Sintoma

Estas instruções são preparadas somente para o sistema x240 M5. O suporte para Presença Física Remota foi adicionado na UEFI C4E132H Revisão 2.50.

Para habilitar "Secure Boot" em um servidor, não é necessário abrir fisicamente o sistema ou alterar nenhuma configuração interna do DIP switch. A configuração UEFI fornece a capacidade de afirmar remotamente a presença física. Os usuários também podem definir manualmente o DIP switch 6 bit 2 para afirmar a presença física do hardware, mas não é recomendado deixar a presença física afirmada após o sistema ter inicializado em um SO por motivos de segurança.

Passo 1:
Inicialize o servidor na tela de configuração UEFI. Navegue até configurações do sistema --> Segurança --> Configuração da Política de Presença Física.

No modo padrão, os usuários devem esperar ver Physical Presence Policy habilitado e esmaecido. Os usuários verão Physical Presence State = De-asserted.
Nota: Se por algum motivo a Physical Presence Policy estiver desabilitada, a aba "toggle Remote Physical Presence Assert" ficará esmaecida. Para prosseguir com a política, ela precisará ser habilitada primeiro. Isso exigirá a configuração da presença física do hardware pelo DIP switch 6 bit 2 e a reinicialização para configuração. Então, você poderá habilitar a Physical Presence Policy.
Este recurso fornece aos administradores um recurso de segurança adicional para desabilitar a Política de Presença Física para evitar a afirmação remota de presença física. Por motivos de segurança, uma vez que a política é definida como desabilitada, a presença física do hardware deve ser removida desligando o DIP switch 6 bit 2.

Passo 2:
Role para baixo até "Alternar Asserção de Presença Física Remota", selecione-o e pressione a tecla Enter.
Os usuários verão que o "Estado de Presença física" muda para afirmado. Afirmar e desassertar não requer reinicialização para entrar em vigor.

Etapa 3:
Agora pressione a tecla 'Esc' para voltar um nível e vá para: Segurança > Guia Configuração de Inicialização Segura.

Pode ser necessário pressionar o estado Atualizar Presença Física para exibir o valor atual da Presença Física.

Agora defina a Configuração de inicialização de segurança --> Inicialização segura --> altere de Desativado para Ativado.

Os usuários verão um prompt pop-up "Tem certeza de que deseja habilitar a inicialização segura? Deseja continuar? S/N << digite S.

Passo 4:
Agora retorne para a aba Configuração da Política de Presença Física e selecione novamente --> "alternar Declaração de Presença Física Remota" para Desativar a Declaração do Estado de Presença Física.

Etapa 5:
Pressione a tecla 'Esc' para acessar o nível superior da configuração UEFI, salve as configurações e reinicie.

As mesmas etapas também podem ser usadas para desabilitar a inicialização segura.

Configurações afetadas

O sistema pode ser qualquer um dos seguintes servidores Lenovo :

• Lenovo Flex System x240 M5 Compute Node, Tipo 9532, qualquer modelo

Esta dica não é específica de software.

Esta dica não é específica para uma opção.

O sistema apresenta o sintoma descrito acima.

Solução alternativa

Não aplicável.

Informações adicionais

O Secure boot tem como objetivo garantir que todo código executado seja confiável e assinado. No modo padrão, o firmware Lenovo verificará a assinatura de tudo o que for carregado no modo UEFI.

Quando o Secure Boot é ativado, ele verifica cada pedaço de software, incluindo os drivers UEFI (Option ROMs) e o sistema operacional, em relação a bancos de dados de assinaturas conhecidas como boas. Se cada pedaço de software for válido, o firmware executa o software e o sistema operacional. A função Secure Boot impedirá, portanto, que qualquer placa adaptadora inicialize se for encontrada uma ROM que não corresponda à assinatura esperada.

A inicialização segura só é suportada pelo modo de inicialização UEFI e não pelo modo de inicialização legado.

Os OEMs fornecem seus drivers para Lenovo , que são então incluídos no firmware UEFI. Isso inclui o banco de dados de assinaturas (db), o banco de dados de assinaturas revogadas (dbx) e o banco de dados Key Enrollment Key (KEK). Esses bancos de dados são armazenados no flash no momento da fabricação.

O banco de dados de assinaturas e o banco de dados de assinaturas revogadas listam os signatários ou hashes de imagem de aplicativos UEFI, carregadores de sistema operacional (como o Microsoft Operating System Loader ou o Boot Manager) e drivers UEFI que podem ser carregados no servidor, e as imagens revogadas para itens que não são mais confiáveis e não podem ser carregados.

O banco de dados Key Enrollment Key é um banco de dados separado de chaves de assinatura que pode ser usado para atualizar o banco de dados de assinaturas e o banco de dados de assinaturas revogadas. A Microsoft exige que uma chave especificada seja incluída no banco de dados KEK para que, no futuro, a Microsoft possa adicionar novos sistemas operacionais ao banco de dados de assinaturas ou adicionar imagens ruins conhecidas ao banco de dados de assinaturas revogadas. Após esses bancos de dados terem sido adicionados e após a validação e o teste final do firmware, Lenovo bloqueia o firmware da edição, exceto para atualizações que são assinadas com a chave correta ou atualizações por um usuário fisicamente presente que esteja usando menus de firmware e, em seguida, gera uma PK. A PK pode ser usada para assinar atualizações para a KEK ou para desativar o Secure Boot.

Em geral, há uma ordem de precedência (do mais para o menos significativo) de PK, KEK, db, dbx. Ou seja:

- Para atualizar uma KEK, você precisa ter uma assinatura com a PK correta.

- Para atualizar um banco de dados ou um dbx, você precisa ter uma assinatura com a PK ou KEK correta.

- Uma PK é necessária para habilitar a inicialização segura.

A descrição das chaves é importante para entender os modos que suportamos. O Secure Boot tem dois (2) modos: Standard e Custom.

O Modo Padrão permite que um usuário aproveite os certificados assinados pela Microsoft. Esses certificados permitem que a UEFI verifique se todas as ROMs e SOs de opção são assinados e válidos. Eles incluem certificados Windows e de terceiros para Linux. Essencialmente, permitimos que esses padrões em certificados de inicialização segura sejam usados em nosso modo padrão. Isso inclui um PK, vários KEK, db e dbx.

O Modo Personalizado permite que um usuário instale seu próprio conjunto de chaves. As especificações para o estado Secure Boot permitem que uma inicialização ocorra no Modo Personalizado sem uma PK. Isso permite que um SO registre uma nova PK que seria então usada para validar sua própria KEK, db e dbx.

O padrão no Modo de Inicialização Segura é o Modo Padrão e a Inicialização Segura padrão é Desativado.

Presença física:
Presença Física é uma forma de autorização para executar determinadas funções do TPM. Essa autorização normalmente vem do operador da plataforma. Para dispositivos TPM 1.2, as funções que exigem presença física são aquelas que executam operações de provisionamento e reprovisionamento, como permitir propriedade e limpar propriedade quando o valor de autorização do proprietário atual é desconhecido. Para dispositivos TPM 2.0, a presença física é associada a operações que exigem autorização da plataforma, mas são iniciadas pelo SO. Normalmente, a autorização da plataforma só pode ser dada pelo firmware, não pelo SO. Existem dois métodos para fornecer autorização de presença física: o método de comando e o método de hardware. Esses dois métodos são definidos para dispositivos TPM 1.2 na Especificação Principal do TPM 1.2 e para dispositivos TPM 2.0 na Especificação do Perfil TPM da Plataforma Cliente PC.

Método de hardware para afirmar presença física:
Um exemplo de implementação do método de hardware é um DIP switch na placa de sistema que é conectado a um pino no TPM. Definir o switch faz com que o pino altere a polaridade e faria com que o TPM definisse seu sinalizador de presença física interna. Usando esse método de hardware, os comandos que exigem a indicação de presença física podem ser executados a qualquer momento (no ambiente pré-SO ou do ambiente do SO), desde que o switch esteja definido e, para o TPM 2.0, a autorização da plataforma esteja disponível. Isso apresenta uma preocupação de segurança se o switch for deixado na posição declarada.

Método de comando para afirmar presença física:
Fornecer um botão ou interruptor para o exterior da plataforma não é viável em alguns casos devido ao custo, fator de forma, uso ou acessibilidade. Por esse motivo, um segundo método de afirmação de presença física chamado método de comando é definido. Para o método de comando, o firmware apresenta uma interface de usuário (IU) para explicar a operação que foi solicitada. Um usuário fisicamente presente confirma ou rejeita a operação pressionando uma tecla no teclado. O método de comando então autoriza o comando TPM a ser enviado para o TPM. Nenhuma outra verificação de presença física é feita no TPM. O TPM executa a operação TPM se o usuário a confirmou por meio da IU. Uma das propriedades necessárias da indicação de presença física é que ela deve ser feita pelo operador da plataforma, normalmente o usuário, quando fisicamente presente na plataforma. Isso requer que o método de comando seja restrito para estar disponível apenas enquanto o estado da plataforma puder fornecer essa garantia. Esse estado geralmente existe durante a inicialização para a configuração UEFI antes da disponibilidade de uma pilha de rede e exposição a software potencialmente não confiável.