啟用vTPM 2.0磁碟防護 加密保全虛擬機器

想要有效保護主機中各類重要的敏感資料,可藉由各種安全加密機制來做防護。只是當需要保護的對象是虛擬機器而非實體主機時,該怎麼辦呢?且看本文以實戰講解方式說明如何運用vSphere 6.7對於vTPM技術的支援,解決極機密虛擬機器資料的保護需求。

如圖12所示,在「要如何備份您的修復金鑰」頁面中建議點選「儲存到檔案」選項,來選定要存放備份修復金鑰檔案的位置。不可以選擇準備要加密或是已經加密的磁碟路徑,而是選擇外接的USB磁碟機最為理想,並且最好能夠多複製此檔案至不同磁碟妥善保存,因為一旦該部電腦發生故障而無法使用時,還可以透過此修復金鑰檔案的認證,來繼續存取已加密磁碟中的所有資料。設定完畢,按下〔下一步〕按鈕繼續。


▲圖12 備份修復金鑰。

如圖13所示,接著來到「選擇要加密的磁碟機大小」頁面,如果是針對全新尚未存放檔案的磁碟,請選取「只加密已使用的磁碟空間」,如此系統後續將會自動對於新增的檔案進行加密。相反地,若是針對已經存放許多檔案的磁碟,建議選取「加密整個磁碟機」,以確保整個磁碟中的檔案都受到保護。


▲圖13 選擇要加密的磁碟大小。

按下〔下一步〕按鈕,切換至「選擇要使用哪一種加密模式」頁面。如圖14所示,若針對抽取式的USB磁碟進行加密,而這個磁碟機還會在舊版的Windows 7或Windows 8/8.1中存取,必須選擇「相容模式」。若加密的是本機固定磁碟,並且不會移動至舊版Windows存取,選取「新的加密模式」將可以獲得更高的安全性保護。決定好了之後,按下〔下一步〕。


▲圖14 選擇加密模式。

隨後,在「準備開始加密此磁碟機」頁面內確認已勾選「執行BitLocker系統檢查」選項,以確保BitLocker能夠正確讀取修復及加密金鑰。按下〔繼續〕按鈕後,如圖15所示,將會在Windows桌面右下方出現重新啟動電腦的提示訊息。點選此訊息後,將立即重新啟動電腦。


▲圖15 磁碟加密前的提示。

重新啟動虛擬機器後,開啟檔案管理介面,如圖16所示,便會發現在系統磁碟中多了一個鎖頭小圖示,這表示此磁碟已經完成BitLocker加密,並且在啟動時自動透過vTPM裝置完成解密,因此才能夠正常啟動此Guest OS並進行存取。換句話說,如果將此虛擬機器的虛擬硬碟複製到其他主機中來嘗試啟動或存取,肯定會遭遇失敗,原因就是此磁碟已經被BitLocker所加密。


▲圖16 點選右鍵選單中的【管理BitLocker】選項。

此外,選取此磁碟並按下滑鼠右鍵,待開啟快速選單後,點選其中的【管理BitLocker】,隨即開啟「BitLocker磁碟機加密」頁面。在此頁面中,若磁碟的容量較大且已存放的檔案較多,將可能出現「BitLocker正在加密」訊息,待完成加密任務後,就會改顯示為「BitLocker已開啟」,如圖17所示。如果想要暫停保護、備份自己的修復金鑰或是關閉BitLocker功能,也都可以在此完成操作。


▲圖17 完成BitLocker加密。

除了BitLocker功能外,在Windows Server 2016或Windows 10系統中還有哪些功能是支援TPM 2.0的呢?答案是測量開機、裝置加密、Windows Defender應用程式控制(Device Guard)、Windows Defender系統防護、Credential Guard、裝置健康情況證明、Windows Hello、UEFI安全開機、TPM平台密碼編譯提供者∕金鑰存放區提供者、虛擬智慧卡以及憑證存放區。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!