症狀

這些說明僅適用於系統 x240 M5。 UEFI C4E132H 修訂版 2.50 中新增了對遠端物理存在的支援。

若要在伺服器上啟用“安全啟動”，無需實際開啟系統或變更任何內部 DIP 開關設定。 UEFI 設定提供了遠端斷言物理存在的功能。使用者也可以手動將 DIP 開關 6 位元 2 設定為硬體斷言物理存在，但出於安全原因，不建議在系統啟動到作業系統後保留物理存在斷言。

步驟一：
將伺服器引導至 UEFI 設定畫面。瀏覽至系統設定 --> 安全性 --> 物理存在策略配置。

在預設模式下，使用者應該會看到“物理存在策略”已啟用並呈現灰色顯示。使用者將看到物理存在狀態 = 已取消斷言。
注意：如果出於任何原因停用物理存在策略，則「切換遠端物理存在斷言」標籤將呈現灰色。要執行該策略，需要先啟用它。這將需要透過 DIP 開關 6 位元 2 設定硬體物理存在並重新啟動以進行設定。然後，您將能夠啟用物理存在策略。
此功能為管理員提供了禁用物理存在策略的附加安全功能，以防止遠端斷言物理存在。出於安全原因，一旦策略設定為停用，應透過關閉 DIP 開關 6 位元 2 來刪除硬體物理存在。

步驟2：
向下捲動至「切換遠端物理存在斷言」並選擇它並按 Enter 鍵。
使用者將看到“物理存在狀態”變更為已斷言。斷言和取消斷言不需要重新啟動即可生效。

步驟3：
現在按“Esc”鍵返回一級並轉到：安全性 > 安全啟動配置選項卡。

您可能需要按刷新物理存在狀態才能顯示物理存在的目前值。

現在設定安全啟動設定 --> 安全啟動是 --> 從停用變更為啟用。

使用者將看到彈出提示「您確定要啟用安全啟動嗎？您要繼續嗎？Y/N << 輸入 Y。

第4步：
現在返回「物理存在策略配置」選項卡，並再次選擇 -->「切換遠端物理存在斷言」以取消斷言物理存在狀態。

第5步：
按下“Esc”鍵進入 UEFI 設定的頂層，然後儲存設定並重新啟動。

相同的步驟也可用於停用安全啟動。

受影響的配置

該系統可以是以下任何Lenovo伺服器：

• Lenovo Flex System x240 M5 運算節點，類型 9532，任何型號

本技巧並非特定於軟體。

此提示不是特定於選項的。

系統出現上述症狀。

解決方法

不適用。

附加資訊

安全啟動旨在確保所有執行的程式碼都是受信任和簽署的。在預設模式下， Lenovo韌體將對 UEFI 模式下載入的所有內容進行簽名驗證。

啟動安全啟動後，它會根據已知良好的簽章資料庫檢查每個軟體，包括 UEFI 驅動程式（選項 ROM）和作業系統。如果每個軟體都有效，則韌體運行該軟體和作業系統。因此，安全啟動功能將阻止任何被發現包含與預期簽名不符的 ROM 的適配器卡啟動。

僅 UEFI 啟動模式支援安全啟動，傳統啟動模式不支援安全啟動。

OEM 向Lenovo提供驅動程序，然後將其包含在 UEFI 韌體中。這包括簽署資料庫 (db)、撤銷簽章資料庫 (dbx) 和金鑰註冊金鑰資料庫 (KEK)。這些資料庫在製造時儲存在快閃記憶體上。

簽署資料庫和已撤銷簽章資料庫列出了可在伺服器上載入的UEFI 應用程式、作業系統載入程式（例如Microsoft 作業系統載入程式或開機管理員）和UEFI 驅動程式的簽署者或映像雜湊，以及已撤銷的映像不再受信任且可能無法載入的項目。

金鑰註冊金鑰資料庫是一個單獨的簽署金鑰資料庫，可用於更新簽章資料庫和撤銷簽章資料庫。 Microsoft 要求 KEK 資料庫中包含指定的金鑰，以便將來 Microsoft 可以將新的作業系統新增至簽章資料庫中，或將已知的不良映像新增至已撤銷的簽章資料庫。在新增這些資料庫以及最終韌體驗證和測試後， Lenovo將鎖定韌體以禁止編輯，但使用正確金鑰簽署的更新或由使用韌體選單的實際存在用戶進行的更新除外，然後產生 PK 。 PK 可用於簽署 KEK 更新或關閉安全啟動。

一般來說，PK、KEK、db、dbx 存在優先順序（從最重要到最不重要）。那是：

- 要更新 KEK，您必須擁有具有正確 PK 的簽章。

- 若要更新 db 或 dbx，您必須擁有具有正確 PK 或 KEK 的簽章。

- 需要 PK 才能啟用安全啟動。

鍵的描述對於理解我們支持的模式非常重要。安全啟動有兩 (2) 種模式：標準和自訂。

標準模式允許使用者利用 Microsoft 簽署的憑證。這些憑證可讓 UEFI 驗證所有選項 ROM 和作業系統是否已簽署且有效。它們包括Windows和 Linux 的第三方憑證。本質上，我們允許安全啟動憑證中的這些預設值在我們的標準模式下使用。這包括一個 PK、多個 KEK、db 和 dbx。

自訂模式允許使用者安裝自己的一組密鑰。安全啟動狀態的規範允許在沒有 PK 的情況下以自訂模式進行啟動。這允許作業系統註冊一個新的 PK，然後將其用於驗證自己的 KEK、db 和 dbx。

安全啟動模式預設為標準模式，預設安全啟動為停用。

實際存在：
物理存在是執行某些 TPM 功能的授權形式。此授權通常來自平台營運商。對於 TPM 1.2 設備，需要實體存在的功能是執行設定和重新配置操作的功能，例如在目前所有者授權值未知時允許所有權和清除所有權。對於 TPM 2.0 設備，實體存在與需要平台授權但由作業系統啟動的操作相關聯。通常，平台授權只能由韌體給出，而不能由作業系統給出。提供物理存在授權的方法有兩種：命令方法和硬體方法。這兩種方法是在 TPM 1.2 主要規格中為 TPM 1.2 裝置定義的，在 PC 用戶端平台 TPM 設定檔規格中為 TPM 2.0 裝置定義的。

斷言物理存在的硬體方法：
硬體方法實現的一個範例是系統板上的 DIP 開關，該開關連接到 TPM 上的引腳。設定開關會導致引腳更改極性，並導致 TPM 設定其內部物理存在標誌。使用這種硬體方法，只要設定了開關，就可以隨時執行需要指示物理存在的命令（在預操作系統環境中或從作業系統環境中），並且對於 TPM 2.0，平台授權可用。如果開關留在斷言位置，這會帶來安全問題。

斷言物理存在的命令方法：
在某些情況下，由於成本、外形尺寸、使用情況或可訪問性，在平台外部提供按鈕或開關是不可行的。因此，定義了第二種斷言物理存在的方法，稱為命令方法。對於命令方法，韌體呈現一個使用者介面（UI）來解釋所要求的操作。實際存在的使用者透過按下鍵盤上的按鍵來確認或拒絕操作。然後，該命令方法授權將 TPM 命令傳送到 TPM。 TPM 中不會進一步檢查物理存在。如果使用者透過 UI 確認，TPM 就會執行 TPM 操作。物理存在指示所需的屬性之一是，它必須由平台運營商（通常是用戶）在物理存在於平台時完成。這需要將命令方法限制為僅在平台狀態可以提供此保證時可用。此狀態通常存在於網路堆疊可用且暴露於潛在不受信任軟體之前啟動至 UEFI 設定期間。