16.9. 在 Windows 虚拟机中启用标准硬件安全性
要保护 Windows 虚拟机,您可以使用 Windows 设备的标准硬件功能启用基本级别安全性。
先决条件
- 请确定您安装了最新的 WHQL 认证的 VirtIO 驱动程序。
- 确保虚拟机固件支持 UEFI 引导。
在您的主机上安装
edk2-OVMF
软件包。# {PackageManagerCommand} install edk2-ovmf
在您的主机上安装
vTPM
软件包。# {PackageManagerCommand} install swtpm libtpms
- 确保虚拟机使用 Q35 机器架构。
- 请确定您有 Windows 安装介质。
流程
通过在虚拟机 XML 配置中的
<devices>
部分中添加以下参数来启用 TPM 2.0。<devices> [...] <tpm model='tpm-crb'> <backend type='emulator' version='2.0'/> </tpm> [...] </devices>
- 在 UEFI 模式中安装 Windows。有关如何操作的更多信息,请参阅 创建一个 SecureBoot 虚拟机。
- 在 Windows 虚拟机上安装 VirtIO 驱动程序。有关如何操作的更多信息,请参阅 在 Windows 客户端上安装 virtio 驱动程序。
- 在 UEFI 中,启用安全引导。有关如何操作的更多信息,请参阅 安全引导。
验证
确定 Windows 机器中的设备安全性页面显示以下信息:
settings > Update & Security > Windows Security > device Security
Your device meets the requirements for standard hardware security.