Virtuellen TPM (vTPM) in VMware Workstation und für Player hinzufügen


    Tags: , ,

    Trusted Platform Module (TPM)Die gängigen Virtuali­sierungs­produkte sind mittler­weile in der Lage, ein Trusted Platform Module rein in Software zu emu­lieren. Dies erweist sich als wichtige Voraus­setzung, wenn man Windows 11 in einer virtu­ellen Maschine instal­lieren möchte. Die VMware Work­station bietet dieses Feature seit der Version 14.

    Zu den erheblich gestiegenen Hardware-Anforderungen von Windows 11 gehört neben einem Prozessor neuerer Bauart vor allem ein TPM. Wenn man das OS in einer VM installieren möchte, dann muss diese also einen vTPM bereitstellen.

    Voraussetzungen für die TPM-Installation

    In der VMware Workstation fügt man einen solchen Chip hinzu, indem man in den Einstellungen einer VM unter Hardware auf die Schaltfläche Add klickt. In der anschließend erscheinenden Liste findet sich der Eintrag Trusted Platform Module.

    In den meisten Fällen wird man aber fest­stellen, dass der Button Finish zum Abschluss der Operation ausgegraut ist.

    Bei unverschlüsselten VMs lässt sich das TPM nicht hinzufügen.

    Die Installation des TPM setzt nämlich voraus, dass man die VM zuerst verschlüsselt. Eine weitere Bedingung besteht darin, dass für die Firmware der VM kein BIOS, sondern UEFI konfiguriert wurde.

    Update: Über einen undokumentierten Eintrag in die .vmx-Datei ist es nun offenbar möglich, einen vTPM zu aktivieren, ohne die ganze VM verschlüsseln zu müssen:

    managedvm.autoAddVTPM = "software"

    Dies sollte auch im VMware Player funktionieren. Siehe dazu den Tweet des VMware-Managers Michael Roy.

    Eine wesentliche Einschränkung verschlüsselter VMs besteht darin, dass man keine Linked Clones mehr erstellen kann. Nachdem Windows 11 einen vTPM voraussetzt, verliert man dort somit eines der nützlichsten Features der VMware Workstation.

    Von verschlüsselten virtuellen Maschinen lässt sich kein Linked Clone erzeugen.

    VM verschlüsseln

    Dazu wechselt man in den Einstellungen zur Registerkarte Options und dort zu Access Control. Im rechten Abschnitt des Fensters sieht man dann die Schaltfläche Encrypt. Nach zweimaliger Eingabe eines Passworts startet die Verschlüsselung der VMDK.

    Für die Verschlüsselung der VM muss man ein Passwort angeben.

    Nach deren Abschluss kehrt man zu Hardware-Einstellungen zurück und kann dort nun das TPM hinzufügen. Man erhält dort die Warnung, wonach durch das Entfernen des vTPM die ver­schlüsselten Daten nicht mehr lesbar sind.

    Beim Hinzufügen des TPM erhält man eine Warnung über mögliche Datenverluste.

    Alternativ zur Konfiguration über die GUI kann man den Eintrag

    vtpm.present = "TRUE"

    in die .vmx-Konfigurationsdatei schreiben. Dies ist jedoch nur vor der Verschlüsselung möglich.

    TPM-Infos abrufen

    Nach dem Booten des Gastbetriebs­systems kann man sich dort von der Existenz eines TPM überzeugen, indem man tpm.msc öffnet. Dort erhält man zusätzliche Infos zu dieser Security-Hardware, darunter besonders auch Versionsnummer.

    Infos zum TPM im Gast-OS abrufen

    Dabei zeigt sich, dass VMwares vTPM auf dem Stand der Version 2.0 ist.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links

    3 Kommentare

    Nachdem es in der Überschrift steht: wie verschlüssele ich denn mit dem Player eine VM? Ist nämlich laut VMWare Homepage gar nicht möglich. Starten kann ich die VM dann aber ohne Probleme.

    Bild von Wolfgang Sommergut

    Stimmt, die Überschrift ist etwas irreführend. Aber es ist nicht ganz leicht, diesen Sachverhalt dort auszudrücken. Habe sie ein bisschen geändert, dürfte nun ein bisschen klarer sein.

    Danke, komisch, dass alle Windows davor also unsicher waren ohne TPM... naja ging nach deinstall des vmware player, installieren der Workstation Testversion, einstellen wie beschrieben und dann wie der zum Player gewechselt und das im xUbuntu.