الأعراض

تم إعداد هذه التعليمات لنظام x240 M5 فقط. تمت إضافة دعم التواجد المادي عن بعد في UEFI C4E132H Revision 2.50.

لتمكين "التمهيد الآمن" على الخادم، ليس من الضروري فتح النظام فعليًا أو تغيير أي إعدادات داخلية لمفتاح DIP. يوفر إعداد UEFI القدرة على تأكيد الوجود المادي عن بُعد. يمكن للمستخدمين أيضًا ضبط مفتاح DIP 6 بت 2 يدويًا لتأكيد الوجود المادي بالأجهزة، ولكن لا يُنصح بترك الوجود المادي مؤكدًا بعد تشغيل النظام في نظام التشغيل لأسباب أمنية.

الخطوة 1:
قم بتشغيل الخادم إلى شاشة إعداد UEFI. انتقل إلى إعدادات النظام --> الأمان --> تكوين سياسة التواجد الفعلي.

في الوضع الافتراضي، يجب أن يتوقع المستخدمون رؤية سياسة التواجد الفعلي مفعلة ومظللة باللون الرمادي. سيرى المستخدمون حالة التواجد الفعلي = غير مؤكدة.
ملاحظة: إذا تم تعطيل سياسة التواجد المادي لأي سبب من الأسباب، فستكون علامة التبويب "تبديل تأكيد التواجد المادي عن بُعد" باللون الرمادي. لمتابعة السياسة، يجب تمكينها أولاً. سيتطلب هذا تعيين التواجد المادي للأجهزة بواسطة مفتاح DIP 6 بت 2 وإعادة التشغيل للإعداد. بعد ذلك، ستتمكن من تمكين سياسة التواجد المادي.
توفر هذه الميزة للمسؤولين ميزة أمان إضافية تتمثل في تعطيل سياسة التواجد المادي لمنع تأكيد التواجد المادي عن بُعد. ولأسباب أمنية، بمجرد تعيين السياسة على التعطيل، يجب إزالة التواجد المادي للأجهزة عن طريق إيقاف تشغيل مفتاح DIP 6 بت 2.

الخطوة 2:
قم بالتمرير لأسفل إلى "تبديل تأكيد التواجد الجسدي عن بعد" وحدده واضغط على مفتاح الإدخال.
سيلاحظ المستخدمون أن "حالة الحضور الفعلي" تتغير إلى "مؤكدة". لا يتطلب التأكيد وإلغاء التأكيد إعادة التشغيل حتى يسري مفعولهما.

الخطوة 3:
الآن اضغط على مفتاح "Esc" للرجوع إلى مستوى أعلى وانتقل إلى: الأمان > علامة التبويب تكوين التمهيد الآمن.

قد تحتاج إلى الضغط على حالة "تحديث التواجد المادي" لعرض القيمة الحالية للتواجد المادي.

الآن قم بتعيين تكوين التمهيد الأمني -> التمهيد الآمن -> التغيير من معطل إلى ممكّن.

سيشاهد المستخدمون رسالة منبثقة تطلب منهم "هل أنت متأكد من أنك تريد تمكين التمهيد الآمن؟ هل تريد الاستمرار؟ Y/N << أدخل Y.

الخطوة 4:
الآن ارجع إلى علامة التبويب "تكوين سياسة التواجد المادي" وحدد مرة أخرى --> "تبديل تأكيد التواجد المادي عن بعد" لإلغاء تأكيد حالة التواجد المادي.

الخطوة 5:
اضغط على مفتاح "Esc" في المستوى الأعلى من إعداد UEFI، ثم احفظ الإعدادات وأعد التشغيل.

يمكن أيضًا استخدام نفس الخطوات لتعطيل التمهيد الآمن.

التكوينات المتأثرة

قد يكون النظام أيًا من خوادم Lenovo التالية:

• عقدة الحوسبة Lenovo Flex System x240 M5، النوع 9532، أي طراز

هذه النصيحة لا تتعلق بالبرمجيات.

هذه النصيحة لا تتعلق بخيار محدد.

يعاني النظام من الأعراض الموضحة أعلاه.

الحل البديل

لا ينطبق.

معلومات إضافية

الغرض من التمهيد الآمن هو ضمان أن جميع التعليمات البرمجية التي تم تنفيذها موثوقة وموقعة. في الوضع الافتراضي، سوف يقوم برنامج Lenovo الثابت بالتحقق من التوقيع لكل شيء تم تحميله في وضع UEFI.

عند تنشيط Secure Boot، فإنه يتحقق من كل قطعة من البرامج، بما في ذلك برامج تشغيل UEFI (اختيارية ROMs) ونظام التشغيل، مقابل قواعد بيانات التوقيعات المعروفة. إذا كانت كل قطعة من البرامج صالحة، فإن البرامج الثابتة تقوم بتشغيل البرنامج ونظام التشغيل. وبالتالي فإن وظيفة Secure Boot ستمنع أي بطاقة محول من التمهيد إذا وجد أنها تحتوي على ROM لا تتطابق مع التوقيع المتوقع.

يتم دعم التمهيد الآمن فقط لوضع تمهيد UEFI وليس وضع التمهيد القديم.

توفر الشركات المصنعة للمعدات الأصلية برامج التشغيل الخاصة بها لشركة Lenovo والتي يتم تضمينها بعد ذلك في برنامج UEFI الثابت. ويتضمن ذلك قاعدة بيانات التوقيعات (db) وقاعدة بيانات التوقيعات الملغاة (dbx) وقاعدة بيانات مفتاح تسجيل المفتاح (KEK). يتم تخزين قواعد البيانات هذه على الفلاش في وقت التصنيع.

تسرد قاعدة بيانات التوقيعات وقاعدة بيانات التوقيعات الملغاة الموقعين أو تجزئات الصور لتطبيقات UEFI، ومحملات نظام التشغيل (مثل Microsoft Operating System Loader، أو Boot Manager) وبرامج تشغيل UEFI التي يمكن تحميلها على الخادم، والصور الملغاة للعناصر التي لم تعد موثوقة ولا يجوز تحميلها.

قاعدة بيانات Key Enrollment Key هي قاعدة بيانات منفصلة لمفاتيح التوقيع التي يمكن استخدامها لتحديث قاعدة بيانات التوقيع وقاعدة بيانات التوقيعات الملغاة. تتطلب Microsoft تضمين مفتاح محدد في قاعدة بيانات KEK حتى تتمكن Microsoft في المستقبل من إضافة أنظمة تشغيل جديدة إلى قاعدة بيانات التوقيع أو إضافة صور سيئة معروفة إلى قاعدة بيانات التوقيعات الملغاة. بعد إضافة قواعد البيانات هذه، وبعد التحقق النهائي من صحة البرنامج الثابت واختباره، تقوم Lenovo بقفل البرنامج الثابت من التحرير، باستثناء التحديثات التي تم توقيعها بالمفتاح الصحيح أو التحديثات بواسطة مستخدم موجود فعليًا يستخدم قوائم البرنامج الثابت، ثم تقوم بإنشاء مفتاح أساسي. يمكن استخدام مفتاح الأساسي لتوقيع التحديثات على KEK أو لإيقاف تشغيل التمهيد الآمن.

بشكل عام، هناك ترتيب أولوية (من الأكثر أهمية إلى الأقل أهمية) لـ PK، KEK، db، dbx. وهذا هو:

- لتحديث KEK، يجب أن يكون لديك توقيع مع PK الصحيح.

- لتحديث قاعدة بيانات أو dbx، يجب أن يكون لديك توقيع مع PK أو KEK الصحيح.

- مطلوب PK لتمكين التمهيد الآمن.

يعد وصف المفاتيح أمرًا مهمًا لفهم الأوضاع التي ندعمها. يحتوي التمهيد الآمن على وضعين (2): الوضع القياسي والوضع المخصص.

يتيح الوضع القياسي للمستخدم الاستفادة من الشهادات الموقعة من قبل Microsoft. تسمح هذه الشهادات لـ UEFI بالتحقق من أن جميع خيارات ROM وأنظمة التشغيل موقعة وصالحة. وهي تتضمن شهادات Windows وشهادات الجهات الخارجية لنظام Linux. في الأساس، نسمح باستخدام هذه الإعدادات الافتراضية في شهادات التمهيد الآمن في الوضع القياسي الخاص بنا. يتضمن هذا PK واحد، وKEK متعددة، وdb، وdbx.

يسمح الوضع المخصص للمستخدم بتثبيت مجموعة المفاتيح الخاصة به. تسمح مواصفات حالة التمهيد الآمن بحدوث التمهيد في الوضع المخصص دون مفتاح أساسي. يسمح هذا لنظام التشغيل بتسجيل مفتاح أساسي جديد يمكن استخدامه بعد ذلك للتحقق من صحة مفتاح KEK وقاعدة البيانات وقاعدة البيانات الخاصة به.

الوضع الافتراضي في وضع التمهيد الآمن هو الوضع القياسي والوضع الافتراضي في وضع التمهيد الآمن هو معطل.

الحضور الجسدي:
الحضور المادي هو شكل من أشكال التفويض لأداء وظائف TPM معينة. يأتي هذا التفويض عادةً من مشغل النظام الأساسي. بالنسبة لأجهزة TPM 1.2، فإن الوظائف التي تتطلب الحضور المادي هي تلك التي تؤدي عمليات التجهيز وإعادة التجهيز مثل السماح بالملكية ومسح الملكية عندما تكون قيمة تفويض المالك الحالي غير معروفة. بالنسبة لأجهزة TPM 2.0، يرتبط الحضور المادي بالعمليات التي تتطلب تفويض النظام الأساسي ولكن يتم البدء بها بواسطة نظام التشغيل. عادةً، لا يمكن منح تفويض النظام الأساسي إلا بواسطة البرامج الثابتة، وليس بواسطة نظام التشغيل. هناك طريقتان لتوفير تفويض الحضور المادي: طريقة الأمر وطريقة الأجهزة. يتم تعريف هاتين الطريقتين لأجهزة TPM 1.2 في مواصفات TPM 1.2 الرئيسية وأجهزة TPM 2.0 في مواصفات ملف تعريف TPM لمنصة عميل الكمبيوتر الشخصي.

طريقة الأجهزة لتأكيد الوجود المادي:
من الأمثلة على تنفيذ طريقة الأجهزة مفتاح DIP على لوحة النظام الموصول بدبوس على TPM. يؤدي ضبط المفتاح إلى تغيير قطبية الدبوس ويؤدي إلى ضبط TPM لعلامة التواجد المادي الداخلية الخاصة به. باستخدام طريقة الأجهزة هذه، يمكن تنفيذ الأوامر التي تتطلب الإشارة إلى التواجد المادي في أي وقت (في بيئة ما قبل نظام التشغيل أو من بيئة نظام التشغيل) طالما تم ضبط المفتاح، وبالنسبة لـ TPM 2.0، فإن تفويض النظام الأساسي متاح. وهذا يمثل مشكلة أمنية إذا تُرك المفتاح في الوضع المحدد.

طريقة الأمر لتأكيد الحضور الجسدي:
إن توفير زر أو مفتاح خارج المنصة ليس ممكنًا في بعض الحالات بسبب التكلفة أو عامل الشكل أو الاستخدام أو إمكانية الوصول. ولهذا السبب، يتم تعريف طريقة ثانية لتأكيد الوجود المادي تسمى طريقة الأمر. بالنسبة لطريقة الأمر، تقدم البرامج الثابتة واجهة مستخدم (UI) لشرح العملية المطلوبة. يؤكد المستخدم الموجود فعليًا العملية أو يرفضها بالضغط على مفتاح على لوحة المفاتيح. ثم تسمح طريقة الأمر بإرسال أمر TPM إلى TPM. لا يتم إجراء مزيد من التحقق من الوجود المادي في TPM. يقوم TPM بإجراء عملية TPM إذا أكدها المستخدم من خلال واجهة المستخدم. إحدى الخصائص المطلوبة للإشارة إلى الوجود المادي هي أنه يجب أن يتم ذلك بواسطة مشغل المنصة، عادةً المستخدم، عند التواجد المادي في المنصة. يتطلب هذا تقييد طريقة الأمر لتكون متاحة فقط بينما يمكن لحالة المنصة توفير هذا التأكيد. توجد هذه الحالة عادةً أثناء التمهيد لإعداد UEFI قبل توفر مجموعة الشبكة والتعرض لبرامج غير موثوقة محتملة.