Обновившийся в конце 2022 года Windows-гипервизор VMware Workstation до версии 17 привнёс несколько новых возможностей. В их числе – улучшенная реализация эмуляции TPM 2.0 для удобства использования на виртуальных машинах гостевой Windows 11. Которой TPM 2.0 необходим в силу её аппаратных требований. И без которого невозможны официальная установка Windows 11, её обновление до новых версий, участие в её инсайдерской программе.

Давайте посмотрим на новшества реализации TPM 2.0.

TPM 2.0 в VMware Workstation по версию 16 включительно

Но сначала пару слов о былой реализации эмуляции TPM 2.0 в программе VMware Workstation – реализации, существующей до новой версии 17, т.е. по версию 16 включительно. Дабы чётко понимать, какие преимущества в работе с Windows 11 несёт версия 17.

VMware Workstation – это гипервизор, включающий две отдельные программы:

• Pro – лицензионная, стоит $200, предусматривает все возможные функции;
• Player – бесплатная для некоммерческого использования урезанная версия программы Pro. Player можно установить и использовать отдельно. Будучи же частью комплекта VMware Workstation, программа Player являет собой более производительный способ запуска машин в случаях, где не нужно использовать возможности программы Pro.

Эмуляция аппаратного модуля TPM 2.0 и необходимое для этого шифрование машин появились в VMware Workstation начиная с версии 14. Для эмуляции TPM 2.0 на машинах не требуется наличия на хосте (т.е. на компьютере) аппаратного TPM 2.0 или поддержки программного TPM 2.0 процессором. Эмуляция реализуется средствами гипервизора. Функционал шифрования и эмуляция TPM 2.0 доступны только в платной Workstation Pro. В Workstation Player зашифрованные машины с TPM 2.0 можно лишь запускать.

Помимо этого, VMware Workstation предусматривает скрытую возможность добавления эмуляции программного TPM 2.0 путём внесения правок в WMX-файл конфигурации машины.

Оба способа реализации TPM 2.0, существовавшие до 17-й версии гипервизора, имеют недостатки.

Шифрование, необходимое для эмуляции TPM 2.0, замедляет работу виртуальной машины. Само шифрование может оказаться длительной процедурой при большом объёме данных машины. При каждом запуске машины нужно вводить пароль. В случае плановой переустановки Workstation Pro или операционной системы машины необходимо расшифровать. А потом снова зашифровать. Без расшифровки зашифрованные машины удаляются вместе с гипервизором при его переустановке. А те, что остаются на несистемном диске при переустановке Windows, не могут быть расшифрованы.

Скрытая возможность реализации программного TPM 2.0 – это в принципе решение, не имеющее продолжения после переустановки Windows или гипервизора. Такие машины зашифрованы без возможности расшифрования.

Все эти недостатки исправлены в VMware Workstation 17.

TPM 2.0 в VMware Workstation 17

Улучшения TPM 2.0 в VMware Workstation 17 коснулись в основном двух аспектов его реализации.

Первый – это добавление возможности частичного шифрования виртуальной машины. Такая возможность предусматривает шифрование не всей виртуальной машины, а только файлов, необходимых для поддержки TPM. Частично зашифрованные машины не теряют своей производительности, шифруются и расшифровываются мгновенно. Частичное шифрование удобно в случаях, когда TPM 2.0 не нужен, но требуется в силу аппаратных требований к программному обеспечению, в частности, к Windows 11. Собственно, которая и сподвигла компанию VMware на улучшение функционала. При необходимости же шифрования виртуальной машины в целях безопасности можно использовать полное шифрование.

Второй аспект – шифрование и аппаратный TPM 2.0 стали доступны в бесплатной Workstation Player.

Ещё что примечательно, в VMware Workstation 17 реализовано запоминание пароля зашифрованных виртуальных машин. Его не нужно вводить при каждом запуске машины. А после переустановки гипервизора или Windows частично зашифрованные машины будут доступны нам так же, как и обычные.

Как добавить TPM 2.0 в VMware Workstation 17

Для добавления TPM 2.0 машину сначала необходимо зашифровать, а потом добавить эмуляцию модуля TPM 2.0. Для шифрования у машины не должно быть снапшотов. Машина должна быть в выключенном состоянии. Процесс одинаков для обоих программ.

Открываем настройки машины в Workstation Pro.

Или в Workstation Player.

Во вкладке «Options» нам нужна функция шифрования «Asses Control». Нажимаем «Encrypt».

Для случаев работы с Windows 11 выбираем частичное шифрование – второй вариант с шифрованием только файлов TPM. Устанавливаем пароль. Ниже есть опция его запоминания, чтобы не вводить при каждом запуске машины. Она выставлена по умолчанию. Её нужно снимать в случаях полного шифрования машины в целях безопасности. Жмём «Encrypt».

Далее во вкладке «Hardware» внизу жмём «Add…». Выбираем «Trusted Platform Module». И нажимаем «Finish».

TPM 2.0 добавлен, жмём «Ок».

На этом всё.