Симптом

Эти инструкции подготовлены только для системы x240 M5. Поддержка Remote Physical Presence была добавлена в UEFI C4E132H Revision 2.50.

Чтобы включить «Secure Boot» на сервере, не обязательно физически открывать систему или изменять какие-либо внутренние настройки DIP-переключателей. Настройка UEFI обеспечивает возможность удаленного подтверждения физического присутствия. Пользователи также могут вручную установить DIP-переключатель 6 бит 2 для аппаратного подтверждения физического присутствия, но не рекомендуется оставлять физическое присутствие подтвержденным после загрузки ОС в целях безопасности.

Шаг 1:
Загрузите сервер на экран настройки UEFI. Перейдите в системные настройки --> Безопасность --> Конфигурация политики физического присутствия.

В режиме по умолчанию пользователи должны ожидать, что Physical Presence Policy будет включена и неактивна. Пользователи будут видеть Physical Presence State = De-asserted.
Примечание: Если по какой-либо причине политика физического присутствия отключена, то вкладка «переключить подтверждение удаленного физического присутствия» будет неактивна. Чтобы продолжить политику, ее сначала нужно включить. Для этого потребуется настроить физическое присутствие оборудования с помощью DIP-переключателя 6 бит 2 и перезагрузиться для настройки. Затем вы сможете включить политику физического присутствия.
Эта функция предоставляет администраторам дополнительную функцию безопасности отключения политики физического присутствия для предотвращения удаленного подтверждения физического присутствия. По соображениям безопасности, как только политика отключена, физическое присутствие оборудования должно быть удалено путем выключения DIP-переключателя 6 бит 2.

Шаг 2:
Прокрутите страницу вниз до пункта «включить функцию подтверждения удаленного физического присутствия», выберите его и нажмите клавишу Enter.
Пользователи увидят, что "состояние физического присутствия" изменится на подтвержденное. Подтверждение и отмена подтверждения не требуют перезагрузки для вступления в силу.

Шаг 3:
Теперь нажмите клавишу «Esc», чтобы вернуться на один уровень вверх и перейти в раздел: Безопасность > Вкладка «Конфигурация безопасной загрузки».

Возможно, вам придется нажать кнопку «Обновить состояние физического присутствия», чтобы отобразить текущее значение физического присутствия.

Теперь установите безопасную конфигурацию загрузки --> Безопасная загрузка --> измените значение с Отключено на Включено.

Пользователи увидят всплывающее сообщение с запросом «Вы уверены, что хотите включить безопасную загрузку? Хотите продолжить? Y/N << введите Y.

Шаг 4:
Теперь вернитесь на вкладку «Конфигурация политики физического присутствия» и снова выберите -> «Переключить удаленное подтверждение физического присутствия», чтобы отменить подтверждение состояния физического присутствия.

Шаг 5:
Нажмите клавишу «Esc», чтобы перейти на верхний уровень настройки UEFI, затем сохраните настройки и перезагрузите компьютер.

Те же действия можно использовать для отключения безопасной загрузки.

Затронутые конфигурации

Системой может быть любой из следующих серверов Lenovo :

• Вычислительный узел Lenovo Flex System x240 M5, тип 9532, любая модель

Этот совет не относится к какому-либо конкретному программному обеспечению.

Этот совет не относится к какому-либо конкретному варианту.

Система имеет симптом, описанный выше.

Обходной путь

Непригодный.

Дополнительная информация

Безопасная загрузка предназначена для обеспечения того, чтобы весь исполняемый код был доверенным и подписанным. В режиме по умолчанию прошивка Lenovo будет проверять подпись всего, что загружается в режиме UEFI.

При активации Secure Boot он проверяет каждую часть программного обеспечения, включая драйверы UEFI (опциональные ПЗУ) и операционную систему, по базам данных известных подписей. Если каждая часть программного обеспечения действительна, прошивка запускает программное обеспечение и операционную систему. Таким образом, функция Secure Boot предотвратит загрузку любой карты адаптера, которая содержит ПЗУ, не соответствующее ожидаемой подписи.

Безопасная загрузка поддерживается только для режима загрузки UEFI, но не для устаревшего режима загрузки.

OEM-производители предоставляют свои драйверы Lenovo , которые затем включаются в прошивку UEFI. Сюда входит база данных подписей (db), база данных отозванных подписей (dbx) и база данных ключей регистрации ключей (KEK). Эти базы данных хранятся во флэш-памяти во время производства.

База данных подписей и база данных отозванных подписей содержат список подписчиков или хэшей образов приложений UEFI, загрузчиков операционных систем (таких как загрузчик операционной системы Microsoft или диспетчер загрузки) и драйверов UEFI, которые могут быть загружены на сервер, а также отозванные образы для элементов, которые больше не являются доверенными и не могут быть загружены.

База данных ключей регистрации ключей — это отдельная база данных ключей подписи, которая может использоваться для обновления базы данных подписей и базы данных отозванных подписей. Microsoft требует, чтобы указанный ключ был включен в базу данных KEK, чтобы в будущем Microsoft могла добавлять новые операционные системы в базу данных подписей или добавлять известные плохие образы в базу данных отозванных подписей. После добавления этих баз данных и после окончательной проверки и тестирования прошивки Lenovo блокирует прошивку от редактирования, за исключением обновлений, подписанных правильным ключом, или обновлений физически присутствующим пользователем, который использует меню прошивки, а затем генерирует PK. PK можно использовать для подписи обновлений KEK или для отключения безопасной загрузки.

В общем, существует порядок приоритета (от большего к меньшему) PK, KEK, db, dbx. То есть:

- Для обновления KEK вам необходимо иметь подпись с правильным PK.

- Для обновления базы данных или базы данных DBX вам понадобится подпись с правильным PK или KEK.

- Для включения безопасной загрузки требуется PK.

Описание ключей важно для понимания поддерживаемых нами режимов. Secure Boot имеет два (2) режима: Standard и Custom.

Стандартный режим позволяет пользователю использовать сертификаты, подписанные Microsoft. Эти сертификаты позволяют UEFI проверять, что все дополнительные ПЗУ и ОС подписаны и действительны. Они включают как сертификаты Windows , так и сторонние сертификаты для Linux. По сути, мы разрешаем использовать эти значения по умолчанию в сертификатах безопасной загрузки в нашем стандартном режиме. Это включает один PK, несколько KEK, db и dbx.

Пользовательский режим позволяет пользователю устанавливать собственный набор ключей. Спецификации для состояния Secure Boot позволяют загрузку в пользовательском режиме без PK. Это позволяет ОС регистрировать новый PK, который затем будет использоваться для проверки ее собственных KEK, db и dbx.

По умолчанию в режиме безопасной загрузки используется стандартный режим, а безопасная загрузка по умолчанию отключена.

Физическое присутствие:
Физическое присутствие — это форма авторизации для выполнения определенных функций TPM. Эта авторизация обычно исходит от оператора платформы. Для устройств TPM 1.2 функции, требующие физического присутствия, — это те, которые выполняют операции подготовки и повторной подготовки, такие как разрешение владения и отмена владения, когда текущее значение авторизации владельца неизвестно. Для устройств TPM 2.0 физическое присутствие связано с операциями, которые требуют авторизации платформы, но инициируются ОС. Обычно авторизация платформы может быть предоставлена только встроенным ПО, а не ОС. Существует два метода предоставления авторизации физического присутствия: командный метод и аппаратный метод. Эти два метода определены для устройств TPM 1.2 в основной спецификации TPM 1.2 и для устройств TPM 2.0 в спецификации профиля TPM клиентской платформы ПК.

Аппаратный метод подтверждения физического присутствия:
Примером реализации аппаратного метода является DIP-переключатель на системной плате, который подключен к штырьку на TPM. Установка переключателя приводит к изменению полярности штыря и заставляет TPM установить свой внутренний флаг физического присутствия. Используя этот аппаратный метод, команды, требующие указания физического присутствия, могут быть выполнены в любое время (в среде до ОС или из среды ОС), пока переключатель установлен, а для TPM 2.0 доступна авторизация платформы. Это представляет проблему безопасности, если переключатель остается в заявленном положении.

Метод команды для подтверждения физического присутствия:
Предоставление кнопки или переключателя за пределами платформы в некоторых случаях невозможно из-за стоимости, форм-фактора, использования или доступности. По этой причине определен второй метод подтверждения физического присутствия, называемый методом команд. Для метода команд прошивка представляет пользовательский интерфейс (UI) для объяснения запрошенной операции. Физически присутствующий пользователь подтверждает или отклоняет операцию, нажимая клавишу на клавиатуре. Затем метод команд разрешает отправку команды TPM в TPM. В TPM не выполняется дополнительная проверка физического присутствия. TPM выполняет операцию TPM, если пользователь подтвердил ее через UI. Одним из свойств, требуемых для указания физического присутствия, является то, что она должна быть выполнена оператором платформы, как правило, пользователем, когда он физически присутствует на платформе. Это требует, чтобы метод команд был ограничен, чтобы быть доступным только в то время, когда состояние платформы может обеспечить эту гарантию. Это состояние обычно существует во время загрузки в настройку UEFI до доступности сетевого стека и воздействия потенциально ненадежного программного обеспечения.