Podpora
PříznakŘešení

Jak povolit možnost zabezpečeného spouštění v nastavení UEFI - Lenovo Flex System x240 M5 Compute Node (9532)

Jak povolit možnost zabezpečeného spouštění v nastavení UEFI - Lenovo Flex System x240 M5 Compute Node (9532)

Jak povolit možnost zabezpečeného spouštění v nastavení UEFI - Lenovo Flex System x240 M5 Compute Node (9532)

Tento článek byl přeložen automatem, původní anglickou verzi zobrazíte kliknutím sem.

Příznak

Tyto pokyny jsou připraveny pouze pro systém x240 M5. V UEFI C4E132H Revision 2.50 byla přidána podpora pro vzdálenou fyzickou přítomnost.

Chcete-li povolit "Secure Boot" na serveru, není nutné fyzicky otevírat systém nebo měnit žádná interní nastavení DIP přepínačů. Nastavení UEFI poskytuje možnost vzdáleného potvrzení fyzické přítomnosti. Uživatelé mohou také ručně nastavit přepínač DIP 6 bit 2 na hardwarové potvrzení fyzické přítomnosti, ale z bezpečnostních důvodů se nedoporučuje ponechat fyzickou přítomnost aktivovanou po zavedení systému do operačního systému.

Krok 1:
Spusťte server na obrazovce UEFI Setup. Přejděte do nastavení systému --> Zabezpečení --> Konfigurace zásad fyzické přítomnosti.

Ve výchozím režimu by uživatelé měli očekávat, že budou zásady fyzické přítomnosti povoleny a budou zašedlé. Uživatelé uvidí stav fyzické přítomnosti = De-assetted.
Poznámka: Pokud je z jakéhokoli důvodu zakázána zásada fyzické přítomnosti, bude karta „přepnout potvrzení vzdálené fyzické přítomnosti“ zašedlá. Chcete-li pokračovat v zásadě, musíte ji nejprve povolit. To bude vyžadovat nastavení fyzické přítomnosti hardwaru pomocí přepínače DIP 6 bit 2 a restartování do nastavení. Poté budete moci povolit zásady fyzické přítomnosti.
Tato funkce poskytuje správcům přidanou bezpečnostní funkci deaktivace zásad fyzické přítomnosti, aby se zabránilo vzdálenému potvrzení fyzické přítomnosti. Z bezpečnostních důvodů by po nastavení zásady na zakázáno měla být fyzická přítomnost hardwaru odstraněna vypnutím přepínače DIP 6 bit 2.

Krok 2:
Přejděte dolů na "přepnout Remote Physical Presence Assert" a vyberte jej a stiskněte klávesu Enter.
Uživatelé uvidí, že „fyzický stav přítomnosti“ se změní na potvrzený. Potvrzení a zrušení nevyžaduje restart, aby se projevil.

Krok 3:
Nyní stiskněte klávesu 'Esc' zpět o jednu úroveň a přejděte na: Zabezpečení > karta Konfigurace zabezpečeného spouštění.

Možná budete muset stisknout stav Obnovit fyzickou přítomnost, aby se zobrazila aktuální hodnota fyzické přítomnosti.

Nyní nastavte zabezpečení Konfigurace spouštění --> Zabezpečené spouštění je --> změňte hodnotu z Disabled na Enabled.

Uživatelům se zobrazí vyskakovací výzva „Opravdu chcete povolit zabezpečené spouštění? Chcete pokračovat? A/N << zadejte Y.

Krok 4:
Nyní se vraťte na kartu Konfigurace zásad fyzické přítomnosti a znovu vyberte --> „přepnout potvrzení vzdálené fyzické přítomnosti“, aby se zrušil stav fyzické přítomnosti.

Krok 5:
Stisknutím klávesy „Esc“ přejděte na nejvyšší úroveň nastavení UEFI, poté uložte nastavení a restartujte počítač.

Stejné kroky lze také použít k zakázání zabezpečeného spouštění.

Dotčené konfigurace

Systém může být kterýkoli z následujících serverů Lenovo :

  • Lenovo Flex System x240 M5 Compute Node, typ 9532, jakýkoli model

Tento tip není specifický pro software.

Tento tip není konkrétní varianta.

Systém má výše popsaný příznak.

Řešení

Nelze použít.

Další informace

Zabezpečené spouštění má zajistit, aby byl veškerý spouštěný kód důvěryhodný a podepsaný. Ve výchozím režimu bude firmware Lenovo podpisem ověřovat vše načtené v režimu UEFI.

Když je funkce Secure Boot aktivována, kontroluje každou část softwaru, včetně ovladačů UEFI (Option ROM) a operačního systému, s databázemi známých dobrých signatur. Pokud je každý software platný, firmware spustí software a operační systém. Funkce Secure Boot tak zabrání spuštění jakékoli karty adaptéru, u které se zjistí, že obsahuje ROM, která neodpovídá očekávanému podpisu.

Zabezpečené spouštění je podporováno pouze v režimu spouštění UEFI, nikoli v režimu staršího spouštění.

Výrobci OEM poskytují své ovladače Lenovo , které jsou poté zahrnuty do firmwaru UEFI. To zahrnuje databázi podpisů (db), databázi zrušených podpisů (dbx) a databázi klíčů pro zápis klíčů (KEK). Tyto databáze jsou v době výroby uloženy na flash disku.

Databáze podpisů a databáze odvolaných podpisů uvádí podepisující nebo obrazové hash aplikací UEFI, zavaděče operačního systému (jako je Microsoft Operating System Loader nebo Boot Manager) a ovladače UEFI, které lze načíst na server, a odvolané obrazy pro položky, které již nejsou důvěryhodné a nelze je načíst.

Databáze klíčů pro zápis klíčů je samostatná databáze podpisových klíčů, kterou lze použít k aktualizaci databáze podpisů a databáze zrušených podpisů. Microsoft vyžaduje, aby byl do databáze KEK zahrnut specifický klíč, aby mohl v budoucnu do databáze podpisů přidávat nové operační systémy nebo přidávat známé špatné obrázky do databáze odvolaných podpisů. Po přidání těchto databází a po konečném ověření a testování firmwaru Lenovo zablokuje úpravy firmwaru, s výjimkou aktualizací, které jsou podepsány správným klíčem, nebo aktualizací fyzicky přítomným uživatelem, který používá nabídky firmwaru, a poté vygeneruje PK . PK lze použít k podepisování aktualizací KEK nebo k vypnutí zabezpečeného spouštění.

Obecně existuje pořadí priority (nejvýznamnější až nejméně významné) PK, KEK, db, dbx. to je:

- Chcete-li aktualizovat KEK, musíte mít podpis se správným PK.

- Chcete-li aktualizovat db nebo dbx, musíte mít podpis se správným PK nebo KEK.

- K povolení Secure Boot je vyžadován PK.

Popis kláves je důležitý pro pochopení režimů, které podporujeme. Secure Boot má dva (2) režimy: Standardní a Vlastní.

Standardní režim umožňuje uživateli využívat certifikáty podepsané společností Microsoft. Tyto certifikáty umožňují UEFI ověřit, zda jsou všechny volitelné paměti ROM a OS podepsané a platné. Zahrnují certifikáty Windows i certifikáty třetích stran pro Linux. V zásadě umožňujeme použití těchto výchozích hodnot v certifikátech zabezpečeného spouštění v našem standardním režimu. To zahrnuje jeden PK, více KEK, db a dbx.

Vlastní režim umožňuje uživateli nainstalovat vlastní sadu klíčů. Specifikace pro stav Secure Boot umožňují spuštění ve vlastním režimu bez PK. To umožňuje OS zaregistrovat nový PK, který by pak byl použit k ověření jeho vlastních KEK, db a dbx.

Výchozí v režimu zabezpečeného spouštění je Standardní režim a výchozí zabezpečené spouštění je Zakázáno.

Fyzická přítomnost:
Fyzická přítomnost je forma oprávnění k provádění určitých funkcí TPM. Toto oprávnění obvykle pochází od provozovatele platformy. U zařízení TPM 1.2 jsou funkcemi vyžadujícími fyzickou přítomnost funkce, které provádějí operace zřizování a opětovného zřizování, jako je povolení vlastnictví a vymazání vlastnictví, když aktuální hodnota oprávnění vlastníka není známa. U zařízení TPM 2.0 je fyzická přítomnost spojena s operacemi, které vyžadují autorizaci platformy, ale jsou iniciovány operačním systémem. Obvykle může být oprávnění platformy uděleno pouze firmwarem, nikoli OS. Existují dva způsoby, jak poskytnout autorizaci fyzické přítomnosti: příkazová metoda a hardwarová metoda. Tyto dvě metody jsou definovány pro zařízení TPM 1.2 v hlavní specifikaci TPM 1.2 a pro zařízení TPM 2.0 ve specifikaci profilu PC Client Platform TPM.

Hardwarová metoda k potvrzení fyzické přítomnosti:
Příkladem implementace hardwarové metody je DIP přepínač na systémové desce, který je připojen ke kolíku na TPM. Nastavení přepínače způsobí, že kolík změní polaritu a způsobí, že TPM nastaví svůj vnitřní příznak fyzické přítomnosti. Pomocí této hardwarové metody lze příkazy vyžadující indikaci fyzické přítomnosti provádět kdykoli (v prostředí před OS nebo z prostředí OS), pokud je nastaven přepínač a pro TPM 2.0 je k dispozici autorizace platformy. To představuje bezpečnostní problém, pokud je přepínač ponechán v požadované poloze.

Příkazová metoda k potvrzení fyzické přítomnosti:
Poskytnutí tlačítka nebo přepínače na vnější stranu platformy není v některých případech možné kvůli ceně, tvaru, použití nebo dostupnosti. Z tohoto důvodu je definována druhá metoda prosazování fyzické přítomnosti nazývaná příkazová metoda. Pro příkazovou metodu firmware představuje uživatelské rozhraní (UI), které vysvětluje požadovanou operaci. Fyzicky přítomný uživatel potvrdí nebo odmítne operaci stisknutím klávesy na klávesnici. Příkazová metoda pak autorizuje odeslání příkazu TPM do TPM. Žádná další kontrola fyzické přítomnosti se v TPM neprovádí. TPM provede operaci TPM, pokud ji uživatel potvrdil prostřednictvím uživatelského rozhraní. Jednou z vlastností požadovaných pro indikaci fyzické přítomnosti je, že ji musí provádět operátor platformy, typicky uživatel, když je fyzicky přítomen na platformě. To vyžaduje, aby byla metoda příkazu omezena tak, aby byla dostupná pouze v době, kdy stav platformy může poskytnout toto ujištění. Tento stav obvykle existuje během spouštění do nastavení UEFI před dostupností síťového zásobníku a vystavením potenciálnímu nedůvěryhodnému softwaru.

Přezdívka (ID):99908
ID dokumentu:HT507181
Datum původního zveřejnění:09/12/2018
Datum poslední úpravy:09/11/2024
X

Společnost Lenovo používá soubory cookie ke zlepšení vašeho zážitku.

Navštivte naše Nástroj pro souhlas se soubory cookie pro správu vašich preferencí nebo naše Zásady ochrany osobních údajů pro více informací.

Zpět na předchozí stránku
X
lenovo

Informace, které o vás shromažďujeme

Chceme být transparentní, pokud jde o údaje, které my a naši partneři shromažďujeme, a o to, jak je používáme, abyste mohli co nejlépe vykonávat kontrolu nad svými osobními údaji. Další informace naleznete v našich Zásady ochrany osobních údajů.

Náš nástroj pro souhlas se soubory cookie vám nabízí větší viditelnost a kontrolu nad tím, jak jsou vaše preference uloženy na webu. Některé soubory cookie třetích stran však byly dočasně klasifikovány jako nezbytné, což znamená, že některé soubory cookie, které nejsou ve skutečnosti nezbytné pro fungování webu, budou zrušeny. Pracujeme na vyřešení problému, ale stále můžete zablokovat základní soubory cookie prostřednictvím nástrojů prohlížeče.

Informace, které naši partneři shromažďují

Využíváme následující partnery, abychom lépe zlepšili váš celkový zážitek z prohlížení webu. Používají soubory cookie a další mechanismy, aby vás spojili s vašimi sociálními sítěmi a přizpůsobili reklamu tak, aby lépe odpovídala vašim zájmům. Můžete se rozhodnout odhlásit se z tohoto shromažďování informací zrušením zaškrtnutí políček níže.

Kategorie
1 1 povoleno
Essential Požadované

Spoléháme se na soubory cookie, javascript a další webové technologie, které poskytují klíčové – nebo základní – prvky na webu. To může zahrnovat věci, jako jsou vaše jazykové preference nebo serverové soubory cookie, které mají udržovat naše stránky v chodu a provozu. Pokud je zakázáno, bude to mít pravděpodobně vliv na prostředí vašeho webu.

Analytics

Používáme analytiku ke zlepšení našich webových stránek tím, že lépe porozumíme tomu, jak často uživatelé navštěvují web, jaké stránky navštěvují nejvíce a jak dlouho tráví na našich stránkách. Při sledování těchto akcí a chování se budeme spoléhat na soubory cookie a partnery třetích stran. Kliknutím na jedno ze jmen partnerů se dozvíte více.

Prodejci
Jméno Požadované

Internetová stránka:

Jejich vlastními slovy

Jaké údaje tato společnost shromažďuje?

Shromažďované údaje

Anonymní:

Pseudonymní:

PII:

Citlivý:

Sdílení dat

Uchovávání údajů

Použití dat

Uložení dat

Adobe