20.3. 在 Windows 虚拟机中启用标准硬件安全性

要保护 Windows 虚拟机,您可以使用 Windows 设备的标准硬件功能启用基本级别安全性。

先决条件

  • 请确定您安装了最新的 WHQL 认证的 VirtIO 驱动程序。
  • 确保虚拟机固件支持 UEFI 引导。
  • 在您的主机上安装 edk2-OVMF 软件包。

    # {PackageManagerCommand} install edk2-ovmf
  • 在您的主机上安装 vTPM 软件包。

    # {PackageManagerCommand} install swtpm libtpms
  • 确保虚拟机使用 Q35 机器架构。
  • 请确定您有 Windows 安装介质。

流程

  1. 通过在虚拟机 XML 配置中的 <devices> 部分中添加以下参数来启用 TPM 2.0。

    <devices>
    [...]
      <tpm model='tpm-crb'>
        <backend type='emulator' version='2.0'/>
      </tpm>
    [...]
    </devices>
  2. 在 UEFI 模式中安装 Windows。有关如何操作的更多信息,请参阅 创建 SecureBoot 虚拟机
  3. 在 Windows 虚拟机上安装 VirtIO 驱动程序。有关如何操作的更多信息,请参阅 在 Windows 客户端上安装 virtio 驱动程序
  4. 在 UEFI 中,启用安全引导。有关如何操作的更多信息,请参阅 安全引导

验证

  • 确定 Windows 机器中的设备安全性页面显示以下信息:

    settings > Update & Security > Windows Security > device Security

    Your device meets the requirements for standard hardware security.