Wie behebt man den „Host TPM Attestation Alarm“ in VMware? (2024)

  • Die Host Attestation in vSphere überprüft die Integrität des Hostsystems, um sicherzustellen, dass es nicht manipuliert wurde, und schafft so eine sichere Umgebung für virtuelle Maschinen (VMs).
  • Der „Host TPM Attestation Alarm“ entsteht normalerweise durch Probleme mit dem physischen TPM 2.0-Chip, oft aufgrund falscher UEFI-Einstellungen oder dem Hinzufügen eines neuen TPM-Chips.
  • Um diesen Fehler zu beheben, stellen Sie sicher, dass Secure Boot aktiviert ist, die TPM-Einstellungen korrekt sind und die vCenter Server-/ESXi-Versionen aktualisiert sind. Wenn ein neues TPM hinzugefügt wurde, kann das Problem auch durch Trennen und erneutes Verbinden des Hosts mit vCenter behoben werden.

In VMware oder genauer gesagt in vSphere kann die Fehlermeldung „Host TPM Attestation Alarm“ auftreten. Wenn Sie gerade einen neuen TPM 2.0-Chip in Ihrem Hostsystem eingerichtet haben, kann es verwirrend sein, warum diese Meldung angezeigt wird. In diesem Handbuch erläutern wir, was Host Attestation bedeutet und wie Sie dieses Problem beheben können.

Was ist Host-Attestation?

Einfach ausgedrückt überprüft Host Attestation die Integrität Ihres Computers (des Hosts), auf dem verschiedene virtuelle Maschinen über vSphere ausgeführt werden. Dadurch wird sichergestellt, dass das System nicht manipuliert wurde, und es bietet eine sichere Umgebung für die darauf befindlichen VMs. Überlegen Sie, wie Sie (die VM) die Sicherheit Ihres Hauses (des Hosts) wünschen würden.

Es wird ein Bericht mit wichtigen Daten zu Ihrem System erstellt und anhand bekannter oder erwarteter Werte ermittelt, ob der Host vertrauenswürdig ist. Dies ist in Serverumgebungen unverzichtbar, in denen Daten im Wert von mehreren Milliarden Dollar in Remote-Rechner eingespeist werden und Sie sicherstellen möchten, dass diese Rechner vertrauenswürdig sind.

Normalerweise ist TPM in vSphere nicht erforderlich. Jede VM in einer vSphere-Umgebung verwendet ein vTPM (Virtual TPM), um Sicherheit auf Basisebene zu gewährleisten. Sie benötigen kein physisches TPM, um vTPM zu verwenden. Ein vTPM ermöglicht die Verwendung von Diensten wie BitLocker für jede VM separat.

Das Problem „Host TPM Attestation Alarm“ tritt aufgrund des physischen TPM auf. Dies kann viele Gründe haben: Hinzufügen eines neuen TPM-Chips, unzureichende TPM-Hardware, falsche UEFI-Einstellungen oder vSphere/vCenter-Version.

Host-TPM-Bestätigungsalarm | Lenovo

LESEN SIE MEHR: PTT vs. TPM: Microsofts Sicherheitsbemühungen für Windows 11 ➜

Wie behebt man den „Host TPM Attestation Alarm“?

Glücklicherweise ist es nicht so schwierig, den Host TPM Attestation Alarm zu beheben. Zuerst müssen wir die Grundursache des Problems finden. Dazu können wir entweder die entsprechende Fehlermeldung anzeigen oder die Protokolle durchgehen.

  1. Stellen Sie eine Verbindung zum vCenter Server her.
  2. Wählen Sie ein Rechenzentrum aus und gehen Sie zur Registerkarte „Monitor“.
  3. Klicken Sie unter „Leistung“ auf „Sicherheit“.
  4. Suchen Sie den Computer, bei dem dieses Problem auftritt, und überprüfen Sie die Fehlermeldung in der Spalte „Nachricht“. (Credits: VMware)
  5. Wenn die Meldung lautet: „Der sichere Hoststart wurde deaktiviert“, dann folgen Sie Schritt 1 unten, um Secure Boot in Ihren UEFI-Einstellungen zu aktivieren. Wenn in der Spalte „Attestation“ einfach „Fehlgeschlagen“ steht, müssen Sie die vCenter Server-Protokolldateien überprüfen. Weitere Informationen zu Protokolldateien finden Sie hier Führung.
  6. Wenn Sie die Datei vpxd.log gefunden haben, prüfen Sie, ob sie das Protokoll enthält: „Kein zwischengespeicherter Identitätsschlüssel, wird aus der Datenbank geladen„. Wenn ja, folgen Sie Schritt 2.

1) Erfüllt Ihr Host die Anforderungen?

Wenn Ihre VM für die Verwendung der Hostbestätigung konfiguriert ist, müssen Sie einige Anforderungen erfüllen:

  • Ein physischer TPM 2.0-Chip
  • Secure Boot muss aktiviert sein
  • TPM muss SHA-256-basierte Verschlüsselung verwenden
  • vCenter Server- und ESXi-Versionen müssen auf 6.7 oder höher aktualisiert werden

In fast allen Fällen hat der Benutzer entweder TPM oder Secure Boot versehentlich deaktiviert. Um diese Einstellungen wieder zu aktivieren, führen Sie die folgenden Schritte aus:

  1. Starten Sie Ihren PC neu und drücken Sie die Tasten „Entf“, „F1“, „F2“ oder „F10“.
  2. Navigieren Sie zur Registerkarte „Boot“ und suchen Sie nach der Einstellung „Secure Boot“. Stellen Sie diese auf „Aktiviert“.
  3. Als nächstes müssen wir TPM aktivieren. Gehen Sie auf die Registerkarte „Einstellungen“. In unserem Fall war TPM im Abschnitt „Trusted Computing“ vorhanden. Dies kann bei Ihrem System anders sein, konsultieren Sie daher am besten das Handbuch Ihres Motherboards.
  4. Wenn Ihre Anwendungen nicht auf dem neuesten Stand sind, sollten Sie sie gemäß den Anforderungen mindestens auf Version 6.7 aktualisieren. Da es sich bei vSphere und vCenter um anspruchsvolle Anwendungen handelt, wird empfohlen, die entsprechenden Anleitungen zu befolgen (vSphere, vCenter), um sicherzustellen, dass keine unvorhergesehenen Probleme auftreten.

LESEN SIE MEHR: So aktivieren Sie TPM 2.0 im BIOS auf Asus-Geräten ➜

2) Installieren eines TPM-Chips in einem vorhandenen Host

Wenn Ihre Protokolldateien den Text „Kein zwischengespeicherter Identitätsschlüssel, wird aus der Datenbank geladen“ enthalten, bedeutet dies im Wesentlichen, dass Sie einen TPM 2.0-Chip in einem Host installiert haben, der bereits von vCenter verwaltet wird. Um dies zu beheben, versetzen Sie Ihren Host einfach in den Wartungsmodus, trennen Sie Ihren ESXi-Host vom vCenter-Server und verbinden Sie ihn erneut.

  1. Melden Sie sich beim vSphere-Client an.
  2. Klicken Sie mit der rechten Maustaste auf den entsprechenden ESXi-Host.
  3. Wählen Sie „Wartungsmodus“ und klicken Sie auf „Wartungsmodus aktivieren“. (Credits: StarWind Software)
  4. Klicken Sie im Wartungsmodus erneut mit der rechten Maustaste auf den Server. Gehen Sie zu „Verbindung“ und wählen Sie „Trennen“, wie gezeigt. (Credits: VMware)
  5. Nachdem Sie die Verbindung zum Server erfolgreich getrennt haben, klicken Sie erneut mit der rechten Maustaste auf den Server, gehen Sie zu „Verbindung“ und wählen Sie „Verbinden“. Warten Sie, bis der Aufgabenstatus aktualisiert wird, um den Abschluss anzuzeigen.
  6. Wenn die Datei vpxd.log nicht mehr dieselbe Meldung enthält, setzen Sie den Alarm manuell auf Grün zurück. (Credits: Lenovo)

Wie zuverlässig ist TPM?

Die Host-Attestierung basiert auf der TPM-Hardware (Trusted Platform Module) auf dem Host. Das System generiert einen Bericht, der einen Hash seines aktuellen Status, seiner Software, Firmware usw. enthält. In Kombination ist es dank eines Prozesses namens Hash-Chaining fast unmöglich, diesen Hash zu fälschen oder eine Kopie davon zu erstellen.

Das physische TPM auf Ihrem Host kann nicht an die darauf installierten VMs weitergegeben werden. Die VMs verwenden ein sogenanntes vTPM (Virtual TPM), das die Funktionalität eines TPM 2.0-Chips auf Softwareebene bietet. Das physische TPM stellt sicher, dass der Host sicher gestartet wird und hat wenig bis gar nichts mit den darauf installierten VMs zu tun.

Es kann eine Situation eintreten, in der, wenn Ihr Server „Host Attestation“ verwendet und die Attestierung aufgrund des physischen TPM fehlschlägt, der Host die VM-Konfigurationsdateien nicht entschlüsseln kann, weil der vCenter Server ihnen nicht vertraut.

Übersicht zur VMware-Architektur | VMware

Daher kann TPM äußerst nützlich sein, wenn Sie diese zusätzliche Schutz- und Sicherheitsebene wünschen. Beachten Sie jedoch die Nachteile, da Dienste wie BitLocker Ihr gesamtes Laufwerk verschlüsseln und es ohne gültige Anmeldeinformationen unzugänglich machen können.

LESEN SIE MEHR: Ist es sicher, TPM beim Zurücksetzen von Windows 10/11 zu löschen? ➜

Abschluss

Der „Host TPM Attestation Alarm“ ist ein sehr komplexes und detailliertes Thema, wenn man sich ins Detail begibt. Zur Behebung dieses Problems sind jedoch nur zwei einfache Prüfungen erforderlich. Beachten Sie, dass beim Einrichten dieser Funktion eine Vielzahl von Problemen auftreten können, z. B. Hashing-Algorithmen, die Verwaltung vieler Hosts und dergleichen. Diese können jedoch äußerst spezifisch sein.

Dank Abstraktion und einem optimierten Prozess wird dieser Fehler jedoch meist durch falsche UEFI-Einstellungen oder eine unsachgemäße Installation des TPM-Chips verursacht. Obwohl TPM seine Vorteile hat, besteht in jedem Fall auch das Risiko, dass Sie in seltenen Fällen vollständig aus Ihrem System ausgesperrt werden. Daher empfehlen wir Benutzern, die Risiken und Vorteile abzuwägen und mit Vorsicht vorzugehen.

FAQs

Was ist Host-Attestation?

Host Attestation ist eine Maßnahme, die überprüft, ob Host-Rechner vertrauenswürdig sind, bevor Benutzer mit ihnen interagieren können. Ein Attestation Service prüft die Integrität des Hosts anhand bekannter guter Werte oder einer vordefinierten Richtlinie.

Hat dieses Problem Auswirkungen auf virtuelle Maschinen auf dem Host?

Das hängt vom Ausmaß des Problems ab. Im Allgemeinen bezieht sich der „Host TPM Attestation Alarm“ auf den Host oder das physische TPM. Im schlimmsten Fall könnten Sie aus Ihren virtuellen Maschinen ausgesperrt werden, wenn der vCenter Server Ihren Host als kompromittiert ansieht.

Ist ein physisches TPM für VMware erforderlich?

Die auf Hosts installierten virtuellen Maschinen verwenden ein sogenanntes virtuelles TPM. Virtuelle TPMs sind in keiner Weise vom physischen TPM abhängig.

Similar Posts

Leave a Reply

Your email address will not be published. Required fields are marked *