Objaw

Niniejsze instrukcje są przygotowane tylko dla systemu x240 M5. Obsługa Remote Physical Presence została dodana w UEFI C4E132H Revision 2.50.

Aby włączyć „Secure Boot” na serwerze, nie trzeba fizycznie otwierać systemu ani zmieniać żadnych wewnętrznych ustawień przełącznika DIP. Konfiguracja UEFI zapewnia możliwość zdalnego potwierdzenia fizycznej obecności. Użytkownicy mogą również ręcznie ustawić przełącznik DIP 6 bit 2, aby sprzętowo potwierdzić fizyczną obecność, ale nie zaleca się pozostawiania fizycznej obecności potwierdzonej po uruchomieniu systemu w systemie operacyjnym ze względów bezpieczeństwa.

Krok 1:
Uruchom serwer na ekranie UEFI Setup. Przejdź do ustawień systemowych --> Security --> Physical Presence Policy Configuration.

W trybie domyślnym użytkownicy powinni spodziewać się, że Physical Presence Policy będzie włączone i wyszarzone. Użytkownicy zobaczą Physical Presence State = De-asserted.
Uwaga: Jeśli z jakiegoś powodu Physical Presence Policy jest wyłączone, karta „toggle Remote Physical Presence Assert” będzie wyszarzona. Aby kontynuować działanie polityki, należy ją najpierw włączyć. Wymaga to ustawienia obecności fizycznej sprzętu za pomocą przełącznika DIP 6 bit 2 i ponownego uruchomienia w celu konfiguracji. Następnie będziesz mógł włączyć Physical Presence Policy.
Ta funkcja zapewnia administratorom dodatkową funkcję bezpieczeństwa polegającą na wyłączeniu polityki obecności fizycznej, aby zapobiec zdalnemu potwierdzeniu obecności fizycznej. Ze względów bezpieczeństwa, po ustawieniu polityki na wyłączoną, obecność fizyczna sprzętu powinna zostać usunięta poprzez wyłączenie przełącznika DIP 6 bit 2.

Krok 2:
Przewiń w dół do opcji „toggle Remote Physical Presence Assert”, wybierz ją i naciśnij klawisz Enter.
Użytkownicy zobaczą, że „fizyczny stan obecności” zmienia się na potwierdzony. Potwierdzanie i odtwierdzanie nie wymaga ponownego uruchomienia, aby zadziałało.

Krok 3:
Następnie naciśnij klawisz „Esc”, aby wrócić o jeden poziom wyżej i przejść do zakładki: Bezpieczeństwo > Konfiguracja bezpiecznego rozruchu.

Może być konieczne naciśnięcie przycisku Odśwież obecność fizyczną, aby wyświetlić bieżącą wartość obecności fizycznej.

Teraz ustaw konfigurację bezpieczeństwa rozruchu --> Bezpieczny rozruch to --> zmień z Wyłączonego na Włączony.

Użytkownicy zobaczą wyskakujące okienko z monitem „Czy na pewno chcesz włączyć Bezpieczny rozruch? Czy chcesz kontynuować? Y/N << wprowadź Y.

Krok 4:
Teraz wróć do zakładki Konfiguracja zasad obecności fizycznej i ponownie wybierz opcję --> „przełącz potwierdzanie zdalnej obecności fizycznej”, aby cofnąć potwierdzenie stanu obecności fizycznej.

Krok 5:
Naciśnij klawisz „Esc”, aby przejść do najwyższego poziomu ustawień UEFI, a następnie zapisz ustawienia i uruchom ponownie.

Te same kroki można wykonać w celu wyłączenia bezpiecznego rozruchu.

Dotknięte konfiguracje

Systemem może być dowolny z następujących serwerów Lenovo :

• Węzeł obliczeniowy Lenovo Flex System x240 M5, typ 9532, dowolny model

Ta wskazówka nie dotyczy konkretnego oprogramowania.

Ta wskazówka nie dotyczy konkretnej opcji.

W systemie występuje objaw opisany powyżej.

Obejście problemu

Nie dotyczy.

Informacje dodatkowe

Bezpieczny rozruch ma na celu zapewnienie, że cały wykonywany kod jest zaufany i podpisany. W trybie domyślnym oprogramowanie układowe Lenovo będzie weryfikować podpisem wszystko, co jest ładowane w trybie UEFI.

Gdy Secure Boot jest aktywowany, sprawdza każdy element oprogramowania, w tym sterowniki UEFI (ROM-y Option) i system operacyjny, w stosunku do baz danych znanych dobrych podpisów. Jeśli każdy element oprogramowania jest prawidłowy, oprogramowanie układowe uruchamia oprogramowanie i system operacyjny. Funkcja Secure Boot zapobiegnie zatem uruchomieniu dowolnej karty adaptera, w której znaleziono ROM niezgodny z oczekiwanym podpisem.

Bezpieczny rozruch jest obsługiwany wyłącznie w trybie rozruchu UEFI i nie jest obsługiwany w trybie rozruchu starszej wersji.

Producenci OEM dostarczają swoje sterowniki do Lenovo , które są następnie uwzględniane w oprogramowaniu układowym UEFI. Obejmuje to bazę danych podpisów (db), bazę danych odwołanych podpisów (dbx) i bazę danych kluczy rejestracji klucza (KEK). Bazy te są przechowywane w pamięci flash w czasie produkcji.

Baza danych podpisów i baza danych odwołanych podpisów zawierają listę sygnatariuszy lub skrótów obrazów aplikacji UEFI, ładowarek systemu operacyjnego (takich jak Microsoft Operating System Loader lub Boot Manager) i sterowników UEFI, które można załadować na serwerze, a także odwołane obrazy elementów, które nie są już zaufane i nie mogą zostać załadowane.

Baza danych Key Enrollment Key to osobna baza kluczy podpisu, których można użyć do aktualizacji bazy danych podpisów i bazy odwołanych podpisów. Firma Microsoft wymaga, aby określony klucz został uwzględniony w bazie danych KEK, tak aby w przyszłości firma Microsoft mogła dodawać nowe systemy operacyjne do bazy danych podpisów lub dodawać znane złe obrazy do bazy odwołanych podpisów. Po dodaniu tych baz danych i po ostatecznej walidacji i testowaniu oprogramowania układowego Lenovo blokuje oprogramowanie układowe przed edycją, z wyjątkiem aktualizacji podpisanych prawidłowym kluczem lub aktualizacji przez fizycznie obecnego użytkownika, który korzysta z menu oprogramowania układowego, a następnie generuje klucz podstawowy. Klucz podstawowy można wykorzystać do podpisywania aktualizacji klucza podstawowego lub do wyłączania bezpiecznego rozruchu.

Ogólnie rzecz biorąc, istnieje kolejność pierwszeństwa (od najbardziej do najmniej znaczącej) PK, KEK, db, dbx. To jest:

- Aby uaktualnić KEK, musisz mieć podpis z poprawnym PK.

- Aby uaktualnić bazę danych lub plik dbx, musisz mieć podpis z poprawnym PK lub KEK.

- Do włączenia funkcji Secure Boot wymagany jest klucz PK.

Opis klawiszy jest ważny, aby zrozumieć tryby, które obsługujemy. Secure Boot ma dwa (2) tryby: Standardowy i Niestandardowy.

Tryb standardowy pozwala użytkownikowi korzystać z certyfikatów podpisanych przez Microsoft. Te certyfikaty pozwalają UEFI na sprawdzenie, czy wszystkie opcjonalne ROM-y i systemy operacyjne są podpisane i ważne. Obejmują one zarówno certyfikaty Windows , jak i certyfikaty innych firm dla systemu Linux. Zasadniczo zezwalamy na używanie tych domyślnych wartości w certyfikatach bezpiecznego rozruchu w naszym trybie standardowym. Obejmuje to jeden klucz prywatny, wiele kluczy kluczowych, klucz baz danych i kluczy decyzyjnych.

Tryb niestandardowy pozwala użytkownikowi zainstalować własny zestaw kluczy. Specyfikacje stanu Secure Boot pozwalają na rozruch w trybie niestandardowym bez klucza podstawowego. Pozwala to systemowi operacyjnemu zarejestrować nowy klucz podstawowy, który następnie będzie używany do walidacji jego własnego klucza podstawowego, db i dbx.

Domyślnym ustawieniem w trybie bezpiecznego rozruchu jest tryb standardowy, a domyślne ustawienie bezpiecznego rozruchu to wyłączony.

Obecność fizyczna:
Obecność fizyczna to forma autoryzacji do wykonywania pewnych funkcji TPM. Ta autoryzacja zazwyczaj pochodzi od operatora platformy. W przypadku urządzeń TPM 1.2 funkcje wymagające obecności fizycznej to te, które wykonują operacje provisioningu i re-provisioningu, takie jak zezwalanie na własność i czyszczenie własności, gdy bieżąca wartość autoryzacji właściciela jest nieznana. W przypadku urządzeń TPM 2.0 obecność fizyczna jest powiązana z operacjami, które wymagają autoryzacji platformy, ale są inicjowane przez system operacyjny. Zazwyczaj autoryzację platformy można nadać tylko za pomocą oprogramowania układowego, a nie przez system operacyjny. Istnieją dwie metody zapewniania autoryzacji obecności fizycznej: metoda poleceń i metoda sprzętowa. Te dwie metody są zdefiniowane dla urządzeń TPM 1.2 w specyfikacji głównej TPM 1.2, a dla urządzeń TPM 2.0 w specyfikacji profilu TPM platformy klienta PC.

Metoda sprzętowa potwierdzająca obecność fizyczną:
Przykładem implementacji metody sprzętowej jest przełącznik DIP na płycie systemowej, który jest podłączony do pinu w module TPM. Ustawienie przełącznika powoduje zmianę polaryzacji pinu i powoduje ustawienie przez moduł TPM wewnętrznej flagi obecności fizycznej. Używając tej metody sprzętowej, polecenia wymagające wskazania obecności fizycznej mogą być wykonywane w dowolnym momencie (w środowisku przed systemem operacyjnym lub ze środowiska systemu operacyjnego), o ile przełącznik jest ustawiony, a w przypadku modułu TPM 2.0 dostępna jest autoryzacja platformy. Stanowi to problem bezpieczeństwa, jeśli przełącznik zostanie pozostawiony w pozycji asertywnej.

Metoda polecenia potwierdzająca obecność fizyczną:
W niektórych przypadkach nie jest możliwe umieszczenie przycisku lub przełącznika poza platformą ze względu na koszty, współczynnik kształtu, użytkowanie lub dostępność. Z tego powodu zdefiniowano drugą metodę potwierdzania fizycznej obecności, zwaną metodą poleceń. W przypadku metody poleceń oprogramowanie układowe przedstawia interfejs użytkownika (UI), aby wyjaśnić żądaną operację. Fizycznie obecny użytkownik potwierdza lub odrzuca operację, naciskając klawisz na klawiaturze. Następnie metoda poleceń autoryzuje polecenie TPM do wysłania do TPM. W TPM nie jest przeprowadzane żadne dalsze sprawdzanie fizycznej obecności. TPM wykonuje operację TPM, jeśli użytkownik potwierdził ją za pomocą interfejsu użytkownika. Jedną z właściwości wymaganych do wskazania fizycznej obecności jest to, że musi to zrobić operator platformy, zazwyczaj użytkownik, gdy jest fizycznie obecny na platformie. Wymaga to, aby metoda poleceń była ograniczona do dostępności tylko wtedy, gdy stan platformy może zapewnić to zapewnienie. Ten stan zwykle istnieje podczas rozruchu do konfiguracji UEFI przed udostępnieniem stosu sieciowego i narażeniem na potencjalnie niezaufane oprogramowanie.