लक्षण

ये निर्देश केवल सिस्टम x240 M5 के लिए तैयार किए गए हैं। रिमोट फिजिकल प्रेजेंस के लिए समर्थन UEFI C4E132H संशोधन 2.50 में जोड़ा गया था।

एक सर्वर पर "सिक्योर बूट" सक्षम करने के लिए, सिस्टम को भौतिक रूप से खोलना या किसी भी आंतरिक DIP स्विच सेटिंग को बदलना आवश्यक नहीं है। UEFI सेटअप दूरस्थ रूप से भौतिक उपस्थिति को सुनिश्चित करने की क्षमता प्रदान करता है। उपयोगकर्ता भौतिक उपस्थिति को सुनिश्चित करने के लिए DIP स्विच 6 बिट 2 को मैन्युअल रूप से सेट कर सकते हैं, लेकिन सुरक्षा कारणों से सिस्टम के OS में बूट होने के बाद भौतिक उपस्थिति को सुनिश्चित करना छोड़ना अनुशंसित नहीं है।

चरण 1:
सर्वर को UEFI सेटअप स्क्रीन में बूट करें। सिस्टम सेटिंग्स पर जाएं --> सुरक्षा --> भौतिक उपस्थिति नीति कॉन्फ़िगरेशन।

डिफ़ॉल्ट मोड में, उपयोगकर्ताओं को भौतिक उपस्थिति नीति सक्षम और ग्रेआउट दिखाई देनी चाहिए। उपयोगकर्ता भौतिक उपस्थिति स्थिति = डि-असर्टेड देखेंगे। 
नोट: यदि किसी कारण से भौतिक उपस्थिति नीति अक्षम है, तो "रिमोट फिजिकल प्रेजेंस असर्ट टॉगल" टैब ग्रेआउट होगा। नीति को आगे बढ़ाने के लिए, इसे पहले सक्षम करना होगा। इसके लिए DIP स्विच 6 बिट 2 द्वारा हार्डवेयर भौतिक उपस्थिति सेट करना और सेटअप में पुनः बूट करना आवश्यक होगा। फिर, आप भौतिक उपस्थिति नीति को सक्षम कर सकेंगे।
यह सुविधा प्रशासकों को भौतिक उपस्थिति नीति को अक्षम करने की अतिरिक्त सुरक्षा सुविधा प्रदान करती है ताकि भौतिक उपस्थिति का दूरस्थ रूप से सुनिश्चित किया जा सके। सुरक्षा कारणों से, एक बार नीति को अक्षम पर सेट करने के बाद, हार्डवेयर भौतिक उपस्थिति को DIP स्विच 6 बिट 2 को बंद करके हटा दिया जाना चाहिए।

चरण 2: 
"रिमोट फिजिकल प्रेजेंस असर्ट टॉगल" पर स्क्रॉल करें और इसे चुनें और एंटर कुंजी दबाएं।
उपयोगकर्ता देखेंगे कि "भौतिक उपस्थिति स्थिति" सुनिश्चित की गई है। सुनिश्चित करना और डि-असर्ट करना प्रभावी होने के लिए पुनः बूट की आवश्यकता नहीं है।

चरण 3: 
अब 'Esc' कुंजी दबाकर एक स्तर ऊपर जाएं और जाएं: सुरक्षा > सिक्योर बूट कॉन्फ़िगरेशन टैब।

आपको भौतिक उपस्थिति स्थिति को ताज़ा करने के लिए दबाने की आवश्यकता हो सकती है ताकि भौतिक उपस्थिति का वर्तमान मान प्रदर्शित हो सके।

अब सुरक्षा बूट कॉन्फ़िगरेशन सेट करें --> सिक्योर बूट है --> अक्षम से सक्षम में परिवर्तन करें।

उपयोगकर्ता एक पॉप अप प्रॉम्प्ट देखेंगे "क्या आप सुनिश्चित हैं कि आप सिक्योर बूट सक्षम करना चाहते हैं? क्या आप जारी रखना चाहते हैं? Y/N << Y दबाएं।

चरण 4:
अब भौतिक उपस्थिति नीति कॉन्फ़िगरेशन टैब पर लौटें और फिर से चुनें --> "रिमोट फिजिकल प्रेजेंस असर्ट टॉगल" ताकि भौतिक उपस्थिति स्थिति को डि-असर्ट किया जा सके।

चरण 5:
UEFI सेटअप के शीर्ष स्तर पर जाने के लिए 'Esc' कुंजी दबाएं, फिर सेटिंग्स को सहेजें और पुनः बूट करें।

सुरक्षित बूट को अक्षम करने के लिए भी वही चरणों का उपयोग किया जा सकता है।

प्रभावित कॉन्फ़िगरेशन

सिस्टम निम्नलिखित में से कोई भी हो सकता है Lenovo सर्वर:

• Lenovo फ्लेक्स सिस्टम x240 M5 कंप्यूट नोड, प्रकार 9532, कोई भी मॉडल

यह टिप सॉफ़्टवेयर विशिष्ट नहीं है।

यह टिप विकल्प विशिष्ट नहीं है।

सिस्टम में उपरोक्त वर्णित लक्षण हैं।

कार्यaround

लागू नहीं।

अतिरिक्त जानकारी

सिक्योर बूट यह सुनिश्चित करने के लिए है कि सभी निष्पादित कोड विश्वसनीय और हस्ताक्षरित हैं। डिफ़ॉल्ट मोड में, Lenovo फर्मवेयर UEFI मोड में लोड किए गए सभी को हस्ताक्षर-प्रमाणित करेगा।

जब सिक्योर बूट सक्रिय होता है, तो यह प्रत्येक सॉफ़्टवेयर के टुकड़े की जांच करता है, जिसमें UEFI ड्राइवर (ऑप्शन ROMs) और ऑपरेटिंग सिस्टम शामिल हैं, ज्ञात-भले हस्ताक्षरों के डेटाबेस के खिलाफ। यदि प्रत्येक सॉफ़्टवेयर का टुकड़ा मान्य है, तो फर्मवेयर सॉफ़्टवेयर और ऑपरेटिंग सिस्टम को चलाता है। सिक्योर बूट फ़ंक्शन इस प्रकार किसी भी एडाप्टर कार्ड को बूट करने से रोकेगा जो अपेक्षित हस्ताक्षर से मेल नहीं खाता है।

सिक्योर बूट केवल UEFI बूट मोड के लिए समर्थित है और विरासती बूट मोड के लिए नहीं।

OEMs अपने ड्राइवर Lenovo को प्रदान करते हैं जो फिर UEFI फर्मवेयर में शामिल होते हैं। इसमें हस्ताक्षर डेटाबेस (db), रद्द किए गए हस्ताक्षरों का डेटाबेस (dbx), और की एनरोलमेंट की डेटाबेस (KEK) शामिल हैं। ये डेटाबेस निर्माण के समय फ्लैश पर संग्रहीत होते हैं।

हस्ताक्षर डेटाबेस और रद्द किए गए हस्ताक्षरों का डेटाबेस UEFI अनुप्रयोगों, ऑपरेटिंग सिस्टम लोडर्स (जैसे माइक्रोसॉफ्ट ऑपरेटिंग सिस्टम लोडर, या बूट प्रबंधक) और UEFI ड्राइवरों के हस्ताक्षरकर्ताओं या छवि हैश को सूचीबद्ध करते हैं जिन्हें सर्वर पर लोड किया जा सकता है, और उन वस्तुओं के लिए रद्द की गई छवियां जो अब विश्वसनीय नहीं हैं और लोड नहीं की जा सकतीं।

की एनरोलमेंट की डेटाबेस एक अलग डेटाबेस है जिसमें हस्ताक्षर करने की कुंजियाँ होती हैं जिन्हें हस्ताक्षर डेटाबेस और रद्द किए गए हस्ताक्षरों के डेटाबेस को अपडेट करने के लिए उपयोग किया जा सकता है। माइक्रोसॉफ्ट एक निर्दिष्ट कुंजी को KEK डेटाबेस में शामिल करने की आवश्यकता है ताकि भविष्य में माइक्रोसॉफ्ट हस्ताक्षर डेटाबेस में नए ऑपरेटिंग सिस्टम जोड़ सके या रद्द किए गए हस्ताक्षरों के डेटाबेस में ज्ञात खराब छवियों को जोड़ सके। इन डेटाबेस को जोड़े जाने के बाद, और अंतिम फर्मवेयर सत्यापन और परीक्षण के बाद, Lenovo फर्मवेयर को संपादित करने से लॉक कर देता है, सिवाय उन अपडेट के जो सही कुंजी के साथ हस्ताक्षरित होते हैं या उन अपडेट के जो भौतिक रूप से उपस्थित उपयोगकर्ता द्वारा किए जाते हैं जो फर्मवेयर मेनू का उपयोग कर रहे हैं, और फिर एक PK उत्पन्न करते हैं। PK का उपयोग KEK को अपडेट करने या सिक्योर बूट को बंद करने के लिए किया जा सकता है।

सामान्यतः, PK, KEK, db, dbx का एक प्राथमिकता क्रम (सबसे महत्वपूर्ण से कम महत्वपूर्ण) है। अर्थात:

- KEK को अपडेट करने के लिए, आपके पास सही PK के साथ एक हस्ताक्षर होना चाहिए।

- db या dbx को अपडेट करने के लिए, आपके पास सही PK या KEK के साथ एक हस्ताक्षर होना चाहिए।

- सिक्योर बूट सक्षम करने के लिए एक PK की आवश्यकता होती है।

कुंजी का विवरण उन मोड को समझने के लिए महत्वपूर्ण है जिन्हें हम समर्थन करते हैं। सिक्योर बूट के दो (2) मोड हैं: मानक और कस्टम।

मानक मोड उपयोगकर्ता को माइक्रोसॉफ्ट द्वारा हस्ताक्षरित प्रमाणपत्रों का लाभ उठाने की अनुमति देता है। ये प्रमाणपत्र UEFI को सभी विकल्प ROMs और OS को हस्ताक्षरित और मान्य करने की अनुमति देते हैं। इनमें Windows और लिनक्स के लिए तीसरे पक्ष के प्रमाणपत्र दोनों शामिल हैं। मूल रूप से, हम अपने मानक मोड में इन डिफ़ॉल्ट्स को सुरक्षित बूट प्रमाणपत्रों में उपयोग करने की अनुमति देते हैं। इसमें एक PK, कई KEK, db, और dbx शामिल हैं।

कस्टम मोड उपयोगकर्ता को अपनी स्वयं की कुंजियों का सेट स्थापित करने की अनुमति देता है। सिक्योर बूट के विनिर्देशों के अनुसार, कस्टम मोड में बिना PK के बूट होने की अनुमति है। यह एक OS को एक नए PK को एनरोल करने की अनुमति देता है जिसे फिर अपने स्वयं के KEK, db, और dbx को मान्य करने के लिए उपयोग किया जाएगा।

सिक्योर बूट मोड में डिफ़ॉल्ट मानक मोड है और डिफ़ॉल्ट सिक्योर बूट अक्षम है।

भौतिक उपस्थिति:
भौतिक उपस्थिति कुछ TPM कार्यों को करने के लिए एक प्रकार की प्राधिकरण है। यह प्राधिकरण सामान्यतः प्लेटफ़ॉर्म ऑपरेटर से आती है। TPM 1.2 उपकरणों के लिए, भौतिक उपस्थिति की आवश्यकता वाले कार्य वे हैं जो प्रावधान और पुनः प्रावधान संचालन करते हैं जैसे कि स्वामित्व की अनुमति देना और वर्तमान स्वामी प्राधिकरण मान अज्ञात होने पर स्वामित्व को साफ़ करना। TPM 2.0 उपकरणों के लिए, भौतिक उपस्थिति उन संचालन से संबंधित है जो प्लेटफ़ॉर्म प्राधिकरण की आवश्यकता होती है लेकिन OS द्वारा आरंभ की जाती है। सामान्यतः, प्लेटफ़ॉर्म प्राधिकरण केवल फर्मवेयर द्वारा दिया जा सकता है, OS द्वारा नहीं। भौतिक उपस्थिति प्राधिकरण प्रदान करने के लिए दो तरीके हैं: कमांड विधि और हार्डवेयर विधि। ये दो तरीके TPM 1.2 उपकरणों के लिए TPM 1.2 मुख्य विनिर्देश में और TPM 2.0 उपकरणों के लिए PC क्लाइंट प्लेटफ़ॉर्म TPM प्रोफ़ाइल विनिर्देश में परिभाषित किए गए हैं।

भौतिक उपस्थिति को सुनिश्चित करने के लिए हार्डवेयर विधि:
हार्डवेयर विधि के कार्यान्वयन का एक उदाहरण सिस्टम बोर्ड पर एक DIP स्विच है जो TPM पर एक पिन से जुड़ा होता है। स्विच सेट करने से पिन की ध्रुवता बदल जाती है और TPM को अपने आंतरिक भौतिक-उपस्थिति ध्वज को सेट करने का कारण बनता है। इस हार्डवेयर विधि का उपयोग करते हुए, भौतिक उपस्थिति के संकेत की आवश्यकता वाले आदेश किसी भी समय (OS वातावरण में या OS वातावरण से) निष्पादित किए जा सकते हैं जब तक स्विच सेट है और, TPM 2.0 के लिए, प्लेटफ़ॉर्म प्राधिकरण उपलब्ध है। यदि स्विच को सुनिश्चित स्थिति में छोड़ दिया जाता है तो यह एक सुरक्षा चिंता प्रस्तुत करता है।

भौतिक उपस्थिति को सुनिश्चित करने के लिए कमांड विधि:
प्लेटफ़ॉर्म के बाहर एक बटन या स्विच प्रदान करना कुछ मामलों में लागत, आकार, उपयोग या पहुंच के कारण व्यवहार्य नहीं है। इस कारण से, भौतिक उपस्थिति को सुनिश्चित करने की एक दूसरी विधि जिसे कमांड विधि कहा जाता है, परिभाषित की गई है। कमांड विधि के लिए, फर्मवेयर एक उपयोगकर्ता इंटरफ़ेस (UI) प्रस्तुत करता है जो अनुरोधित संचालन को समझाता है। एक भौतिक रूप से उपस्थित उपयोगकर्ता कीबोर्ड पर एक कुंजी दबाकर संचालन की पुष्टि या अस्वीकृति करता है। कमांड विधि फिर TPM आदेश को TPM को भेजने के लिए अधिकृत करती है। TPM में भौतिक उपस्थिति के लिए कोई आगे की जांच नहीं की जाती है। यदि उपयोगकर्ता ने UI के माध्यम से इसकी पुष्टि की है तो TPM TPM संचालन करता है। भौतिक उपस्थिति के संकेत की आवश्यकता में से एक यह है कि इसे प्लेटफ़ॉर्म ऑपरेटर द्वारा किया जाना चाहिए, सामान्यतः उपयोगकर्ता द्वारा, जब प्लेटफ़ॉर्म पर भौतिक रूप से उपस्थित हो। यह कमांड विधि को केवल उस समय उपलब्ध होने के लिए प्रतिबंधित करने की आवश्यकता है जब प्लेटफ़ॉर्म स्थिति इस आश्वासन को प्रदान कर सके। यह स्थिति सामान्यतः UEFI सेटअप में बूट के दौरान मौजूद होती है, नेटवर्क स्टैक की उपलब्धता से पहले और संभावित अविश्वसनीय सॉफ़्टवेयर के संपर्क में आने से पहले।