Как исправить «Оповещение об аттестации Host TPM» в VMware? (2024)

• Аттестация хоста в vSphere проверяет целостность хост-системы, чтобы убедиться в отсутствии несанкционированного доступа, создавая безопасную среду для виртуальных машин (ВМ).
• «Тревога подтверждения хоста TPM» обычно возникает из-за проблем с физическим чипом TPM 2.0, часто из-за неправильных настроек UEFI или добавления нового чипа TPM.
• Чтобы исправить эту ошибку, убедитесь, что включена безопасная загрузка, настройки TPM верны и версии vCenter Server/ESXi обновлены; отключение и повторное подключение хоста к vCenter также может решить проблему, если был добавлен новый TPM.

В VMware или, в частности, vSphere, вы можете столкнуться с ошибкой, читающей «Host TPM Attestation Alarm». Если вы только что установили новый чип TPM 2.0 в своей хост-системе, может быть непонятно, почему вы видите это сообщение. В этом руководстве мы обсудим, что означает Host Attestation и как можно исправить эту проблему.

Что такое аттестация хоста?

Проще говоря, Host Attestation проверяет целостность вашего компьютера (хоста), на котором через vSphere запущены различные виртуальные машины. Это гарантирует, что система не была взломана, и предлагает безопасную среду для виртуальных машин на ней. Подумайте, как бы вы (виртуальная машина) хотели, чтобы ваш дом (хост) был защищен.

Отчет, содержащий важные данные о вашей системе, создается и используется для идентификации по известным или ожидаемым значениям, чтобы увидеть, заслуживает ли хост доверия. Это становится незаменимым в серверных средах, где данные стоимостью в миллиарды долларов передаются на удаленные машины, и вы хотите убедиться, что этим машинам можно доверять.

Обычно TPM не требуется в vSphere. Каждая виртуальная машина в среде vSphere использует vTPM (виртуальный TPM) для обеспечения безопасности на низовом уровне. Вам не нужен физический TPM для использования vTPM. vTPM позволяет использовать такие службы, как BitLocker, для каждой виртуальной машины отдельно.

Проблема «Host TPM Attestation Alarm» возникает из-за физического TPM. Это может быть вызвано многими причинами: добавление нового чипа TPM, недостаточное оборудование TPM, неправильные настройки UEFI или версия vSphere/vCenter.

Сигнализация аттестации TPM хоста | Леново

ЧИТАЙТЕ ТАКЖЕ: PTT против TPM: усилия Microsoft по обеспечению безопасности для Windows 11 ➜

Как исправить «Сигнал аттестации Host TPM»?

К счастью для нас, исправить Host TPM Attestation Alarm не так уж и сложно. Сначала нам нужно найти первопричину проблемы. Для этого мы можем либо просмотреть соответствующее сообщение об ошибке, либо просмотреть журналы.

1. Подключитесь к серверу vCenter.
2. Выберите центр обработки данных и перейдите на вкладку «Монитор».
3. В разделе «Производительность» нажмите «Безопасность».
4. Найдите машину, на которой возникла эта проблема, и проверьте сообщение об ошибке в столбце «Сообщение». (Автор: VMware)
   
5. Если в сообщении указано «Host secure boot was disabled», следуйте шагу 1 ниже, чтобы включить Secure Boot в настройках UEFI. Если в столбце «Attestation» просто указано «Failed», вам придется проверить файлы журнала vCenter Server. Для получения дополнительной информации о файлах журнала следуйте этому гид.
6. Найдя файл vpxd.log, проверьте, содержит ли он запись журнала «No cached identity key, loading from DB». Если да, то следуйте шагу 2.

1) Соответствует ли ваш хост требованиям?

Если ваша виртуальная машина настроена на использование аттестации хоста, то вам необходимо выполнить несколько требований, а именно:

• Физический чип TPM 2.0
• Безопасная загрузка должна быть включена
• TPM должен использовать шифрование на основе SHA-256
• Версии vCenter Server и ESXi должны быть обновлены до версии 6.7 или выше.

Почти во всех случаях пользователь случайно отключил TPM или Secure Boot. Чтобы снова включить эти настройки, выполните следующие действия:

1. Перезагрузите компьютер и нажмите клавиши «Delete», «F1», «F2» или «F10».
2. Перейдите на вкладку «Boot» и найдите настройку «Secure Boot». Установите ее на «Enabled».
   
3. Далее нам нужно включить TPM. Перейдите на вкладку «Настройки». В нашем случае TPM присутствовал в разделе «Доверенные вычисления». Это может отличаться для вашей системы, поэтому лучше всего обратиться к руководству по вашей материнской плате.
   
4. Если ваши приложения не обновлены, вам следует обновить их по крайней мере до версии 6.7, в соответствии с требованиями. Поскольку vSphere и vCenter являются сложными приложениями, рекомендуется следовать соответствующим руководствам (vSphere, vCenter) для обеспечения отсутствия непредвиденных проблем.

ЧИТАЙТЕ ТАКЖЕ: Как включить TPM 2.0 в BIOS на устройствах Asus ➜

2) Установка чипа TPM в существующий хост

Если ваши файлы журнала содержат текст «No cached identity key, loading from DB», это по сути означает, что вы установили чип TPM 2.0 на хосте, который уже управляется vCenter. Чтобы исправить это, просто переведите хост в режим обслуживания, отключите хост ESXi от сервера vCenter и подключите его заново.

1. Войдите в клиент vSphere.
2. Щелкните правой кнопкой мыши по соответствующему хосту ESXi.
3. Выберите «Режим обслуживания» и нажмите «Войти в режим обслуживания». (Авторы: Программное обеспечение StarWind)
   
4. После перехода в режим обслуживания снова щелкните правой кнопкой мыши на сервере. Перейдите в «Подключение» и выберите «Отключить», как показано на рисунке. (Авторы: VMware)
   
5. После успешного отключения сервера щелкните правой кнопкой мыши по серверу еще раз, перейдите в «Подключение» и выберите «Подключиться». Подождите, пока статус задачи не обновится для завершения.
6. Если в файле vpxd.log больше нет того же сообщения, сбросьте сигнал тревоги на зеленый вручную. (Автор: Lenovo)
   

Насколько надежен TPM?

Host Attestation опирается на аппаратное обеспечение TPM (Trusted Platform Module) на хосте. Отчет генерируется системой, которая содержит хэш текущего состояния, программного обеспечения, прошивки и т. д. При объединении практически невозможно подделать или воссоздать копию этого хеша благодаря процессу, называемому hash-chaining.

Физический TPM на вашем хосте не может быть передан установленным на нем виртуальным машинам. Виртуальные машины используют так называемый vTPM (виртуальный TPM), который предлагает функциональность программного уровня чипа TPM 2.0. Физический TPM гарантирует, что хост загрузился безопасно и не имеет практически никакого отношения к установленным на нем виртуальным машинам.

Может возникнуть ситуация, когда ваш сервер использует «Аттестацию хоста» и аттестация не проходит из-за физического TPM, хост не сможет расшифровать файлы конфигурации виртуальной машины, поскольку сервер vCenter не доверяет ему.

Обзор архитектуры VMware | VMware

Таким образом, TPM может стать чрезвычайно полезным, если вы полностью за этот дополнительный уровень защиты и безопасности. Однако помните о его недостатках, поскольку такие службы, как BitLocker, могут зашифровать весь ваш диск и сделать его недоступным без действительных учетных данных.

ЧИТАЙТЕ ТАКЖЕ: Безопасно ли очищать TPM при сбросе настроек Windows 10/11? ➜

Заключение

«Host TPM Attestation Alarm» — очень сложная и подробная тема, если вдаваться в подробности, однако устранение этой проблемы включает всего 2 простые проверки. Обратите внимание, что может возникнуть множество проблем, если вы настраиваете эту функцию, например, алгоритмы хеширования, управление множеством хостов и т. д., но они могут быть крайне специфичными.

Однако благодаря абстракции и оптимизированному процессу эта ошибка чаще всего вызвана неправильными настройками UEFI или неправильной установкой чипа TPM. В любом случае, хотя TPM и имеет свои преимущества, он также несет риск полной блокировки вашей системы в редких случаях. Поэтому мы рекомендуем пользователям оценить риски и преимущества и действовать с осторожностью.

Часто задаваемые вопросы

Что такое аттестация хоста?

Host Attestation — это мера, которая проверяет, являются ли хост-машины надежными, прежде чем пользователи смогут взаимодействовать с ними. Служба Attestation проверяет целостность хоста по известным хорошим значениям или предопределенной политике.

Влияет ли эта проблема на виртуальные машины на хосте?

Это зависит от масштаба проблемы. В общем, «Host TPM Attestation Alarm» относится к хосту или физическому TPM. В худшем случае вы можете оказаться заблокированы от своих виртуальных машин, если vCenter Server посчитает ваш хост скомпрометированным.

Нужен ли физический TPM для VMware?

Виртуальные машины, установленные на хостах, используют то, что называется Virtual TPM. Виртуальные TPM никак не зависят от физического TPM.