ใน Windows 11 และ Windows Server 2025 นั้น ระบบต้องใช้ TPM 2.0 เป็นเงื่อนไขหลัก → เพื่อเปิดใช้ BitLocker, Secure Boot และความปลอดภัยอื่น ๆ → แต่พอรัน VM ด้วย Hyper-V (แบบ Generation 2) มักจะใช้ vTPM แทนฮาร์ดแวร์จริง
สิ่งที่หลายคนไม่รู้คือ vTPM แต่ละเครื่องเสมือนจะ ผูกกับใบรับรองดิจิทัล (self-signed certificates) ที่สร้างโดยเครื่องโฮสต์เดิม → ถ้าย้าย VM ไปยังเครื่องใหม่โดยไม่ย้ายใบรับรองตามไปด้วย… → การเปิดใช้ VM จะล้มเหลวทันที เพราะระบบไม่สามารถถอดรหัสข้อมูล BitLocker ได้!
ข่าวดีคือ Microsoft เพิ่งออกคู่มือ “ละเอียดยิบ” บอกวิธี export/import ใบรับรองทั้งสองใบนี้ → พร้อมคำสั่ง PowerShell ให้เอาไปใช้ได้เลย → ป้องกัน VM ร่วง, ข้อมูลลับปลดล็อกไม่ได้ หรือ downtime จากการย้ายเครื่องผิดวิธี
สาระสำคัญจากข่าว:
Microsoft เผยวิธีการย้าย vTPM-enabled VM ระหว่าง Hyper-V hosts อย่างปลอดภัย
• รองรับ Windows 11 และ Server 2025 ที่ต้องใช้ TPM
• ป้องกันความล้มเหลวจากการย้าย VM โดยไม่ได้ย้าย certificate
Hyper-V สร้างใบรับรองเอง 2 ใบให้แต่ละ VM ที่ใช้ vTPM:
• Shielded VM Encryption Certificate (UntrustedGuardian)(ComputerName)
• Shielded VM Signing Certificate (UntrustedGuardian)(ComputerName)
• เก็บไว้ใน MMC > Certificates > Local Computer > Personal > “Shielded VM Local Certificates”
ใบรับรองมีอายุ 10 ปี ใช้ผูกกับการเข้ารหัส BitLocker และระบบ TPM ของ VM
• สำคัญมาก — ถ้าไม่มีใบนี้, VM จะไม่สามารถ boot ได้เมื่อย้าย host
ผู้ดูแลระบบต้อง export ใบรับรองทั้งสองใบ (พร้อม private key) ไปเป็น .PFX แล้ว import บน host ใหม่
• Microsoft มีตัวอย่างคำสั่ง PowerShell ให้ใช้โดยตรง
• พร้อมคู่มือการ update เมื่อใกล้หมดอายุ
รองรับทั้งการ live migration และ manual export/import
• ใช้ได้กับงานคลาวด์, องค์กร, ระบบ DEV/UAT ที่ต้องเคลื่อน VM บ่อย
หากไม่ย้ายใบรับรอง → VM จะเปิดไม่ติด เพราะระบบไม่เชื่อว่าเป็นเครื่องเดิม
• ข้อมูลที่เข้ารหัสไว้ เช่น BitLocker จะถูกล็อกถาวร
เครื่องใหม่จะถือว่าใบรับรองนั้นเป็น “Untrusted” เว้นแต่ import ไปอย่างถูกต้อง
vTPM Certificate ถูกผูกไว้กับ “เครื่องโฮสต์” ไม่ใช่ VM เอง → การ clone/copy VM ก็ใช้ใบเดิมไม่ได้
การสั่งลบ VM โดยไม่ backup ใบรับรอง → อาจทำให้ VM ใช้การไม่ได้ตลอดกาล
ยังมีผู้ใช้จำนวนมากที่ย้าย VM แบบไม่รู้เรื่องนี้มาก่อน → เสี่ยงเกิด “VM Brick” เงียบ ๆ ในองค์กร
https://www.neowin.net/news/microsoft-shares-detailed-guide-to-meet-windows-11-tpm-requirements-when-moving-vms/
สิ่งที่หลายคนไม่รู้คือ vTPM แต่ละเครื่องเสมือนจะ ผูกกับใบรับรองดิจิทัล (self-signed certificates) ที่สร้างโดยเครื่องโฮสต์เดิม → ถ้าย้าย VM ไปยังเครื่องใหม่โดยไม่ย้ายใบรับรองตามไปด้วย… → การเปิดใช้ VM จะล้มเหลวทันที เพราะระบบไม่สามารถถอดรหัสข้อมูล BitLocker ได้!
ข่าวดีคือ Microsoft เพิ่งออกคู่มือ “ละเอียดยิบ” บอกวิธี export/import ใบรับรองทั้งสองใบนี้ → พร้อมคำสั่ง PowerShell ให้เอาไปใช้ได้เลย → ป้องกัน VM ร่วง, ข้อมูลลับปลดล็อกไม่ได้ หรือ downtime จากการย้ายเครื่องผิดวิธี
สาระสำคัญจากข่าว:
Microsoft เผยวิธีการย้าย vTPM-enabled VM ระหว่าง Hyper-V hosts อย่างปลอดภัย
• รองรับ Windows 11 และ Server 2025 ที่ต้องใช้ TPM
• ป้องกันความล้มเหลวจากการย้าย VM โดยไม่ได้ย้าย certificate
Hyper-V สร้างใบรับรองเอง 2 ใบให้แต่ละ VM ที่ใช้ vTPM:
• Shielded VM Encryption Certificate (UntrustedGuardian)(ComputerName)
• Shielded VM Signing Certificate (UntrustedGuardian)(ComputerName)
• เก็บไว้ใน MMC > Certificates > Local Computer > Personal > “Shielded VM Local Certificates”
ใบรับรองมีอายุ 10 ปี ใช้ผูกกับการเข้ารหัส BitLocker และระบบ TPM ของ VM
• สำคัญมาก — ถ้าไม่มีใบนี้, VM จะไม่สามารถ boot ได้เมื่อย้าย host
ผู้ดูแลระบบต้อง export ใบรับรองทั้งสองใบ (พร้อม private key) ไปเป็น .PFX แล้ว import บน host ใหม่
• Microsoft มีตัวอย่างคำสั่ง PowerShell ให้ใช้โดยตรง
• พร้อมคู่มือการ update เมื่อใกล้หมดอายุ
รองรับทั้งการ live migration และ manual export/import
• ใช้ได้กับงานคลาวด์, องค์กร, ระบบ DEV/UAT ที่ต้องเคลื่อน VM บ่อย
หากไม่ย้ายใบรับรอง → VM จะเปิดไม่ติด เพราะระบบไม่เชื่อว่าเป็นเครื่องเดิม
• ข้อมูลที่เข้ารหัสไว้ เช่น BitLocker จะถูกล็อกถาวร
เครื่องใหม่จะถือว่าใบรับรองนั้นเป็น “Untrusted” เว้นแต่ import ไปอย่างถูกต้อง
vTPM Certificate ถูกผูกไว้กับ “เครื่องโฮสต์” ไม่ใช่ VM เอง → การ clone/copy VM ก็ใช้ใบเดิมไม่ได้
การสั่งลบ VM โดยไม่ backup ใบรับรอง → อาจทำให้ VM ใช้การไม่ได้ตลอดกาล
ยังมีผู้ใช้จำนวนมากที่ย้าย VM แบบไม่รู้เรื่องนี้มาก่อน → เสี่ยงเกิด “VM Brick” เงียบ ๆ ในองค์กร
https://www.neowin.net/news/microsoft-shares-detailed-guide-to-meet-windows-11-tpm-requirements-when-moving-vms/
ใน Windows 11 และ Windows Server 2025 นั้น ระบบต้องใช้ TPM 2.0 เป็นเงื่อนไขหลัก → เพื่อเปิดใช้ BitLocker, Secure Boot และความปลอดภัยอื่น ๆ → แต่พอรัน VM ด้วย Hyper-V (แบบ Generation 2) มักจะใช้ vTPM แทนฮาร์ดแวร์จริง
สิ่งที่หลายคนไม่รู้คือ vTPM แต่ละเครื่องเสมือนจะ ผูกกับใบรับรองดิจิทัล (self-signed certificates) ที่สร้างโดยเครื่องโฮสต์เดิม → ถ้าย้าย VM ไปยังเครื่องใหม่โดยไม่ย้ายใบรับรองตามไปด้วย… → การเปิดใช้ VM จะล้มเหลวทันที เพราะระบบไม่สามารถถอดรหัสข้อมูล BitLocker ได้!
ข่าวดีคือ Microsoft เพิ่งออกคู่มือ “ละเอียดยิบ” บอกวิธี export/import ใบรับรองทั้งสองใบนี้ → พร้อมคำสั่ง PowerShell ให้เอาไปใช้ได้เลย → ป้องกัน VM ร่วง, ข้อมูลลับปลดล็อกไม่ได้ หรือ downtime จากการย้ายเครื่องผิดวิธี
✅ สาระสำคัญจากข่าว:
✅ Microsoft เผยวิธีการย้าย vTPM-enabled VM ระหว่าง Hyper-V hosts อย่างปลอดภัย
• รองรับ Windows 11 และ Server 2025 ที่ต้องใช้ TPM
• ป้องกันความล้มเหลวจากการย้าย VM โดยไม่ได้ย้าย certificate
✅ Hyper-V สร้างใบรับรองเอง 2 ใบให้แต่ละ VM ที่ใช้ vTPM:
• Shielded VM Encryption Certificate (UntrustedGuardian)(ComputerName)
• Shielded VM Signing Certificate (UntrustedGuardian)(ComputerName)
• เก็บไว้ใน MMC > Certificates > Local Computer > Personal > “Shielded VM Local Certificates”
✅ ใบรับรองมีอายุ 10 ปี ใช้ผูกกับการเข้ารหัส BitLocker และระบบ TPM ของ VM
• สำคัญมาก — ถ้าไม่มีใบนี้, VM จะไม่สามารถ boot ได้เมื่อย้าย host
✅ ผู้ดูแลระบบต้อง export ใบรับรองทั้งสองใบ (พร้อม private key) ไปเป็น .PFX แล้ว import บน host ใหม่
• Microsoft มีตัวอย่างคำสั่ง PowerShell ให้ใช้โดยตรง
• พร้อมคู่มือการ update เมื่อใกล้หมดอายุ
✅ รองรับทั้งการ live migration และ manual export/import
• ใช้ได้กับงานคลาวด์, องค์กร, ระบบ DEV/UAT ที่ต้องเคลื่อน VM บ่อย
‼️ หากไม่ย้ายใบรับรอง → VM จะเปิดไม่ติด เพราะระบบไม่เชื่อว่าเป็นเครื่องเดิม
• ข้อมูลที่เข้ารหัสไว้ เช่น BitLocker จะถูกล็อกถาวร
‼️ เครื่องใหม่จะถือว่าใบรับรองนั้นเป็น “Untrusted” เว้นแต่ import ไปอย่างถูกต้อง
‼️ vTPM Certificate ถูกผูกไว้กับ “เครื่องโฮสต์” ไม่ใช่ VM เอง → การ clone/copy VM ก็ใช้ใบเดิมไม่ได้
‼️ การสั่งลบ VM โดยไม่ backup ใบรับรอง → อาจทำให้ VM ใช้การไม่ได้ตลอดกาล
‼️ ยังมีผู้ใช้จำนวนมากที่ย้าย VM แบบไม่รู้เรื่องนี้มาก่อน → เสี่ยงเกิด “VM Brick” เงียบ ๆ ในองค์กร
https://www.neowin.net/news/microsoft-shares-detailed-guide-to-meet-windows-11-tpm-requirements-when-moving-vms/
0 Comments
0 Shares
117 Views
0 Reviews
Thai