Windows Server protegge le VM Hyper-V prima dell'avvio con Trusted Launch

Trusted Launch debutta su Windows Server Insider: protegge boot e vTPM delle macchine virtuali Hyper-V. Ecco come funziona.

Microsoft porta Trusted Launch nelle macchine virtuali Hyper-V di Windows Server, ma lo fa con una prima implementazione ancora lontana dall’uso nei carichi di produzione più complessi. La novità debutta nella build Insider 29621 di Windows Server vNext, pubblicata a luglio 2026, e consente di creare macchine virtuali di seconda generazione dotate di Secure Boot, TPM virtuale e protezione crittografica. L’obiettivo è ridurre il rischio che bootkit, rootkit o modifiche al firmware virtuale compromettano il sistema prima ancora che antivirus ed EDR possano intervenire.

Trusted Launch non è una tecnologia completamente nuova: Microsoft la utilizza già da diversi anni in Azure per rafforzare la sicurezza delle macchine virtuali durante le primissime fasi di avvio. La novità appena annunciata riguarda il suo arrivo su Windows Server e Hyper-V, quindi anche sulle infrastrutture gestite direttamente dalle aziende.

Può essere descritta come un insieme di protezioni volte ad impedire che una macchina virtuale avvii firmware, bootloader o altri componenti iniziali alterati.

Che cosa aggiunge Trusted Launch alle macchine virtuali Hyper-V

Una normale macchina virtuale Hyper-V di seconda generazione usa un firmware UEFI virtuale, supporta Secure Boot e può ricevere un TPM virtuale. Trusted Launch non si limita però ad “accendere” separatamente queste opzioni: crea una VM con un tipo di isolamento specifico, denominato GuestStateIsolationType TrustedLaunch, e affida a un componente dell’host la protezione dello stato sensibile del guest.

Nella build 29621 le funzioni attive sono tre. La prima è Secure Boot, che permette al firmware UEFI virtuale di eseguire soltanto bootloader e componenti iniziali firmati con chiavi considerate attendibili.

La seconda è il vTPM, un’implementazione virtuale compatibile con TPM 2.0. Il sistema operativo guest può usarlo per conservare chiavi, proteggere credenziali e registrare misurazioni relative all’avvio. In Windows, per esempio, un TPM può sostenere funzioni come BitLocker, protezione delle credenziali e autenticazione basata su chiavi. Dal punto di vista del guest, il dispositivo appare simile a un TPM fisico, anche se il suo stato dipende dall’infrastruttura di virtualizzazione.

La terza funzione riguarda la cifratura dello stato del guest, compresi i dati del vTPM. Microsoft assegna a ogni Trusted Launch VM una chiave univoca archiviata in un Key Storage Provider locale. Senza quella chiave, la macchina virtuale non può usare correttamente il proprio stato protetto e non parte: copiare soltanto file VHDX e configurazione non basta per ricostruire una VM pienamente funzionante su un altro host.

Perché proteggere il percorso di avvio

Antivirus ed EDR (Endpoint Detection and Response) lavorano soprattutto quando il sistema operativo è già in esecuzione. Un attaccante che riesce a modificare firmware, boot manager, componenti UEFI o driver caricati nelle primissime fasi può quindi ottenere un vantaggio notevole: il codice ostile si avvia prima delle difese del sistema, può interferire con esse e, nei casi più sofisticati, sopravvivere a interventi di ripristino incompleti.

I bootkit sfruttano proprio tale posizione privilegiata. Non si tratta del malware più comune perché svilupparlo e distribuirlo richiede competenze elevate, ma rappresenta una minaccia concreta quando gli aggressori puntano a sferrare attacchi mirati. Secure Boot limita la possibilità di eseguire componenti non firmati; il TPM, invece, conserva misurazioni crittografiche che descrivono la sequenza di avvio.

Trusted Launch nasce per unire i due meccanismi. Secure Boot applica un controllo preventivo sulle firme; le misurazioni del vTPM forniscono invece elementi per verificare che il percorso seguito corrisponda a quello previsto. Sono controlli complementari, non equivalenti.

Come si abilita Trusted Launch nella build 29621 di Windows Server

La configurazione di Trusted Launch richiede al momento l’uso di PowerShell ed è effettuabile unicamente da Windows Server Insider build 29621 o successiva. Microsoft non ha ancora integrato i controlli in Windows Admin Center, quindi non esiste una procedura grafica ufficiale per creare o amministrare queste VM.

Dopo aver installato Hyper-V con gli strumenti di gestione, l’host deve ricevere una chiave di registro sotto HKLM:\SOFTWARE\Microsoft\AszIgvmAgent. Il valore DWORD TvmWinServer impostato a 1 segnala ai componenti interessati che Trusted Launch opera in un ambiente Windows Server.

Microsoft ha pubblicato una guida pratica con le indicazioni per attivare la funzionalità Trusted Launch.

Il valore della preview sta soprattutto nella possibilità di testare compatibilità, automazione PowerShell, comportamento delle immagini e gestione delle chiavi. Gli amministratori possono iniziare a individuare sistemi operativi o procedure incompatibili prima che la funzione raggiunga una versione stabile. Per l’adozione più estesa bisognerà attendere le prossime build e, soprattutto, indicazioni definitive su disponibilità generale, aggiornamento delle VM esistenti e gestione della continuità di servizio.

Ti consigliamo anche

Link copiato negli appunti