Máquinas Virtuales con TPM Sin Tener TPM Real

Muchas veces queremos probar las capacidades de tener un chip TPM en un ambiente de virtualización, por lo menos ese es mi caso. Pero la máquina que uso para virtualizar es de tipo escritorio y no tiene chip TPM

Eso se puede solucionar :)

Contrariamente a lo que hago habitualmente que es sobre Windows Server, en esta ocasión lo haré sobre un Windows 10 x64 Enterprise (UEFI) ya que Windows Server 2016 viene muy demorado y aunque probé no pude hacerlo funcionar en la TP5 (sin actualizaciones). Esperemos la versión final de Windows Server 2016 a ver si se configura de igual o semejante forma

Como comento más arriba lo probaré sobre una instalación de Windows 10 x64 Enterprise, instalación UEFI. Aclaro que en realidad es una máquina virtual sobre VMware Workstation donde he habilitado la virtualización para las virtuales

Como pueden ver en la siguiente captura, no dispongo de chip TPM

Algo importante a tener en cuenta, para poder configurar la virtualización TPM la red debe estar reconocida como Privada o de Dominio. Como no es mi caso mostraré el procedimiento para cambiar fácilmente de red Pública a red Privada

Desde PowerShell (ejecutado como administrador) debemos ingresar los siguientes comandos

• Get-NetConnectionProfile (para ver cuál es el “Interface Index”)
• Set-NetConnectionProfile -InterfaceIndex X -NetworkCategory Private (reemplazando ‘X’ por el “Interface Index” obtenido anteriormente)

Y ya la tendremos como red privada

Luego desde la consola PowerShell que ya tenemos abierta debemos configurar Windows Remote Management con el siguiente comando y aceptar las advertencias

• WNRM QUICKCONFIG

Lo siguiente es instalar dos funcionalidades adicionales y reiniciar

• Hyper-V
• Isolated User Mode

Por último debemos agregar una clave y un valor en el registro (REGEDIT.EXE)

En HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control, creamos la clave “DeviceGuard”

Y dentro de esta un valor de tipo “DWORD (32bit) Value” llamado “EnableVirtualizationBasedSecurity” al cual debemos asignarle valor “1”

No hace falta reiniciar, si vamos a Hyper-V y creamos una máquina virtual de “Generación 2” ya tendremos disponible la configuración incluyendo TPM

 

Con esto podremos probar en ambiente virtual, las algunas posibilidades de TPM aunque en la máquina real no esté instalado

Información adicional: Esta nota la había preparado pensando en hacer otra donde mostrar «Virtual Smart Cards», pero no fue posible con esta emulación