Support
SymptômeSolution de contournementInformations Complémentaires

Comment activer l'option de démarrage sécurisé dans la configuration UEFI - Lenovo Flex System x240 M5 Compute Node (9532)

Comment activer l'option de démarrage sécurisé dans la configuration UEFI - Lenovo Flex System x240 M5 Compute Node (9532)

Comment activer l'option de démarrage sécurisé dans la configuration UEFI - Lenovo Flex System x240 M5 Compute Node (9532)

Cet article a été traduit automatiquement, veuillez cliquer ici pour afficher la version originale rédigée en anglais.

Symptôme

Ces instructions sont préparées pour le système x240 M5 uniquement. La prise en charge de la présence physique à distance a été ajoutée dans UEFI C4E132H révision 2.50.

Pour activer le « démarrage sécurisé » sur un serveur, il n'est pas nécessaire d'ouvrir physiquement le système ou de modifier les paramètres des commutateurs DIP internes. La configuration UEFI offre la possibilité d'affirmer à distance la présence physique. Les utilisateurs peuvent également régler manuellement le commutateur DIP 6 bits 2 pour affirmer la présence physique au niveau matériel, mais il n'est pas recommandé de laisser la présence physique affirmée après le démarrage du système dans un système d'exploitation pour des raisons de sécurité.

Étape 1 :
Démarrez le serveur dans l'écran de configuration UEFI. Accédez aux paramètres système --> Sécurité --> Configuration de la stratégie de présence physique.

En mode par défaut, les utilisateurs doivent s'attendre à voir la stratégie de présence physique activée et grisée. Les utilisateurs verront l'état de présence physique = Désactivé.
Remarque : si, pour une raison quelconque, la stratégie de présence physique est désactivée, l'onglet « Activer/désactiver la présence physique à distance » sera grisé. Pour appliquer la stratégie, elle devra d'abord être activée. Cela nécessitera de définir la présence physique matérielle à l'aide du commutateur DIP 6 bits 2 et de redémarrer pour effectuer la configuration. Vous pourrez ensuite activer la stratégie de présence physique.
Cette fonctionnalité offre aux administrateurs une fonction de sécurité supplémentaire permettant de désactiver la stratégie de présence physique pour empêcher l'affirmation à distance de la présence physique. Pour des raisons de sécurité, une fois la stratégie désactivée, la présence physique matérielle doit être supprimée en désactivant le commutateur DIP 6 bits 2.

Étape 2 :
Faites défiler vers le bas jusqu'à « Activer l'affirmation de présence physique à distance », sélectionnez-la et appuyez sur la touche Entrée.
Les utilisateurs verront que l'« état de présence physique » passe à « asserté ». L'assertion et l'invalidation ne nécessitent pas de redémarrage pour prendre effet.

Étape 3 :
Appuyez maintenant sur la touche « Esc » pour revenir au niveau supérieur et accédez à : Sécurité > Onglet Configuration du démarrage sécurisé.

Vous devrez peut-être appuyer sur l’état Actualiser la présence physique pour afficher la valeur actuelle de la présence physique.

Définissez maintenant la configuration de démarrage de sécurité --> Le démarrage sécurisé est --> passez de Désactivé à Activé.

Les utilisateurs verront une invite contextuelle « Êtes-vous sûr de vouloir activer le démarrage sécurisé ? Voulez-vous continuer ? O/N << entrez O.

Étape 4 :
Revenez maintenant à l’onglet Configuration de la politique de présence physique et sélectionnez à nouveau --> « Activer l’affirmation de présence physique à distance » afin de désactiver l’état de présence physique.

Étape 5 :
Appuyez sur la touche « Esc » pour accéder au niveau supérieur de la configuration UEFI, puis enregistrez les paramètres et redémarrez.

Les mêmes étapes peuvent également être utilisées pour désactiver le démarrage sécurisé.

Configurations affectées

Le système peut être l’un des serveurs Lenovo suivants :

  • Nœud de calcul Lenovo Flex System x240 M5, type 9532, tous modèles

Cette astuce n'est pas spécifique au logiciel.

Cette astuce n’est pas spécifique à une option.

Le système présente le symptôme décrit ci-dessus.

Solution de contournement

Sans objet.

Informations Complémentaires

Le démarrage sécurisé vise à garantir que tout le code exécuté est fiable et signé. En mode par défaut, le micrologiciel Lenovo vérifie la signature de tout ce qui est chargé en mode UEFI.

Lorsque Secure Boot est activé, il vérifie chaque élément du logiciel, y compris les pilotes UEFI (ROM en option) et le système d'exploitation, par rapport aux bases de données de signatures connues comme étant correctes. Si chaque élément du logiciel est valide, le micrologiciel exécute le logiciel et le système d'exploitation. La fonction Secure Boot empêchera ainsi le démarrage de toute carte adaptateur contenant une ROM qui ne correspond pas à la signature attendue.

Le démarrage sécurisé n'est pris en charge que pour le mode de démarrage UEFI et non pour le mode de démarrage hérité.

Les OEM fournissent leurs pilotes à Lenovo , qui sont ensuite inclus dans le micrologiciel UEFI. Cela inclut la base de données des signatures (db), la base de données des signatures révoquées (dbx) et la base de données des clés d'inscription (KEK). Ces bases de données sont stockées sur la mémoire flash au moment de la fabrication.

La base de données des signatures et la base de données des signatures révoquées répertorient les signataires ou les hachages d'image des applications UEFI, des chargeurs de système d'exploitation (tels que le chargeur de système d'exploitation Microsoft ou le gestionnaire de démarrage) et des pilotes UEFI qui peuvent être chargés sur le serveur, ainsi que les images révoquées pour les éléments qui ne sont plus approuvés et ne peuvent pas être chargés.

La base de données de clés d'inscription de clés est une base de données distincte de clés de signature qui peut être utilisée pour mettre à jour la base de données de signatures et la base de données de signatures révoquées. Microsoft exige qu'une clé spécifiée soit incluse dans la base de données KEK afin qu'à l'avenir, Microsoft puisse ajouter de nouveaux systèmes d'exploitation à la base de données de signatures ou ajouter des images connues comme défectueuses à la base de données de signatures révoquées. Une fois ces bases de données ajoutées et après la validation et les tests finaux du micrologiciel, Lenovo verrouille le micrologiciel pour empêcher toute modification, à l'exception des mises à jour signées avec la clé correcte ou des mises à jour effectuées par un utilisateur physiquement présent qui utilise les menus du micrologiciel, puis génère une clé de signature. La clé de signature peut être utilisée pour signer les mises à jour de la clé de signature ou pour désactiver le démarrage sécurisé.

En général, il existe un ordre de priorité (du plus important au moins important) de PK, KEK, db, dbx. C'est à dire :

- Pour mettre à jour un KEK, vous devez avoir une signature avec le bon PK.

- Pour mettre à jour une base de données ou une dbx, vous devez avoir une signature avec le bon PK ou KEK.

- Un PK est requis pour activer le démarrage sécurisé.

La description des touches est importante pour comprendre les modes que nous prenons en charge. Secure Boot propose deux (2) modes : Standard et Personnalisé.

Le mode standard permet à un utilisateur de bénéficier de certificats signés par Microsoft. Ces certificats permettent à l'UEFI de vérifier que toutes les ROM et tous les systèmes d'exploitation en option sont signés et valides. Ils incluent à la fois les certificats Windows et tiers pour Linux. Essentiellement, nous autorisons l'utilisation de ces valeurs par défaut dans les certificats de démarrage sécurisé dans notre mode standard. Cela inclut un PK, plusieurs KEK, db et dbx.

Le mode personnalisé permet à un utilisateur d'installer son propre jeu de clés. Les spécifications de l'état de démarrage sécurisé permettent un démarrage en mode personnalisé sans clé primaire. Cela permet à un système d'exploitation d'inscrire une nouvelle clé primaire qui sera ensuite utilisée pour valider sa propre clé primaire, sa base de données et sa base de données dbx.

La valeur par défaut du mode de démarrage sécurisé est le mode standard et la valeur par défaut du démarrage sécurisé est désactivé.

Présence physique :
La présence physique est une forme d'autorisation permettant d'exécuter certaines fonctions TPM. Cette autorisation provient normalement de l'opérateur de la plateforme. Pour les périphériques TPM 1.2, les fonctions nécessitant une présence physique sont celles qui effectuent des opérations de provisionnement et de réapprovisionnement telles que l'autorisation de propriété et l'effacement de la propriété lorsque la valeur d'autorisation du propriétaire actuel est inconnue. Pour les périphériques TPM 2.0, la présence physique est associée à des opérations qui nécessitent une autorisation de la plateforme mais qui sont initiées par le système d'exploitation. En général, l'autorisation de la plateforme ne peut être accordée que par le micrologiciel, et non par le système d'exploitation. Il existe deux méthodes pour fournir une autorisation de présence physique : la méthode de commande et la méthode matérielle. Ces deux méthodes sont définies pour les périphériques TPM 1.2 dans la spécification principale TPM 1.2 et pour les périphériques TPM 2.0 dans la spécification du profil TPM de la plateforme client PC.

Méthode matérielle pour affirmer la présence physique :
Un exemple d'implémentation de la méthode matérielle est un commutateur DIP sur la carte système qui est câblé à une broche du TPM. Le réglage du commutateur entraîne le changement de polarité de la broche et amène le TPM à définir son indicateur de présence physique interne. En utilisant cette méthode matérielle, les commandes nécessitant l'indication de présence physique peuvent être exécutées à tout moment (dans l'environnement pré-OS ou depuis l'environnement OS) tant que le commutateur est défini et, pour TPM 2.0, l'autorisation de la plateforme est disponible. Cela présente un problème de sécurité si le commutateur est laissé dans la position affirmée.

Méthode de commande pour affirmer la présence physique :
Dans certains cas, il n'est pas possible de fournir un bouton ou un commutateur à l'extérieur de la plateforme en raison du coût, du facteur de forme, de l'utilisation ou de l'accessibilité. Pour cette raison, une deuxième méthode d'affirmation de la présence physique appelée méthode de commande est définie. Pour la méthode de commande, le micrologiciel présente une interface utilisateur (UI) pour expliquer l'opération qui a été demandée. Un utilisateur physiquement présent confirme ou rejette l'opération en appuyant sur une touche du clavier. La méthode de commande autorise ensuite l'envoi de la commande TPM au TPM. Aucune autre vérification de présence physique n'est effectuée dans le TPM. Le TPM exécute l'opération TPM si l'utilisateur l'a confirmée via l'interface utilisateur. L'une des propriétés requises de l'indication de présence physique est qu'elle doit être effectuée par l'opérateur de la plateforme, généralement l'utilisateur, lorsqu'il est physiquement présent sur la plateforme. Cela nécessite que la méthode de commande soit limitée pour être disponible uniquement lorsque l'état de la plateforme peut fournir cette assurance. Cet état existe généralement pendant le démarrage de la configuration UEFI avant la disponibilité d'une pile réseau et l'exposition à des logiciels potentiellement non fiables.

Alia ID:99908
ID Document:HT507181
Date de publication originale:09/12/2018
Date de dernière modification:09/11/2024
X

Lenovo utilise des cookies pour améliorer votre expérience.

Visitez notre Outil de consentement aux cookies pour gérer vos préférences, ou notre Politique de confidentialité pour plus d’informations.

Retour à la page précédente
X
lenovo

Informations que nous recueillons à votre sujet

Nous voulons être transparents sur les données que nous et nos partenaires collectons et sur la façon dont nous les utilisons, afin que vous puissiez exercer au mieux le contrôle de vos données personnelles. Pour plus d’informations, veuillez consulter notre Politique de confidentialité.

Notre outil de consentement aux cookies vous offre une plus grande visibilité et un meilleur contrôle sur la façon dont vos préférences sont stockées sur le site. Cependant, certains cookies tiers ont été temporairement classés comme essentiels, ce qui signifie que certains cookies seront abandonnés qui ne sont pas réellement nécessaires au fonctionnement du site. Nous travaillons à résoudre le problème, mais vous pouvez toujours bloquer les cookies essentiels via les outils de votre navigateur.

Informations collectées par nos partenaires

Nous utilisons les partenaires suivants pour améliorer votre expérience globale de navigation sur le Web. Ils utilisent des cookies et d’autres mécanismes pour vous connecter à vos réseaux sociaux et adapter la publicité pour mieux correspondre à vos intérêts. Vous pouvez choisir de vous désinscrire de cette collecte d’informations en décochant les cases ci-dessous.

Catégories
1 de 1 autorisés
Essential Obligatoire

Nous nous appuyons sur les cookies, Javascript et d’autres technologies Web pour servir des éléments clés – ou essentiels – sur le site. Cela peut inclure des éléments tels que vos préférences linguistiques ou des cookies basés sur le serveur destinés à maintenir notre site en fonctionnement et opérationnel. Si cette option est désactivée, l’expérience de votre site sera probablement affectée.

Analytics

Nous utilisons l’analyse pour améliorer notre site Web en comprenant mieux à quelle fréquence les utilisateurs visitent le site, quelles pages ils visitent le plus et combien de temps ils passent sur notre site. Nous nous appuierons sur les cookies et les partenaires tiers pour suivre ces actions et comportements. Cliquez sur l’un des noms des partenaires pour en savoir plus.

Vendors
Nom Obligatoire

Website:

Dans leurs propres mots

Quelles données cette entreprise collecte-t-elle ?

Données collectées

Anonyme:

Pseudonyme:

PII:

Sensible:

Partage de données

Conservation des données

Utilisation des données

Stockage de données

Adobe
Avis