A Microsoft publicou um guia detalhado destinado a administradores de TI e de sistemas, focado na gestão correta dos certificados do Módulo de Plataforma Fidedigna virtual (vTPM). A empresa sublinha a importância de compreender e implementar estas diretrizes, uma vez que são cruciais para que sistemas operativos como o Windows 11 e o futuro Windows Server 2025, a correr em máquinas virtuais (VMs) de Geração 2 em Hyper-V, mantenham todas as suas funcionalidades de segurança ao serem movidos entre diferentes anfitriões (hosts).
Desde o lançamento do Windows 11 que a Microsoft defende que os seus requisitos de sistema, como a exigência de um TPM 2.0, foram concebidos para oferecer um nível de segurança superior por defeito em comparação com o Windows 10.
O risco de ter máquinas virtuais "presas" num só anfitrião
Para quem não está familiarizado, o vTPM é a tecnologia que permite o uso de funcionalidades de segurança como o BitLocker e o Secure Boot dentro de uma máquina virtual. No entanto, o Hyper-V associa cada instância de vTPM a dois certificados autoassinados que residem no anfitrião local. Sem uma transferência adequada destes certificados, a Microsoft alerta que as migrações em tempo real (live migrations) e as exportações manuais de VMs com vTPM ativado podem falhar.
Este cenário representa um problema significativo para as organizações, que podem ficar impedidas de relocalizar cargas de trabalho protegidas, comprometendo a flexibilidade e a gestão da sua infraestrutura.
Os "passaportes" de segurança do vTPM
A Microsoft explica que os anfitriões Hyper-V geram automaticamente dois certificados autoassinados para cada VM de Geração 2 com vTPM ativado: um certificado de encriptação e um de assinatura. Estes ficam armazenados em “Shielded VM Local Certificates” na Consola de Gestão da Microsoft (MMC) e são identificados como:
Shielded VM Encryption Certificate (UntrustedGuardian)(ComputerName)
Shielded VM Signing Certificate (UntrustedGuardian)(ComputerName)
Ambos os certificados têm, por defeito, um período de validade de 10 anos.
A solução: exportar e importar os certificados
Para que uma migração seja bem-sucedida, os administradores devem exportar ambos os certificados juntamente com as suas chaves privadas para um ficheiro PFX (Personal Information Exchange). Posteriormente, este ficheiro deve ser importado para o mesmo repositório nos anfitriões de destino, marcando-os assim como fidedignos.
A empresa forneceu um guia com os passos detalhados para exportar, importar e atualizar os certificados (caso expirem), incluindo os comandos PowerShell necessários para automatizar o processo. Pode encontrar o artigo com todos os pormenores no blog da Tech Community da Microsoft.
Nenhum comentário
Seja o primeiro!