterstützt.
  • Die VM muss in der aktuellen Version (Version 7) vorliegen. Auf anderen Systemen exportierte Maschinen können mithilfe von Update-VMVersion auf die neueste Version gebracht werden.
  • Das Gastsystem muss Windows 10 oder Windows Server 2016 ausführen.
  • Die VM muss für den sicheren Start aktiviert sein.

Falls zuvor noch nicht geschehen, müssen Sie auf dem Hostsystem noch den Dienst Windows-Remoteverwaltung durch Ausführen von WinRM Quickconfig an einer Eingeabeaufforderung mit erhöhten Rechten konfigurieren.

Per Powershell kann das virtuelle Trusted Platform Module (vTPM) mit dem Cmdlet Enable-VMTPM aktiviert werden.

Die Abbildung zeigt das TPM im Geräte-Manager eines virtuellen Windows 10 Computers:

Problembehandlung:
Obwohl alles korrekt konfiguriert und alle Anforderungen erfüllt waren, konnten VMs mit eingeschaltetem TPM in meinem Fall zunächst nicht gestartet werden. Es gab bei jedem Startversuch eine Fehlermeldung mit dem allgemeinen Hinweis, dass die VM nicht initialisiert werden konnte. Im Anwendungsprotokoll war die folgende Fehlermeldung mit der Ereignis-ID 1000 protokolliert:

Name der fehlerhaften Anwendung: vmwp.exe, Version: 10.0.10586.0, Zeitstempel: 0x5632d346
Name des fehlerhaften Moduls: HgsClientInterop.dll, Version: 10.0.14300.1000, Zeitstempel: 0x56f4acde
Ausnahmecode: 0xc0000005
Fehleroffset: 0x00000000000015fa
ID des fehlerhaften Prozesses: 0x12d8
Startzeit der fehlerhaften Anwendung: 0x01d1bbf3efcfb0a6
Pfad der fehlerhaften Anwendung: C:\windows\System32\vmwp.exe
Pfad des fehlerhaften Moduls: C:\windows\system32\HgsClientInterop.dll
Berichtskennung: 5fd2126b-e8e7-46ec-b382-0cd30c86425a
Vollständiger Name des fehlerhaften Pakets:
Anwendungs-ID, die relativ zum fehlerhaften Paket ist:

Der Fehler ließ sich trotz zahlreicher Versuch nicht beheben. Letztlich hat ein Wechsel auf die aktuelle Windows 10 Enterprise Insider Preview (Build 14342) dazu geführt, dass VMs mit aktiviertem TPM problemlos gestartet werden konnten.


Eingetragen Wed, 01. Jun 2016 16:54 von Maik
CertBase - IT-Prüfungsvorbereitung Online