Sintomo

Queste istruzioni sono preparate solo per il sistema x240 M5. Il supporto per Remote Physical Presence è stato aggiunto in UEFI C4E132H Revision 2.50.

Per abilitare "Secure Boot" su un server, non è necessario aprire fisicamente il sistema o modificare alcuna impostazione interna del DIP switch. La configurazione UEFI fornisce la possibilità di asserire da remoto la presenza fisica. Gli utenti possono anche impostare manualmente il DIP switch 6 bit 2 per asserire la presenza fisica tramite hardware, ma non è consigliabile lasciare la presenza fisica asserita dopo che il sistema ha avviato un sistema operativo per motivi di sicurezza.

Fase 1:
Avviare il server nella schermata UEFI Setup. Andare a impostazioni di sistema --> Sicurezza --> Configurazione politica presenza fisica.

In modalità predefinita, gli utenti dovrebbero aspettarsi di vedere Physical Presence Policy abilitato e disattivato. Gli utenti vedranno Physical Presence State = De-asserted.
Nota: se per qualsiasi motivo la Physical Presence Policy è disabilitata, la scheda "toggle Remote Physical Presence Assert" sarà disattivata. Per procedere con la policy, sarà necessario prima abilitarla. Ciò richiederà l'impostazione della presenza fisica hardware tramite DIP switch 6 bit 2 e il riavvio per la configurazione. Quindi, sarà possibile abilitare la Physical Presence Policy.
Questa funzionalità fornisce agli amministratori una funzionalità di sicurezza aggiuntiva per disabilitare la Physical Presence Policy per impedire l'asserzione remota della presenza fisica. Per motivi di sicurezza, una volta che la policy è impostata su disabilitata, la presenza fisica hardware dovrebbe essere rimossa disattivando il DIP switch 6 bit 2.

Fase 2:
Scorrere verso il basso fino a "Attiva/disattiva asserzione presenza fisica remota", selezionarlo e premere Invio.
Gli utenti vedranno che lo "stato di presenza fisica" cambia in asserito. L'asserzione e la de-asserzione non richiedono un riavvio per avere effetto.

Fase 3:
Ora premi il tasto 'Esc' per tornare indietro di un livello e vai su: Sicurezza > Scheda Configurazione avvio protetto.

Potrebbe essere necessario premere il pulsante Aggiorna stato Presenza fisica per visualizzare il valore corrente della Presenza fisica.

Ora imposta Configurazione di avvio di sicurezza --> Avvio protetto --> cambia da Disabilitato ad Abilitato.

Gli utenti visualizzeranno un messaggio pop-up "Sei sicuro di voler abilitare l'avvio protetto? Vuoi continuare? S/N << inserisci S.

Fase 4:
Ora torna alla scheda Configurazione criterio presenza fisica e seleziona di nuovo --> "Attiva/disattiva asserzione presenza fisica remota" per annullare l'asserzione dello stato di presenza fisica.

Fase 5:
Premere il tasto "Esc" per accedere al livello superiore della configurazione UEFI, quindi salvare le impostazioni e riavviare.

Gli stessi passaggi possono essere utilizzati anche per disattivare l'avvio protetto.

Configurazioni interessate

Il sistema può essere uno dei seguenti server Lenovo :

• Nodo di elaborazione Lenovo Flex System x240 M5, tipo 9532, qualsiasi modello

Questo suggerimento non è specifico per un software.

Questo suggerimento non è specifico per un'opzione.

Il sistema presenta il sintomo descritto sopra.

Soluzione alternativa

Non applicabile.

Informazioni aggiuntive

L'avvio sicuro è pensato per garantire che tutto il codice eseguito sia attendibile e firmato. In modalità predefinita, il firmware Lenovo verificherà la firma di tutto ciò che è caricato in modalità UEFI.

Quando Secure Boot è attivato, controlla ogni pezzo di software, inclusi i driver UEFI (ROM opzionali) e il sistema operativo, rispetto ai database di firme note come valide. Se ogni pezzo di software è valido, il firmware esegue il software e il sistema operativo. La funzione Secure Boot impedirà quindi l'avvio di qualsiasi scheda adattatore che contenga ROM che non corrisponde alla firma prevista.

L'avvio sicuro è supportato solo per la modalità di avvio UEFI e non per la modalità di avvio legacy.

Gli OEM forniscono i loro driver a Lenovo che vengono poi inclusi nel firmware UEFI. Ciò include il database delle firme (db), il database delle firme revocate (dbx) e il database delle chiavi di registrazione (KEK). Questi database vengono archiviati sulla flash al momento della produzione.

Il database delle firme e il database delle firme revocate elencano i firmatari o gli hash delle immagini delle applicazioni UEFI, dei caricatori del sistema operativo (ad esempio Microsoft Operating System Loader o Boot Manager) e dei driver UEFI che possono essere caricati sul server, nonché le immagini revocate per gli elementi che non sono più attendibili e che non possono essere caricati.

Il database Key Enrollment Key è un database separato di chiavi di firma che può essere utilizzato per aggiornare il database delle firme e il database delle firme revocate. Microsoft richiede che una chiave specificata sia inclusa nel database KEK in modo che in futuro Microsoft possa aggiungere nuovi sistemi operativi al database delle firme o aggiungere immagini note non valide al database delle firme revocate. Dopo che questi database sono stati aggiunti e dopo la convalida e il test finali del firmware, Lenovo blocca il firmware dalla modifica, ad eccezione degli aggiornamenti firmati con la chiave corretta o degli aggiornamenti da un utente fisicamente presente che sta utilizzando i menu del firmware, quindi genera una PK. La PK può essere utilizzata per firmare gli aggiornamenti alla KEK o per disattivare Secure Boot.

In generale, c'è un ordine di precedenza (dal più al meno significativo) di PK, KEK, db, dbx. Ovvero:

- Per aggiornare una KEK, è necessario disporre di una firma con la PK corretta.

- Per aggiornare un database o un dbx, è necessario disporre di una firma con il PK o KEK corretto.

- Per abilitare Secure Boot è necessaria una PK.

La descrizione dei tasti è importante per comprendere le modalità che supportiamo. Secure Boot ha due (2) modalità: Standard e Custom.

La modalità standard consente a un utente di sfruttare i certificati firmati da Microsoft. Questi certificati consentono a UEFI di verificare che tutte le ROM opzionali e il sistema operativo siano firmati e validi. Includono sia certificati Windows che di terze parti per Linux. In sostanza, consentiamo che questi valori predefiniti nei certificati di avvio sicuro vengano utilizzati nella nostra modalità standard. Ciò include un PK, più KEK, db e dbx.

La modalità personalizzata consente a un utente di installare il proprio set di chiavi. Le specifiche per lo stato Secure Boot consentono di eseguire un avvio in modalità personalizzata senza una PK. Ciò consente a un sistema operativo di registrare una nuova PK che verrà quindi utilizzata per convalidare la propria KEK, db e dbx.

L'impostazione predefinita in Modalità avvio protetto è Modalità standard, mentre l'avvio protetto predefinito è Disabilitato.

Presenza fisica:
La presenza fisica è una forma di autorizzazione per eseguire determinate funzioni TPM. Questa autorizzazione normalmente proviene dall'operatore della piattaforma. Per i dispositivi TPM 1.2, le funzioni che richiedono la presenza fisica sono quelle che eseguono operazioni di provisioning e re-provisioning come consentire la proprietà e cancellare la proprietà quando il valore di autorizzazione del proprietario corrente è sconosciuto. Per i dispositivi TPM 2.0, la presenza fisica è associata a operazioni che richiedono l'autorizzazione della piattaforma ma sono avviate dal sistema operativo. Solitamente, l'autorizzazione della piattaforma può essere fornita solo dal firmware, non dal sistema operativo. Esistono due metodi per fornire l'autorizzazione alla presenza fisica: il metodo di comando e il metodo hardware. Questi due metodi sono definiti per i dispositivi TPM 1.2 nella specifica principale TPM 1.2 e per i dispositivi TPM 2.0 nella specifica del profilo TPM della piattaforma client PC.

Metodo hardware per affermare la presenza fisica:
Un esempio di implementazione del metodo hardware è un DIP switch sulla scheda di sistema che è cablato a un pin sul TPM. L'impostazione dello switch fa sì che il pin cambi la polarità e fa sì che il TPM imposti il suo flag di presenza fisica interna. Utilizzando questo metodo hardware, i comandi che richiedono l'indicazione della presenza fisica potrebbero essere eseguiti in qualsiasi momento (nell'ambiente pre-OS o dall'ambiente OS) finché lo switch è impostato e, per TPM 2.0, è disponibile l'autorizzazione della piattaforma. Ciò presenta un problema di sicurezza se lo switch viene lasciato nella posizione asserita.

Metodo di comando per affermare la presenza fisica:
Fornire un pulsante o un interruttore all'esterno della piattaforma non è fattibile in alcuni casi a causa di costi, fattore di forma, utilizzo o accessibilità. Per questo motivo, è definito un secondo metodo di asserzione della presenza fisica chiamato metodo di comando. Per il metodo di comando, il firmware presenta un'interfaccia utente (UI) per spiegare l'operazione richiesta. Un utente fisicamente presente conferma o rifiuta l'operazione premendo un tasto sulla tastiera. Il metodo di comando autorizza quindi l'invio del comando TPM al TPM. Non viene eseguito alcun ulteriore controllo della presenza fisica nel TPM. Il TPM esegue l'operazione TPM se l'utente l'ha confermata tramite l'UI. Una delle proprietà richieste per l'indicazione della presenza fisica è che deve essere eseguita dall'operatore della piattaforma, in genere l'utente, quando è fisicamente presente sulla piattaforma. Ciò richiede che il metodo di comando sia limitato a essere disponibile solo mentre lo stato della piattaforma può fornire questa garanzia. Questo stato di solito esiste durante l'avvio della configurazione UEFI prima della disponibilità di uno stack di rete e dell'esposizione a software potenzialmente non attendibile.