Soporte
SíntomaConfiguraciones afectadasinformación adicional

Cómo habilitar la opción de arranque seguro en la configuración UEFI - Lenovo Flex System x240 M5 Compute Node (9532)

Cómo habilitar la opción de arranque seguro en la configuración UEFI - Lenovo Flex System x240 M5 Compute Node (9532)

Cómo habilitar la opción de arranque seguro en la configuración UEFI - Lenovo Flex System x240 M5 Compute Node (9532)

Este es un artículo traducido automáticamente. Haga clic aquí para ver la versión original en inglés.

Síntoma

Estas instrucciones están preparadas únicamente para el sistema x240 M5. La compatibilidad con presencia física remota se agregó en la revisión 2.50 de UEFI C4E132H.

Para habilitar el "Arranque seguro" en un servidor, no es necesario abrir físicamente el sistema ni cambiar ninguna configuración interna del interruptor DIP. La configuración UEFI proporciona la capacidad de confirmar de forma remota la presencia física. Los usuarios también pueden configurar manualmente el interruptor DIP de 6 bits 2 para confirmar la presencia física por hardware, pero no se recomienda dejar la presencia física confirmada después de que el sistema se haya iniciado en un SO por razones de seguridad.

Paso 1:
Inicie el servidor en la pantalla de configuración UEFI. Vaya a Configuración del sistema --> Seguridad --> Configuración de política de presencia física.

En el modo predeterminado, los usuarios deberían esperar ver la Política de presencia física habilitada y en gris. Los usuarios verán el Estado de presencia física = Desactivado.
Nota: Si por alguna razón la Política de presencia física está deshabilitada, la pestaña "Activar o desactivar la confirmación de presencia física remota" aparecerá en gris. Para continuar con la política, primero deberá habilitarla. Para ello, deberá configurar la presencia física del hardware mediante el interruptor DIP de 6 bits 2 y reiniciar para configurarlo. Luego, podrá habilitar la Política de presencia física.
Esta función proporciona a los administradores una función de seguridad adicional para deshabilitar la Política de presencia física para evitar la confirmación remota de la presencia física. Por razones de seguridad, una vez que la política se configura como deshabilitada, la presencia física del hardware debe eliminarse apagando el interruptor DIP de 6 bits 2.

Paso 2:
Desplácese hacia abajo hasta "Activar o desactivar afirmación de presencia física remota", selecciónelo y presione la tecla Enter.
Los usuarios verán que el "Estado de presencia física" cambia a afirmado. La afirmación y la anulación de la afirmación no requieren un reinicio para que surtan efecto.

Paso 3:
Ahora presione la tecla 'Esc' para retroceder un nivel y vaya a: Seguridad > Pestaña Configuración de arranque seguro.

Es posible que necesite presionar el estado Actualizar presencia física para mostrar el valor actual de presencia física.

Ahora configure la Configuración de arranque de seguridad -> Arranque seguro -> cambie de Deshabilitado a Habilitado.

Los usuarios verán una ventana emergente que les preguntará "¿Está seguro de que desea habilitar el arranque seguro? ¿Desea continuar? Y/N << ingrese Y.

Paso 4:
Ahora regrese a la pestaña Configuración de política de presencia física y nuevamente seleccione --> "alternar afirmación de presencia física remota" para anular la afirmación del estado de presencia física.

Paso 5:
Presione la tecla 'Esc' para ir al nivel superior de configuración UEFI, luego guarde la configuración y reinicie.

También se pueden utilizar los mismos pasos para deshabilitar el arranque seguro.

Configuraciones afectadas

El sistema puede ser cualquiera de los siguientes servidores Lenovo :

  • Nodo de cómputo Lenovo Flex System x240 M5, tipo 9532, cualquier modelo

Este consejo no es específico del software.

Este consejo no es una opción específica.

El sistema tiene el síntoma descrito anteriormente.

Solución alternativa

No aplica.

información adicional

El arranque seguro tiene como objetivo garantizar que todo el código ejecutado sea confiable y esté firmado. En el modo predeterminado, el firmware Lenovo verificará la firma de todo lo cargado en el modo UEFI.

Cuando se activa el Arranque seguro, se comprueba cada pieza de software, incluidos los controladores UEFI (ROM opcionales) y el sistema operativo, con bases de datos de firmas conocidas. Si cada pieza de software es válida, el firmware ejecuta el software y el sistema operativo. La función de Arranque seguro evitará así que arranque cualquier tarjeta adaptadora que contenga una ROM que no coincida con la firma esperada.

El arranque seguro solo es compatible con el modo de arranque UEFI y no con el modo de arranque heredado.

Los fabricantes de equipos originales (OEM) proporcionan sus controladores a Lenovo , que luego se incluyen en el firmware UEFI. Esto incluye la base de datos de firmas (db), la base de datos de firmas revocadas (dbx) y la base de datos de claves de inscripción de claves (KEK). Estas bases de datos se almacenan en la memoria flash en el momento de la fabricación.

La base de datos de firmas y la base de datos de firmas revocadas enumeran los firmantes o los hashes de imágenes de aplicaciones UEFI, cargadores de sistemas operativos (como Microsoft Operating System Loader o Boot Manager) y controladores UEFI que se pueden cargar en el servidor, y las imágenes revocadas de elementos que ya no son confiables y no se pueden cargar.

La base de datos de claves de inscripción de claves es una base de datos independiente de claves de firma que se pueden utilizar para actualizar la base de datos de firmas y la base de datos de firmas revocadas. Microsoft requiere que se incluya una clave específica en la base de datos de KEK para que, en el futuro, Microsoft pueda agregar nuevos sistemas operativos a la base de datos de firmas o agregar imágenes defectuosas conocidas a la base de datos de firmas revocadas. Una vez que se hayan agregado estas bases de datos y después de la validación y prueba final del firmware, Lenovo bloquea el firmware para que no se pueda editar, excepto las actualizaciones que estén firmadas con la clave correcta o las actualizaciones realizadas por un usuario físicamente presente que esté utilizando los menús del firmware, y luego genera una PK. La PK se puede utilizar para firmar actualizaciones de la KEK o para desactivar el Arranque seguro.

En general, existe un orden de precedencia (de mayor a menor importancia) de PK, KEK, db, dbx. Es decir:

- Para actualizar una KEK, es necesario tener una firma con la PK correcta.

- Para actualizar una base de datos o un dbx, es necesario tener una firma con la PK o KEK correcta.

- Se requiere una PK para habilitar el arranque seguro.

La descripción de las teclas es importante para comprender los modos que admitimos. El arranque seguro tiene dos (2) modos: estándar y personalizado.

El modo estándar permite que un usuario aproveche los certificados firmados por Microsoft. Estos certificados permiten que UEFI verifique que todas las ROM opcionales y el sistema operativo estén firmados y sean válidos. Incluyen tanto certificados Windows como de terceros para Linux. Básicamente, permitimos que estos valores predeterminados en los certificados de arranque seguro se utilicen en nuestro modo estándar. Esto incluye una PK, varias KEK, db y dbx.

El modo personalizado permite que un usuario instale su propio conjunto de claves. Las especificaciones para el estado de arranque seguro permiten que se realice un arranque en modo personalizado sin una clave de inicio. Esto permite que un sistema operativo registre una nueva clave de inicio que luego se utilizaría para validar su propia clave de inicio, base de datos y dbx.

El valor predeterminado en el modo de arranque seguro es el modo estándar y el arranque seguro predeterminado está deshabilitado.

Presencia física:
La presencia física es una forma de autorización para realizar determinadas funciones de TPM. Esta autorización normalmente proviene del operador de la plataforma. Para los dispositivos TPM 1.2, las funciones que requieren presencia física son aquellas que realizan operaciones de aprovisionamiento y reaprovisionamiento, como permitir la propiedad y borrar la propiedad cuando se desconoce el valor de autorización del propietario actual. Para los dispositivos TPM 2.0, la presencia física está asociada con operaciones que requieren autorización de la plataforma pero que son iniciadas por el SO. Por lo general, la autorización de la plataforma solo puede otorgarse mediante el firmware, no mediante el SO. Existen dos métodos para proporcionar autorización de presencia física: el método de comando y el método de hardware. Estos dos métodos se definen para los dispositivos TPM 1.2 en la Especificación principal de TPM 1.2 y para los dispositivos TPM 2.0 en la Especificación del perfil TPM de la plataforma cliente de PC.

Método de hardware para afirmar la presencia física:
Un ejemplo de implementación del método de hardware es un interruptor DIP en la placa del sistema que está conectado a un pin en el TPM. Al configurar el interruptor, el pin cambia la polaridad y el TPM configura su indicador interno de presencia física. Con este método de hardware, los comandos que requieren la indicación de presencia física se pueden ejecutar en cualquier momento (en el entorno previo al SO o desde el entorno del SO) siempre que el interruptor esté configurado y, para el TPM 2.0, la autorización de la plataforma esté disponible. Esto presenta un problema de seguridad si el interruptor se deja en la posición afirmada.

Método de comando para afirmar la presencia física:
En algunos casos, no es posible proporcionar un botón o interruptor al exterior de la plataforma debido al costo, el factor de forma, el uso o la accesibilidad. Por este motivo, se define un segundo método para afirmar la presencia física, denominado método de comando. Para el método de comando, el firmware presenta una interfaz de usuario (IU) para explicar la operación que se ha solicitado. Un usuario físicamente presente confirma o rechaza la operación presionando una tecla en el teclado. Luego, el método de comando autoriza que se envíe el comando TPM al TPM. No se realiza ninguna otra verificación de presencia física en el TPM. El TPM realiza la operación TPM si el usuario la confirmó a través de la IU. Una de las propiedades requeridas para la indicación de presencia física es que debe realizarla el operador de la plataforma, generalmente el usuario, cuando esté físicamente presente en la plataforma. Esto requiere que el método de comando esté restringido para que solo esté disponible mientras el estado de la plataforma pueda proporcionar esta garantía. Este estado generalmente existe durante el arranque a la configuración UEFI antes de la disponibilidad de una pila de red y la exposición a un posible software no confiable.

Identificación de alias:99908
ID del documento:HT507181
Fecha de publicación original:09/12/2018
Fecha de última modificación:09/11/2024
X

Lenovo utiliza cookies para mejorar su experiencia.

Visite nuestro Herramienta de consentimiento de cookies para administrar sus preferencias, o nuestro Política de privacidad para obtener más información.

Volver a página anterior
X
lenovo

Información que recopilamos sobre usted

Queremos ser transparentes sobre los datos que recopilamos nosotros y nuestros socios y cómo los usamos, para que pueda ejercer mejor el control sobre sus datos personales. Para obtener más información, consulte nuestro Política de privacidad.

Nuestra herramienta de consentimiento de cookies le ofrece una mayor visibilidad y control sobre cómo se almacenan sus preferencias en el sitio. Sin embargo, algunas cookies de terceros se han clasificado temporalmente como esenciales, lo que significa que se eliminarán algunas cookies que no son realmente necesarias para el funcionamiento del sitio. Estamos trabajando para solucionar el problema, pero aún puede bloquear las cookies esenciales a través de las herramientas de su navegador.

Información que recopilan nuestros socios

Utilizamos los siguientes socios para mejorar su experiencia general de navegación web. Utilizan cookies y otros mecanismos para conectarlo con sus redes sociales y adaptar la publicidad para que coincida mejor con sus intereses. Puede optar por no participar en esta recopilación de información desmarcando las casillas a continuación.

Categorías
1 de 1 permitidos
Essential Obligatorio

Usamos cookies, javascript y otras tecnologías web para servir elementos clave o esenciales en el sitio. Esto puede incluir cosas como sus preferencias de idioma o cookies basadas en el servidor destinadas a mantener nuestro sitio en funcionamiento y operativo. Si se deshabilita, es probable que la experiencia de su sitio se vea afectada.

Analytics

Utilizamos análitica para mejorar nuestro sitio web al comprender mejor con qué frecuencia visitan los usuarios el sitio, qué páginas visitan más y cuánto tiempo pasan en nuestro sitio. Confiamos en las cookies y en socios externos para realizar un seguimiento de estas acciones y comportamientos. Haga clic en uno de los nombres de los socios para obtener más información.

Proveedores
Nombre Obligatorio

Sitio web :

En sus propias palabras

¿Qué datos recopila la empresa?

Datos recopilados

Anónimo:

Seudónimo:

PII:

Sensible:

Intercambio de datos

Retención de datos

Uso de datos

Almacenamiento de datos

Adobe