在 Parallels Desktop 中使用虚拟受信任平台模块 (TPM)

6 users found this article helpful

概述

虚拟受信任平台模块 (TPM) 是一个加密组件,可以添加到 Windows 10 和带有 UEFI BIOS 的更新 Windows 虚拟机 (VM) 中。虚拟 TPM 是虚拟机的可选安全保障,借助该组件,您可以保护数据免受未经授权的访问,并使用其他 Windows 安全功能。

将虚拟 TPM 芯片添加到虚拟机后,Parallels Desktop 会在虚拟机捆绑包中创建一个加密文件用作 TPM 存储。Parallels Desktop 使用 128 位密钥长度的高级加密标准 (AES) 加密该文件,并将密码放入 Mac“系统”钥匙串中,Mac“系统”钥匙串是加密物理存储,仅 Parallels Desktop(或 Mac 管理员)可从 Mac 钥匙串中读取 TPM 密码。 

注意:添加 TPM 芯片将自动在虚拟机中启用安全启动功能。

Parallels Desktop 中的 TPM 可用性 

从 Parallels Desktop 17 开始,虚拟受信任平台模块 (TPM) 2.0 支持适用于所有 Parallels Desktop for Mac Edition :StandardProBusiness。此外,在搭载 Apple M1 芯片的 Mac 计算机上,Parallels Desktop 17 现已开始支持虚拟 TPM。

在 Parallels Desktop 15 和 16(适用于基于 Intel 的 Mac 计算机)中,vTPM 芯片仅适用于 Pro Edition 和 Business Edition。从 Parallels Desktop 16.5.2 开始,在搭载 Apple M1 芯片的 Mac 计算机上,Parallels Desktop 16 的所有版本都支持此功能。

升级到 Windows 11

2021 年 9 月 16 日,Microsoft 宣布了一项更改,表示将对虚拟机 (VM) 强制执行与物理 PC 相同的 Windows 11 系统要求。

因此,升级到 Windows 11 需要一个虚拟 TPM 芯片。


注意:从 Parallels Desktop 17.1.0 开始,虚拟 TPM 芯片会自动添加到新的 Windows 11 虚拟机。 


启用 TPM

重要说明:不建议移动、复制或克隆启用了 TPM 的虚拟机。始终备份重要信息,尤其是恢复密钥。启用 TPM 后,虚拟机将受到限制,无法在其他 Mac 计算机上运行,默认情况下,如果复制或移动虚拟机,它将无法在其他计算机上启动。 

注意:依次点击硬件 > + 进行添加时,如果基于 Intel 的 Mac 上的设备列表中没有出现 vTPM 芯片,则表明您的 Windows 虚拟机基于旧版 BIOS。TPM 芯片仅使用 UEFI/EFI BIOS。要查看 BIOS 类型,请按照 KB 115815 中的步骤操作。

1. 关闭 Windows。

2. 打开虚拟机的配置,依次点击硬件 > +,接着选择 TPM 芯片,然后点击添加

3. 启动 Windows。Windows 将自动检测 TPM 芯片。现在,可以使用需要 TPM 的 Windows 功能和应用程序。

注意:添加 TPM 芯片后,可能需要等待一段时间才能升级到 Windows 11。Microsoft 表示:“升级推广计划仍在最终确定,计划于 2021 年底开始,并持续到 2022 年。具体时间因设备而异。”

将带有 TPM 的虚拟机移动到另一台 Mac

使用 iCloud 移动带有 TPM 的虚拟机(推荐)

默认情况下,从 Parallels Desktop 17.1.0 开始,如果您使用相同的 Apple ID 并在源 Mac 和目标 Mac 计算机上设置了 iCloud,那么 Parallels Desktop 将使用 iCloud 自动为您的虚拟机传输各自的 Keychain Access.app 记录。请根据以下步骤使用该选项:

1. 确保您在两台 Mac 计算机上都安装了最新版本的 Parallels Desktop

2. 在源 Mac 和目标 Mac 上,使用相同的 Apple ID 在“系统偏好设置”中登录 iCloud,并确保在每台计算机上启用了钥匙串同步。

3. 两台 Mac 都应连接到网络。

4. 找到您要移动的虚拟机并将其复制到目标 Mac 上。要了解详情,请参阅 KB 114118

5. 在目标 Mac 上双击刚才复制的虚拟机以将其启动。

注意:从 Parallels Desktop 18 开始,如果 Parallels Desktop 在 Mac 钥匙串中找不到 TPM 存储的 TPM 密码,它会自动将迁移的存储重命名为备份,创建新的 TPM 存储,使用新密码进行加密,并为它创建新的钥匙串记录。

手动移动带有 TPM 的虚拟机

注意:目前无法在 Parallels Desktop App Store Edition 中手动移动带有 TPM 的虚拟机。

1. 在源 Mac 上打开 Spotlight,并输入“钥匙串访问”。按 Enter 以打开钥匙串访问应用程序。

2. 在 Mac 顶部菜单栏中,依次点击文件 > 新建钥匙串…> 为新钥匙串创建一个名称,并选择要存储它的文件夹,例如“桌面”。点击创建

3. 出现要求您创建密码的窗口后,设置新密码并进行验证。点击确定

4. 右键点击钥匙串并选择解锁钥匙串“name_of_the_keychain”,即可解锁“系统”钥匙串和创建的自定义钥匙串。

注意:解锁“系统”钥匙串时,系统会要求您输入 Mac 的密码。请输入相应密码。解锁创建的自定义钥匙串时,请输入您为其设置的密码。

5. 选择侧边栏中的系统。在搜索栏中输入“TPM”,然后找到包含虚拟机 UUID 的文件。  

注意:可以使用终端(“访达”>“应用程序”>“实用工具”>“终端”)找到虚拟机的 UUID。打开“终端”并执行以下命令:

prlctl list -a

该命令的输出将显示所有虚拟机的名称及其 UUID。

6. 右键点击具有相同 UUID 的条目,并选择复制“Parallels.vTPM.{UUID_of_your_VM}” 

 

7. 打开创建的自定义钥匙串,右键点击右边的方框,并选择粘贴项目的选项。

8. 将虚拟机复制到目标 Mac。要了解详情,请参阅 KB 114118

9. 复制已创建的自定义钥匙串,并将该文件传输到目标 Mac 的个人文件夹。

10. 双击传输的自定义钥匙串,将其添加到“钥匙串访问”。 

11. 解锁传输的自定义钥匙串,并输入您为其设置的密码。

12. 针对“系统”钥匙串执行相同操作。输入目标 Mac 的密码。

13. 右键点击传输的自定义钥匙串,然后选择复制“Parallels.vTPM.{UUID_of_your_VM}”,即可复制文件。

14. 打开“系统”钥匙串,右键点击右边的字段,并选择粘贴项目的选项。“钥匙串访问”会要求您输入“系统”钥匙串的密码。输入 Mac 的密码,并点击修改钥匙串

注意:如果您收到出现错误,无法向当前钥匙串添加项目的错误信息,则表明您的“系统”钥匙串中有这样的记录。在这种情况下,从“系统”钥匙串中删除现有的记录,并重启“钥匙串访问”应用程序。然后,再次尝试向“系统”钥匙串添加这条记录。

15. 在目标 Mac 上双击虚拟机以将其启动。

故障排除

TPM 芯片不在列表中 

1) 在搭载 Apple M1 芯片的 Mac 计算机上,Parallels Desktop 16 不支持 TPM。升级到 Parallels Desktop 17 即可使用此项功能。

2) 在采用 Intel 处理器的 Mac 计算机上,低于 Parallels Desktop 17 的 Parallels Desktop 版本在 Standard Edition 中不支持 TPM,仅在 Pro Edition 和 Business Edition 中支持。

3) 如果您在采用 Intel 处理器的 Mac 上依次转到硬件 > +但没有看到 TPM 芯片,这可能是因为您的 Windows 虚拟机基于旧版 BIOS。TPM 芯片仅使用 UEFI/EFI BIOS

      0.按照 KB 115815 中的步骤,检查您的虚拟机是否使用旧版 BIOS。

  1. 如果设置的是旧版,请创建新的 Windows 虚拟机
  2. 如果创建虚拟机时进入名称和位置窗口,请启用安装前自定义设置

  3. 在自动打开的配置窗口中,转到硬件,点击+,然后依次选择 TPM 芯片 > 添加

  4. 关闭配置窗口,继续 Windows 安装。

4) 请注意,如果您已经将 Parallels Desktop 设置为从 BootCamp 分区运行 Windows,Parallels Desktop 将不支持向此类虚拟机添加 TPM 芯片,因为这可能会导致某些问题,甚至会损坏 BootCamp 分区。正因如此,系统才不显示向此类虚拟机添加 TPM 芯片的选项。要将虚拟机升级到 Windows 11,请按照这篇文章导入 BootCamp 虚拟机。

尝试添加 TPM 芯片时出现 PRL_ERR_TPM_SETUP_KEYCHAIN_FAILED 错误 

此问题已在 Parallels Desktop App Store Edition 1.7.1 中修复。请确保您安装了最新版本的 Parallels Desktop App Store Edition。

在最终用户的计算机上部署 Windows 11

从 Parallels Desktop 18 开始,您可以在最终用户的计算机上部署 Windows 11。将 Windows 虚拟机迁移到新硬件之后,Parallels Desktop 会自动创建新的 TPM 存储,使用新密码进行加密,并为它创建新的钥匙串记录。

作为可用选项之一,您可以在 My Account 中使用预配企业虚拟机映像功能

Was this article helpful?

Tell us how we can improve it.