Mehr Windows-Sicherheit durch den virtuellen TPM


Ein TPM – oder „Trusted Platform Module“ – ist ein kleiner Microcontroller, der auf Authentifizierung spezialisiert ist. Er schafft Zugangskontrolle, erzeugt Schlüssel und kann Inhalte verschlüsseln – auch in einer virtuellen Maschine. In modernen Rechnern ist ein TPM-Chip Standard und stellt beispielsweise die Funktionen „BitLocker“ und „Secure Boot“ zur Verfügung. Damit wird die Festplatte eines Windows-Rechners verschlüsselt und (optional) ein sicheres Passwort abgefragt, um den Rechner zu starten. In vielen Unternehmen sind diese Optionen verpflichtend, um Betriebsrechner und deren Daten zu schützen. Auch für virtuelle Maschinen kann es sehr sinnvoll sein, diese mit einer zusätzlichen Sicherheitsschicht zu versehen – beispielsweise, wenn der VM-Container auf einer externen Festplatte gespeichert ist. 

BitLocker in der VM nutzen 

In einer virtualisierten Umgebung auf dem Mac gibt es diesen TPM grundsätzlich nicht. Macs nutzen zwar eine eigene Implementierung eines TPMs, darauf hat Windows in einer virtualisierten Umgebung jedoch keinen Zugriff. Parallels Desktop für Mac Business Edition schafft hier Abhilfe. Denn Parallels ermöglicht es, einen virtuellen TPM zu nutzen (vTPM), der die gleiche Funktion erfüllt wie das physische Gegenstück. 

Und so können Admins den virtuellen TPM für BitLocker in der VM aktivieren: Bei der Einrichtung der virtuellen Windows-Maschine muss vor der Installation die Option „Vor der Installation die Einstellungen anpassen“ aktiviert werden. In der darauffolgenden Konfiguration müssen dann unter „Hardware -> Boot Sequenz“ die erweiterten Einstellungen geöffnet und dort „EFI Secure Boot“ aktiviert werden. 

Wenn der vTPM nachträglich aktiviert werden muss, sieht der Prozess ein wenig anders aus: Die IT muss den virtuellen TPM in der Konfiguration der VM hinzufügen. Voraussetzung dafür ist zunächst, dass die Windows-Maschine mit der UEFI-Installationsmethode eingerichtet ist und nicht mit der Legacy-Option. Dann muss man das entsprechende Menü „Konfiguration“ in Parallels Desktop öffnen, wenn die Windows-VM pausiert oder gestoppt ist. Mit dem Punkt „Hardware“ und dem „+“-Symbol können Sie einen virtuellen „TPM-Chip“ zum System hinzufügen. In den Windows-Einstellungen kann der Admin jetzt BitLocker aktivieren und nach der Verschlüsselung der Festplatte auch Secure Boot

Das Passwort für BitLocker und Secure Boot speichert der Host-Mac auf Wunsch im Schlüsselbund, also dem eingebauten Passwortmanager. Generell sollten Anwender beachten, dass diese virtuelle Maschine mit aktiviertem BitLocker möglichst nicht auf einen anderen Rechner verschoben werden oder auf einem anderen Mac gestartet werden sollte.   

Weitere Sicherheitsfeatures für Parallels Desktop 

Parallels Desktop für Mac Business Edition bietet noch weitere Sicherheitsfunktionen, die dabei unterstützen, die virtuelle Windows-Maschine zu schützen und vom Host-System, also dem Mac, zu trennen. Beispielsweise kann Parallels Desktop den VM-Container auch mit einer eingebauten Verschlüsselungsfunktion sichern. 

Mehr erfahren: