Использование виртуального доверенного платформенного модуля (TPM) в Parallels Desktop

5 users found this article helpful

Обзор

Виртуальный доверенный платформенный модуль (TPM) — это криптографический компонент, который можно добавить на виртуальные машины (ВМ) Windows 10 и более поздних версий с UEFI BIOS. Виртуальный TPM обеспечивает дополнительный уровень безопасности для виртуальной машины. Он позволяет защитить данные от несанкционированного доступа и использует дополнительные функции безопасности Windows.

После добавления виртуального чипа TPM на виртуальную машину Parallels Desktop создает в пакете виртуальной машины зашифрованный файл, который выступает в роли хранилища TPM. Parallels Desktop шифрует этот файл по алгоритму AES с длиной ключа 128бит и передает пароль в программу "Связка ключей" системы Mac, которая, в свою очередь,являетсязашифрованным физическим хранилищем, и только Parallels Desktop (или администратор компьютера Mac) может считать пароль TPM из связки ключей Mac. 

Примечание. При добавлении чипа TPM для виртуальной машины автоматически включается функция "Безопасная загрузка".

Доступность TPM в Parallels Desktop 

Начиная с версии Parallels Desktop 17, поддержка виртуального доверенного платформенного модуля (TPM) 2.0 доступна для всех выпусков Parallels Desktop для Mac: Standard, Pro и Business. Более того, в Parallels Desktop 17 добавлена поддержка виртуального чипа TPM на компьютерах Mac с процессором Apple M1.

В Parallels Desktop 15 и 16 для компьютеров Mac на базе Intel виртуальный чип TPM доступен только в выпусках Pro и Business. Все выпуски Parallels Desktop 16, начиная с 16.5.2, поддерживают эту функцию на компьютерах Mac с процессорами Apple M1.

Обновление до Windows 11

16 сентября 2021 г. компания Microsoft объявила об изменении, в рамках которого требования для установки системы Windows 11 на виртуальных машинах (ВМ) будут такими же, как для физических компьютеров.

Таким образом, для перехода на Windows 11 обязательным условием является наличие чипа TPM.


Примечание. Начиная с Parallels Desktop 17.1.0 виртуальный чип TPM автоматически добавляется на новые виртуальные машины Windows 11. 


Включение TPM

Важно. Не рекомендуется перемещать, копировать или клонировать виртуальную машину с включенным TPM. Всегда должны быть доступны резервные копии важных данных, в особенности ключей восстановления. Если чип TPM включен, виртуальную машину нельзя запустить на других компьютерах Mac. Кроме того, ее нельзя запустить на других компьютерах, если она копируется или перемещается. 

Примечание. Если виртуального чипа TPM нет в списке устройств на компьютере Mac с процессором Intel для добавления при выборе Оборудование +, это значит, данная виртуальная машина Windows основана на устаревшей версии BIOS (Legacy). Чип TPM работает только с UEFI/EFI BIOS. Чтобы проверить тип BIOS, выполните инструкции в статье KB 115815.

1. Завершение работы Windows

2. В разделе конфигурации виртуальной машины выберите Оборудование, щелкните +, выберите Чип TPM и щелкните Добавить.

3. Запустите Windows. Windows автоматически определит чип TPM. После этого можно использовать функции и приложения Windows, для которых требуется TPM.

Примечание. После добавления чипа TPM возможность обновления до Windows 11 может стать доступной не сразу. Согласно заявлению Microsoft, план выпуска обновлений пока окончательно не составлен. Обновление должно начаться в конце 2021 года и будет продолжено в 2022 году. Конкретные сроки зависят от устройства.

Перемещение виртуальной машины с TPM на другой компьютер Mac

Перемещение ВМ с чипом TPM с помощью iCloud (рекомендуется)

По умолчанию, начиная с версии Parallels Desktop 17.1.0, если вы используете тот же Apple ID и настроили iCloud на первоначальном и целевом компьютере Mac, Parallels Desktop автоматически перенесет соответствующие записи приложения "Связка ключей" для виртуальной машины, используя iCloud. Чтобы воспользоваться этим вариантом, выполните следующие действия:

1. Убедитесь, что на обоих компьютерах Mac установлена новейшая версия Parallels Desktop.

2. Войдите в iCloud в системных настройках первоначального и целевого Mac, используя один и тот же Apple ID, и убедитесь, что синхронизация связки ключей включена на обоих компьютерах.

3. Оба компьютера Mac должны быть подключены к Интернету.

4. Найдите виртуальную машину, которую нужно перенести, и скопируйте ее на целевой компьютер Mac. Дополнительную информацию см. в статье базы знаний KB 114118.

5. Дважды щелкните скопированную ВМ на целевом компьютере Mac, чтобы запустить ее.

Примечание. Начиная с Parallels Desktop 18: если программа Parallels Desktop не может найти пароль TPM для хранилища TPM в связке ключей Mac, она автоматически переименует перенесенное хранилище как резервную копию, создаст новое хранилище TPM, зашифрует его новым паролем и создаст для него новую запись связки ключей.

Перемещение ВМ с чипом TPM вручную

Примечание. В настоящий момент невозможно переместить виртуальную машину с TPM вручную в Parallels Desktop App Store Edition.

1. Откройте Spotlight на исходном компьютере Mac и введите "Связка ключей". Нажмите клавишу Enter, чтобы открыть приложениеСвязка ключей.

2. В верхней строке меню Mac щелкните Файл > Создать связку ключей… и создайте имя для новой связки ключей и выберите папку, в которой она будет храниться, например "Рабочий стол". Щелкните Создать.

3. При появлении окна с запросом на создание пароля задайте новый пароль и подтвердите его. Нажмите кнопку OK.

4. Разблокируйте обе системы и созданную пользовательскую связку ключей, щелкнув связку ключей правой кнопкой мыши и выбрав Открыть связку ключей имя_связки_ключей.

Примечание. При разблокировании связки ключей системы вам будет предложено ввести пароль с компьютера Mac. Введите пароль. При разблокировании созданной пользовательской связки ключей введите пароль, который вы создали для нее.

5. На боковой панели выберите Система. В поле поиска введите "TPM" и найдите файл с идентификатором UUID нужной виртуальной машины.  

Примечание. UUID виртуальной машины можно найти с помощью утилиты Терминал ("Finder" > "Программы" > "Утилиты" > "Терминал"). Откройте программу "Терминал" и выполните следующую команду:

prlctl list -a

В выходных данных команды будут содержаться имена всех ваших виртуальных машин и соответствующие идентификаторы UUID.

6. Правой кнопкой мыши щелкните запись с нужным UUID и выберите Копировать Parallels.vTPM.{UUID_вашей_ВМ}. 

 

7. Откройте созданную пользовательскую связку ключей,щелкните правой кнопкой мыши поле справа и выберите пункт "Вставить элемент".

8. Скопируйте виртуальную машину на целевой компьютер Mac. Дополнительную информацию см. в статье базы знаний KB 114118.

9. Скопируйте созданную пользовательскую связку ключей и перенесите файл в домашнюю папку целевого компьютера Mac.

10. Дважды щелкните перенесенную пользовательскую связку ключей, чтобы добавить ее в приложение "Связка ключей". 

11. Разблокируйте перенесенную пользовательскую связку ключей и введите пароль, который вы задали для нее.

12. Выполните те же действия для системной связки ключей. Введите пароль с целевого компьютера Mac.

13. Скопируйте файл из перенесенной пользовательской связки ключей, щелкнув его правой кнопкой мыши и выбрав Скопировать Parallels.vTPM.{UUID_вашей_ВМ}.

14. Откройте системную связку ключей, щелкните правой кнопкой мыши поле справа и выберите пункт "Вставить элемент". Приложение "Связка ключей" предложит ввести пароль для системной связки ключей. Введите пароль с компьютера Mac и щелкните Изменить связку ключей.

Примечание. Если появится сообщение An error has occurred. Unable to add an item to the current keychain (Произошла ошибка. Не удается добавить элемент в текущую связку ключей), значит, такая запись есть в системной связке ключей. В этом случае удалите имеющуюся запись из системной связки ключей и перезапустите приложение "Связка ключей". После этого попробуйте еще раз добавить запись в системную связку ключей.

15. Запустите виртуальную машину на целевом компьютере Mac двойным щелчком.

Устранение неполадок

Чипа TPM нет в списке 

1. Parallels Desktop 16 не поддерживает TPM на компьютерах Mac с процессором Apple M1. Для использования этой функции перейдите на версию Parallels Desktop 17.

2. Версии Parallels Desktop, предшествующие Parallels Desktop 17, не поддерживают TPM на компьютерах Mac с процессором Intel в выпуске Standard (модуль поддерживается только в выпусках Pro и Business).

3) Если вы переходите в меню Аппаратное обеспечение +на компьютере Mac с процессором Intel иневидите чип TPM в списке, это может говорить о том, что ваша виртуальная машина Windows основана на устаревшей версии BIOS (Legacy). Чип TPM работает только с UEFI/EFI BIOS.

      0. Чтобы проверить версию BIOS виртуальной машины, следуйте инструкциям в статье KB 115815.

  1. Если установлено значение Legacy, создайте новую виртуальную машину Windows.
  2. При создании машины в окне Имя и расположение установите флажок Настроить параметры до начала установки.

  3. В окне настройки, которое откроется автоматически, перейдите на вкладку Аппаратное обеспечение, щелкните + и выберите Чип TPM > Добавить.

  4. Закройте окно настройки и продолжите установку Windows.

4. Учтите, что если в Parallels Desktop настроен запуск Windows из раздела BootCamp, Parallels Desktop не поддерживает добавление чипа TPM на такие виртуальные машины,так как это может привести к возникновению определенных проблем или даже к повреждению раздела BootCamp. Именно поэтому возможность добавления чипа TPM на такие виртуальные машины отсутствует. Чтобы обновить виртуальную машину до Windows 11, импортируйте виртуальную машину BootCamp, как описано здесь.

Ошибка PRL_ERR_TPM_SETUP_KEYCHAIN_FAILED при попытке добавления чипа TPM 

Эта проблема исправлена в Parallels Desktop App Store Edition 1.7.1. Убедитесь, что у вас установлена последняя версия Parallels Desktop App Store Edition.

Развертывание Windows 11 на компьютерах конечных пользователей

Parallels Desktop, начиная с версии 18, позволяет развернуть Windows 11 на компьютерах конечных пользователей. При переносе виртуальной машины Windows на новое оборудование Parallels Desktop автоматически создаст новое хранилище TPM, зашифрует его новым паролем и создаст для него новую запись связки ключей.

В My Account можно использовать Provisioning a corporate VM image feature (Выделение функции образа корпоративных ВМ) как один из доступных параметров.

Was this article helpful?

Tell us how we can improve it.