Tags: VMware Workstation, Hardware, Windows 11
Die gängigen Virtualisierungsprodukte sind mittlerweile in der Lage, ein Trusted Platform Module rein in Software zu emulieren. Dies erweist sich als wichtige Voraussetzung, wenn man Windows 11 in einer virtuellen Maschine installieren möchte. Die VMware Workstation bietet dieses Feature seit der Version 14.
Zu den erheblich gestiegenen Hardware-Anforderungen von Windows 11 gehört neben einem Prozessor neuerer Bauart vor allem ein TPM. Wenn man das OS in einer VM installieren möchte, dann muss diese also einen vTPM bereitstellen.
Voraussetzungen für die TPM-Installation
In der VMware Workstation fügt man einen solchen Chip hinzu, indem man in den Einstellungen einer VM unter Hardware auf die Schaltfläche Add klickt. In der anschließend erscheinenden Liste findet sich der Eintrag Trusted Platform Module.
In den meisten Fällen wird man aber feststellen, dass der Button Finish zum Abschluss der Operation ausgegraut ist.
Die Installation des TPM setzt nämlich voraus, dass man die VM zuerst verschlüsselt. Eine weitere Bedingung besteht darin, dass für die Firmware der VM kein BIOS, sondern UEFI konfiguriert wurde.
Update: Über einen undokumentierten Eintrag in die .vmx-Datei ist es nun offenbar möglich, einen vTPM zu aktivieren, ohne die ganze VM verschlüsseln zu müssen:
managedvm.autoAddVTPM = "software"
Dies sollte auch im VMware Player funktionieren. Siehe dazu den Tweet des VMware-Managers Michael Roy.
Eine wesentliche Einschränkung verschlüsselter VMs besteht darin, dass man keine Linked Clones mehr erstellen kann. Nachdem Windows 11 einen vTPM voraussetzt, verliert man dort somit eines der nützlichsten Features der VMware Workstation.
VM verschlüsseln
Dazu wechselt man in den Einstellungen zur Registerkarte Options und dort zu Access Control. Im rechten Abschnitt des Fensters sieht man dann die Schaltfläche Encrypt. Nach zweimaliger Eingabe eines Passworts startet die Verschlüsselung der VMDK.
Nach deren Abschluss kehrt man zu Hardware-Einstellungen zurück und kann dort nun das TPM hinzufügen. Man erhält dort die Warnung, wonach durch das Entfernen des vTPM die verschlüsselten Daten nicht mehr lesbar sind.
Alternativ zur Konfiguration über die GUI kann man den Eintrag
vtpm.present = "TRUE"
in die .vmx-Konfigurationsdatei schreiben. Dies ist jedoch nur vor der Verschlüsselung möglich.
TPM-Infos abrufen
Nach dem Booten des Gastbetriebssystems kann man sich dort von der Existenz eines TPM überzeugen, indem man tpm.msc öffnet. Dort erhält man zusätzliche Infos zu dieser Security-Hardware, darunter besonders auch Versionsnummer.
Dabei zeigt sich, dass VMwares vTPM auf dem Stand der Version 2.0 ist.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- VMware Workstation und Player 17: offizieller Support für Windows 11 und Server 2022, schnelle VM-Verschlüsselung
- VirtualBox 7.0: Support für vTPM, Secure Boot, VM-Verschlüsselung
- Windows 11 in einer VM auf VMware Workstation oder ESXi installieren
- Windows 11 in einer virtuellen Maschine installieren
- Microsoft verringert Systemvoraussetzungen für Windows 11, Installation auf nicht unterstützter Hardware möglich
Weitere Links
3 Kommentare
Nachdem es in der Überschrift steht: wie verschlüssele ich denn mit dem Player eine VM? Ist nämlich laut VMWare Homepage gar nicht möglich. Starten kann ich die VM dann aber ohne Probleme.
Stimmt, die Überschrift ist etwas irreführend. Aber es ist nicht ganz leicht, diesen Sachverhalt dort auszudrücken. Habe sie ein bisschen geändert, dürfte nun ein bisschen klarer sein.
Danke, komisch, dass alle Windows davor also unsicher waren ohne TPM... naja ging nach deinstall des vmware player, installieren der Workstation Testversion, einstellen wie beschrieben und dann wie der zum Player gewechselt und das im xUbuntu.