Dukungan
GejalaInformasi Tambahan

Cara mengaktifkan opsi boot aman dalam pengaturan UEFI - Lenovo Flex System x240 M5 Compute Node (9532)

Cara mengaktifkan opsi boot aman dalam pengaturan UEFI - Lenovo Flex System x240 M5 Compute Node (9532)

Cara mengaktifkan opsi boot aman dalam pengaturan UEFI - Lenovo Flex System x240 M5 Compute Node (9532)

Ini merupakan artikel terjemahan mesin, silakan klik disini untuk melihat versi asli Inggris.

Gejala

Petunjuk ini disiapkan hanya untuk sistem x240 M5. Dukungan untuk Remote Physical Presence ditambahkan dalam UEFI C4E132H Revisi 2.50.

Untuk mengaktifkan "Secure Boot" pada server, tidak perlu membuka sistem secara fisik atau mengubah pengaturan sakelar DIP internal apa pun. Pengaturan UEFI menyediakan kemampuan untuk menegaskan keberadaan fisik dari jarak jauh. Pengguna juga dapat secara manual mengatur sakelar DIP 6 bit 2 untuk menegaskan keberadaan fisik perangkat keras, tetapi tidak disarankan untuk membiarkan keberadaan fisik dinyatakan setelah sistem di-boot ke OS demi alasan keamanan.

Langkah 1:
Boot server ke layar UEFI Setup. Buka pengaturan sistem --> Keamanan --> Konfigurasi Kebijakan Kehadiran Fisik.

Dalam mode default, pengguna akan melihat Kebijakan Kehadiran Fisik diaktifkan dan berwarna abu-abu. Pengguna akan melihat Status Kehadiran Fisik = Dinonaktifkan.
Catatan: Jika karena alasan apa pun Kebijakan Kehadiran Fisik dinonaktifkan, maka tab "toggle Remote Physical Presence Assert" akan berwarna abu-abu. Untuk melanjutkan kebijakan, kebijakan tersebut harus diaktifkan terlebih dahulu. Ini akan memerlukan pengaturan kehadiran fisik perangkat keras dengan sakelar DIP 6 bit 2 dan melakukan boot ulang untuk pengaturan. Kemudian, Anda akan dapat mengaktifkan Kebijakan Kehadiran Fisik.
Fitur ini menyediakan fitur keamanan tambahan bagi administrator dengan menonaktifkan Kebijakan Kehadiran Fisik untuk mencegah pernyataan kehadiran fisik dari jarak jauh. Demi alasan keamanan, setelah kebijakan ditetapkan ke nonaktif, kehadiran fisik perangkat keras harus dihapus dengan mematikan sakelar DIP 6 bit 2.

Langkah 2:
Gulir ke bawah ke "toggle Remote Physical Presence Assert" dan pilih lalu tekan tombol enter.
Pengguna akan melihat bahwa "Physical Presence State" berubah menjadi "assert". Penegasan dan pembatalan penegasan tidak memerlukan boot ulang agar berlaku.

Langkah 3:
Sekarang tekan tombol 'Esc' kembali satu tingkat dan buka: Keamanan > Tab Konfigurasi Boot Aman.

Anda mungkin perlu menekan status Refresh Physical Presence untuk menampilkan nilai Physical Presence saat ini.

Sekarang atur Konfigurasi Boot Keamanan --> Boot Aman --> ubah dari Dinonaktifkan ke Diaktifkan.

Pengguna akan melihat prompt pop-up "Apakah Anda yakin ingin Mengaktifkan Boot Aman? Apakah Anda ingin melanjutkan? Y/T << masukkan Y.

Langkah 4:
Sekarang kembali ke tab Konfigurasi Kebijakan Kehadiran Fisik dan pilih lagi --> "toggle Remote Physical Presence Assert" untuk Membatalkan Penegasan Status Kehadiran Fisik.

Langkah 5:
Tekan tombol 'Esc' di tingkat atas UEFI Setup, lalu simpan pengaturan dan boot ulang.

Langkah yang sama juga dapat digunakan untuk menonaktifkan boot aman.

Konfigurasi yang Terkena Dampak

Sistemnya mungkin salah satu server Lenovo berikut:

  • Node Komputasi Lenovo Flex System x240 M5, Tipe 9532, model apa pun

Tip ini tidak khusus untuk perangkat lunak.

Tips ini tidak spesifik untuk pilihan tertentu.

Sistem memiliki gejala yang dijelaskan di atas.

Solusi sementara

Tidak berlaku.

Informasi Tambahan

Boot aman dimaksudkan untuk memastikan bahwa semua kode yang dijalankan tepercaya dan ditandatangani. Dalam mode default, firmware Lenovo akan memverifikasi tanda tangan semua yang dimuat dalam mode UEFI.

Saat Secure Boot diaktifkan, ia akan memeriksa setiap bagian perangkat lunak, termasuk driver UEFI (ROM Opsi) dan sistem operasi, terhadap basis data tanda tangan yang diketahui baik. Jika setiap bagian perangkat lunak valid, firmware akan menjalankan perangkat lunak dan sistem operasi. Dengan demikian, fungsi Secure Boot akan mencegah kartu adaptor apa pun untuk melakukan booting yang ditemukan berisi ROM yang tidak sesuai dengan tanda tangan yang diharapkan.

Boot aman hanya didukung untuk mode boot UEFI dan bukan mode boot lama.

OEM menyediakan driver mereka ke Lenovo yang kemudian disertakan dalam firmware UEFI. Ini termasuk basis data tanda tangan (db), basis data tanda tangan yang dicabut (dbx), dan basis data Key Enrollment Key (KEK). Basis data ini disimpan di flash pada waktu pembuatan.

Basis data tanda tangan dan basis data tanda tangan yang dicabut mencantumkan penanda tangan atau hash gambar aplikasi UEFI, pemuat sistem operasi (seperti Microsoft Operating System Loader, atau Boot Manager) dan driver UEFI yang dapat dimuat pada server, dan gambar yang dicabut untuk item yang tidak lagi tepercaya dan mungkin tidak dimuat.

Basis data Key Enrollment Key merupakan basis data terpisah dari kunci penandatanganan yang dapat digunakan untuk memperbarui basis data tanda tangan dan basis data tanda tangan yang dicabut. Microsoft mengharuskan kunci tertentu disertakan dalam basis data KEK sehingga di masa mendatang Microsoft dapat menambahkan sistem operasi baru ke basis data tanda tangan atau menambahkan citra buruk yang diketahui ke basis data tanda tangan yang dicabut. Setelah basis data ini ditambahkan, dan setelah validasi dan pengujian firmware akhir, Lenovo mengunci firmware dari pengeditan, kecuali untuk pembaruan yang ditandatangani dengan kunci yang benar atau pembaruan oleh pengguna yang hadir secara fisik yang menggunakan menu firmware, lalu membuat PK. PK dapat digunakan untuk menandatangani pembaruan ke KEK atau untuk menonaktifkan Secure Boot.

Secara umum, ada urutan prioritas (paling penting hingga paling tidak penting) dari PK, KEK, db, dbx. Yaitu:

- Untuk memperbarui KEK, Anda harus memiliki tanda tangan dengan PK yang benar.

- Untuk memperbarui db atau dbx, Anda harus memiliki tanda tangan dengan PK atau KEK yang benar.

- PK diperlukan untuk mengaktifkan Secure Boot.

Deskripsi kunci penting untuk memahami mode yang kami dukung. Secure Boot memiliki dua (2) mode: Standar dan Kustom.

Mode Standar memungkinkan pengguna memanfaatkan sertifikat yang ditandatangani oleh Microsoft. Sertifikat ini memungkinkan UEFI memverifikasi semua ROM dan OS pilihan yang ditandatangani dan valid. Sertifikat ini mencakup sertifikat Windows dan pihak ketiga untuk Linux. Pada dasarnya, kami mengizinkan default ini dalam sertifikat boot aman untuk digunakan dalam mode standar kami. Ini mencakup satu PK, beberapa KEK, db, dan dbx.

Mode Kustom memungkinkan pengguna untuk memasang rangkaian kunci mereka sendiri. Spesifikasi untuk status Boot Aman memungkinkan boot terjadi dalam Mode Kustom tanpa PK. Ini memungkinkan OS untuk mendaftarkan PK baru yang kemudian akan digunakan untuk memvalidasi KEK, db, dan dbx miliknya sendiri.

Mode Boot Aman default adalah Mode Standar dan Boot Aman default adalah Dinonaktifkan.

Kehadiran Fisik:
Kehadiran Fisik adalah bentuk otorisasi untuk menjalankan fungsi TPM tertentu. Otorisasi ini biasanya berasal dari operator platform. Untuk perangkat TPM 1.2, fungsi yang memerlukan kehadiran fisik adalah fungsi yang menjalankan operasi penyediaan dan penyediaan ulang seperti mengizinkan kepemilikan dan menghapus kepemilikan saat nilai otorisasi pemilik saat ini tidak diketahui. Untuk perangkat TPM 2.0, kehadiran fisik dikaitkan dengan operasi yang memerlukan otorisasi platform tetapi dimulai oleh OS. Biasanya, otorisasi platform hanya dapat diberikan oleh firmware, bukan oleh OS. Ada dua metode untuk memberikan otorisasi kehadiran fisik: metode perintah dan metode perangkat keras. Kedua metode ini ditetapkan untuk perangkat TPM 1.2 dalam Spesifikasi Utama TPM 1.2 dan untuk perangkat TPM 2.0 dalam Spesifikasi Profil TPM Platform Klien PC.

Metode perangkat keras untuk menegaskan kehadiran fisik:
Contoh penerapan metode perangkat keras adalah sakelar DIP pada papan sistem yang dihubungkan ke pin pada TPM. Pengaturan sakelar menyebabkan pin mengubah polaritas dan akan menyebabkan TPM mengatur tanda kehadiran fisik internalnya. Dengan menggunakan metode perangkat keras ini, perintah yang memerlukan indikasi kehadiran fisik dapat dijalankan kapan saja (di lingkungan pra-OS atau dari lingkungan OS) selama sakelar diatur dan, untuk TPM 2.0, otorisasi platform tersedia. Hal ini menimbulkan masalah keamanan jika sakelar dibiarkan dalam posisi yang ditentukan.

Metode perintah untuk menegaskan kehadiran fisik:
Menyediakan tombol atau sakelar di luar platform tidak memungkinkan dalam beberapa kasus karena biaya, faktor bentuk, penggunaan, atau aksesibilitas. Karena alasan ini, metode kedua untuk menegaskan keberadaan fisik yang disebut metode perintah ditetapkan. Untuk metode perintah, firmware menyajikan antarmuka pengguna (UI) untuk menjelaskan operasi yang telah diminta. Pengguna yang hadir secara fisik mengonfirmasi atau menolak operasi dengan menekan tombol pada papan ketik. Metode perintah kemudian mengotorisasi perintah TPM untuk dikirim ke TPM. Tidak ada pemeriksaan lebih lanjut untuk keberadaan fisik yang dilakukan di TPM. TPM melakukan operasi TPM jika pengguna mengonfirmasinya melalui UI. Salah satu properti yang diperlukan dari indikasi keberadaan fisik adalah, hal itu harus dilakukan oleh operator platform, biasanya pengguna, saat hadir secara fisik di platform. Ini mengharuskan metode perintah dibatasi agar hanya tersedia sementara status platform dapat memberikan jaminan ini. Status ini biasanya ada selama boot ke pengaturan UEFI sebelum ketersediaan tumpukan jaringan dan paparan terhadap perangkat lunak yang tidak tepercaya.

Alias Id:99908
Dokumen ID:HT507181
Tanggal Penerbitan Asli:09/12/2018
Last Modified Date:09/11/2024
X

Lenovo menggunakan cookie untuk meningkatkan pengalaman Anda.

Kunjungi Alat Persetujuan Cookie kami untuk mengelola preferensi Anda, atau Kebijakan Pribadi kami untuk informasi selengkapnya.

Kembali ke halaman sebelumnya
X
lenovo

Informasi yang Kami Kumpulkan Tentang Anda

Kami ingin transparan tentang data yang kami dan mitra kami kumpulkan dan bagaimana kami menggunakannya, sehingga Anda dapat melakukan kontrol terbaik atas data pribadi Anda. Untuk informasi lebih lanjut, silakan lihat Kebijakan Pribadi kami.

Alat persetujuan cookie kami menawarkan visibilitas dan kontrol yang lebih besar kepada Anda tentang bagaimana preferensi Anda disimpan di situs. Namun, beberapa cookie pihak ketiga untuk sementara diklasifikasikan sebagai penting, artinya beberapa cookie akan dihapus yang sebenarnya tidak diperlukan untuk berfungsinya situs. Kami sedang bekerja untuk memperbaiki masalah ini, tetapi Anda masih dapat memblokir cookie penting melalui alat browser Anda.

Informasi yang Dikumpulkan Mitra Kami

Kami menggunakan mitra berikut untuk lebih meningkatkan pengalaman penjelajahan web Anda secara keseluruhan. Mereka menggunakan cookie dan mekanisme lain untuk menghubungkan Anda dengan jejaring sosial Anda dan menyesuaikan iklan agar lebih sesuai dengan minat Anda. Anda dapat memilih untuk tidak ikut serta dalam pengumpulan informasi ini dengan menghapus centang pada kotak di bawah.

Kategori
1 dari 1 diizinkan
Essential Diperlukan

Kami mengandalkan cookie, javascript, dan teknologi web lainnya untuk menyajikan elemen kunci—atau esensial—di situs. Ini mungkin termasuk hal-hal seperti preferensi bahasa Anda atau cookie berbasis server yang dimaksudkan untuk menjaga situs kami tetap berjalan dan beroperasi. Jika dinonaktifkan, pengalaman situs Anda kemungkinan akan terpengaruh.

Analytics

Kami menggunakan analitik untuk meningkatkan situs web kami dengan lebih memahami seberapa sering pengguna mengunjungi situs, halaman apa yang paling sering mereka kunjungi, dan berapa lama mereka menghabiskan waktu di situs kami. Kami akan mengandalkan cookie dan mitra pihak ketiga untuk melacak tindakan dan perilaku ini. Klik salah satu nama mitra untuk mempelajari lebih lanjut.

Penyedia jasa
Nama Diperlukan

Situs web:

Dengan Kata-Kata Mereka Sendiri

Data apa yang dikumpulkan perusahaan ini?

Data dikumpulkan

Anonim:

Nama samaran:

PII:

peka:

Berbagi Data

Retensi Data

Penggunaan Data

Penyimpanan data

Adobe