Tünet

Ezek az utasítások csak az x240 M5 rendszerhez készültek. A távoli fizikai jelenlét támogatása hozzáadásra került az UEFI C4E132H 2.50-es verziójában.

A "Secure Boot" engedélyezéséhez a szerveren nem szükséges fizikailag megnyitni a rendszert vagy módosítani a belső DIP-kapcsoló beállításait. Az UEFI beállítás lehetővé teszi a fizikai jelenlét távoli érvényesítését. A felhasználók manuálisan is beállíthatják a DIP 6. bit 2-es kapcsolóját a hardveres fizikai jelenlét érvényesítésére, de biztonsági okokból nem ajánlott a fizikai jelenlét érvényesítve hagyni, miután a rendszer elindult egy operációs rendszerbe.

1. lépés:
Indítsa el a szervert az UEFI Setup képernyőn. Böngésszen a rendszerbeállítások --> Biztonság --> Fizikai jelenlét házirend konfigurálása menüponthoz.

Alapértelmezett módban a felhasználók várhatóan engedélyezve és szürkén jelennek meg a Fizikai jelenlét házirendje. A felhasználók a Fizikai jelenlét állapota = Nem érvényesített.
Megjegyzés: Ha a Fizikai jelenlét házirendje bármilyen okból le van tiltva, akkor a „Távoli fizikai jelenlét igazolása” fül szürkén jelenik meg. A házirend folytatásához először engedélyezni kell azt. Ehhez be kell állítani a hardver fizikai jelenlétét a 6. bit 2-es DIP kapcsolóval, és újra kell indítani a beállítást. Ezután engedélyezheti a fizikai jelenléti szabályzatot.
Ez a szolgáltatás a rendszergazdák számára további biztonsági funkciót biztosít a fizikai jelenlét házirendjének letiltásához a fizikai jelenlét távoli érvényesítésének megakadályozása érdekében. Biztonsági okokból, ha a házirend letiltásra van állítva, a hardver fizikai jelenlétét el kell távolítani a 6. bit 2 DIP kapcsoló kikapcsolásával.

2. lépés:
Görgessen le a „Távoli fizikai jelenlét igazolása” lehetőséghez, válassza ki, és nyomja meg az Enter billentyűt.
A felhasználók látni fogják, hogy a „fizikai jelenléti állapot” érvényesítettre változik. Az érvényesítéshez és az érvényesítés visszavonásához nem szükséges újraindítás.

3. lépés:
Most nyomja meg az „Esc” billentyűt egy szinttel feljebb, és lépjen a Biztonság > Biztonságos rendszerindítási konfiguráció lapra.

Lehet, hogy meg kell nyomnia a Fizikai jelenlét állapotának frissítése gombot a Fizikai jelenlét aktuális értékének megjelenítéséhez.

Most állítsa be a biztonsági rendszerindítási konfigurációt --> Biztonságos rendszerindítás --> váltson Disabled értékről Enabled értékre.

A felhasználók egy felugró ablakot fognak látni: "Biztosan engedélyezi a biztonságos rendszerindítást? Folytatja? I/N << írja be az Y-t.

4. lépés:
Most térjen vissza a Physical Presence Policy Configuration fülre, és válassza ki ismét a --> "Toggle Remote Physical Presence Assert" (Távoli fizikai jelenlét állítása) lehetőséget a fizikai jelenléti állapot visszavonásához.

5. lépés:
Nyomja meg az „Esc” billentyűt az UEFI Setup legfelső szintjéhez, majd mentse a beállításokat, és indítsa újra.

Ugyanezek a lépések a biztonságos rendszerindítás letiltására is használhatók.

Érintett konfigurációk

A rendszer a következő Lenovo szerverek bármelyike lehet:

• Lenovo Flex System x240 M5 Compute Node, 9532 típusú, bármilyen modell

Ez a tipp nem szoftverspecifikus.

Ez a tipp nem opcióspecifikus.

A rendszernek a fent leírt tünete van.

Megoldás

Nem alkalmazható.

További információk

A biztonságos rendszerindítás célja annak biztosítása, hogy minden végrehajtott kód megbízható és aláírt legyen. Alapértelmezett módban Lenovo firmware aláírással ellenőrzi az UEFI módban betöltött mindent.

Amikor a Secure Boot aktiválva van, minden szoftvert, beleértve az UEFI-illesztőprogramokat (Option ROM-ok) és az operációs rendszert is, ellenőrzi az ismerten jó aláírásokat tartalmazó adatbázisokkal. Ha minden szoftverrész érvényes, a firmware futtatja a szoftvert és az operációs rendszert. A Secure Boot funkció így megakadályozza, hogy minden olyan adapterkártya elinduljon, amelyről kiderül, hogy olyan ROM-ot tartalmaz, amely nem egyezik a várt aláírással.

A biztonságos rendszerindítás csak az UEFI rendszerindítási módban támogatott, a régi rendszerindítási mód nem.

Az OEM-ek az illesztőprogramjaikat biztosítják Lenovo , amelyeket aztán az UEFI firmware tartalmazza. Ez magában foglalja az aláírási adatbázist (db), a visszavont aláírások adatbázisát (dbx) és a Key Enrollment Key adatbázist (KEK). Ezeket az adatbázisokat a gyártás idején a flash-en tárolják.

Az aláírás-adatbázis és a visszavont aláírások adatbázisa felsorolja az UEFI-alkalmazások, az operációs rendszer-betöltők (például a Microsoft Operating System Loader vagy a Boot Manager) és az UEFI-illesztőprogramok aláíróit vagy képkivonatait, amelyek betölthetők a kiszolgálóra, valamint a olyan elemek, amelyek már nem megbízhatóak, és esetleg nem tölthetők be.

A Kulcsbejegyzési kulcs adatbázis az aláíró kulcsok különálló adatbázisa, amely az aláírási adatbázis és a visszavont aláírások adatbázisának frissítésére használható. A Microsoft megköveteli, hogy egy megadott kulcs szerepeljen a KEK adatbázisban, hogy a jövőben a Microsoft új operációs rendszereket tudjon hozzáadni az aláírás-adatbázishoz, vagy ismert hibás képeket adhasson hozzá a visszavont aláírások adatbázisához. Ezen adatbázisok hozzáadása, valamint a firmware végleges ellenőrzése és tesztelése után Lenovo zárolja a firmware-t a szerkesztés alól, kivéve a megfelelő kulccsal aláírt frissítéseket vagy a firmware-menüket használó, fizikailag jelenlévő felhasználó frissítéseit, majd létrehoz egy PK-t. . A PK használható a KEK frissítéseinek aláírására vagy a biztonságos rendszerindítás kikapcsolására.

Általánosságban elmondható, hogy a PK, KEK, db, dbx elsőbbségi sorrendje van (legnagyobbtól a legkevésbé jelentősig). Azaz:

- A KEK frissítéséhez rendelkeznie kell egy aláírással a megfelelő PK-val.

- Egy db vagy dbx frissítéséhez rendelkeznie kell egy aláírással a megfelelő PK-val vagy KEK-el.

- A biztonságos rendszerindítás engedélyezéséhez PK szükséges.

A kulcsok leírása fontos az általunk támogatott módok megértéséhez. A Secure Boot két (2) móddal rendelkezik: Standard és Custom.

A Standard mód lehetővé teszi a felhasználó számára, hogy kihasználja a Microsoft által aláírt tanúsítványok előnyeit. Ezek a tanúsítványok lehetővé teszik az UEFI számára, hogy ellenőrizze az összes opciós ROM és operációs rendszer aláírását és érvényességét. Tartalmazzák mind Windows , mind a harmadik féltől származó Linux-tanúsítványokat. Lényegében engedélyezzük, hogy a biztonságos rendszerindítási tanúsítványokban ezeket az alapértelmezett értékeket szabványos módunkban használjuk. Ez magában foglalja az egy PK-t, a többszörös KEK-et, a db-ot és a dbx-et.

Az Egyéni mód lehetővé teszi a felhasználó számára, hogy telepítse saját kulcskészletét. A Secure Boot állapot specifikációi lehetővé teszik a rendszerindítást egyéni módban PK nélkül. Ez lehetővé teszi az operációs rendszer számára, hogy új PK-t regisztráljon, amelyet azután a saját KEK, db és dbx érvényesítésére használna.

A Biztonságos rendszerindítási mód alapértelmezett beállítása Normál mód, a Biztonságos rendszerindítás alapértelmezett beállítása Letiltva.

Fizikai jelenlét:
A fizikai jelenlét bizonyos TPM-funkciók végrehajtására vonatkozó felhatalmazás egy formája. Ez az engedély általában a platform üzemeltetőjétől származik. A TPM 1.2-es eszközök esetében a fizikai jelenlétet igénylő funkciók azok, amelyek kiépítési és újrakiépítési műveleteket hajtanak végre, mint például a tulajdonjog engedélyezése és a tulajdonjog törlése, ha az aktuális tulajdonosi jogosultság értéke ismeretlen. A TPM 2.0-s eszközök esetében a fizikai jelenlét olyan műveletekhez van társítva, amelyek platformengedélyt igényelnek, de amelyeket az operációs rendszer kezdeményez. Általában a platformengedélyezést csak firmware adhatja meg, az operációs rendszer nem. A fizikai jelenlét engedélyezésének két módja van: a parancsmódszer és a hardveres módszer. Ez a két módszer a TPM 1.2 eszközökhöz a TPM 1.2 Main Specification, a TPM 2.0 eszközökhöz pedig a PC Client Platform TPM Profile Specifikációjában van meghatározva.

Hardveres módszer a fizikai jelenlét érvényesítésére:
A hardveres módszer megvalósításának példája az alaplapon található DIP-kapcsoló, amely a TPM érintkezőjéhez van kötve. A kapcsoló beállítása megváltoztatja a tű polaritását, és a TPM beállítja a belső fizikai jelenlét jelzőjét. Ezzel a hardveres módszerrel a fizikai jelenlét jelzését igénylő parancsok bármikor végrehajthatók (az operációs rendszer előtti környezetben vagy az operációs rendszer környezetéből), amíg a kapcsoló be van állítva, és a TPM 2.0 esetén elérhető a platform engedélyezése. Ez biztonsági aggályt jelent, ha a kapcsolót az érvényesített helyzetben hagyják.

Parancsmódszer a fizikai jelenlét érvényesítésére:
Egyes esetekben a költség, a forma, a használat vagy a hozzáférhetőség miatt nem lehetséges egy gomb vagy kapcsoló elhelyezése a platformon. Emiatt a fizikai jelenlét érvényesítésének egy második módszere, az úgynevezett parancsmód van meghatározva. A parancsmódszer esetében a firmware felhasználói felületet (UI) jelenít meg, amely elmagyarázza a kért műveletet. A fizikailag jelenlévő felhasználó megerősíti vagy elutasítja a műveletet a billentyűzet egy gombjának megnyomásával. A parancsmetódus ezután engedélyezi a TPM parancs elküldését a TPM-nek. A fizikai jelenlét további ellenőrzése nem történik a TPM-ben. A TPM akkor hajtja végre a TPM műveletet, ha a felhasználó megerősítette azt a felhasználói felületen keresztül. A fizikai jelenlét jelzésének egyik megkövetelt tulajdonsága, hogy azt a platform üzemeltetőjének, jellemzően a felhasználónak kell megtennie, amikor fizikailag jelen van a platformon. Ez megköveteli, hogy a parancsmódszer csak addig legyen elérhető, amíg a platform állapota biztosítja ezt a biztosítékot. Ez az állapot általában az UEFI rendszerbe történő indításkor áll fenn, mielőtt a hálózati verem elérhetővé válik, és a potenciálisan nem megbízható szoftvereknek ki van téve.