BIOS 设置或 F2 中的安全引导配置
UEFI Secure Boot 是一项技术,可消除在 UEFI 固件和 UEFI 操作系统 (OS) 交接期间可能出现的重大安全失效。在 UEFI Secure Boot 中,链中的每个组件需先针对特定证书进行验证和授权,然后才允许加载或运行。Secure Boot 可消除威胁,并在引导的每个步骤中提供软件身份检查 - 平台固件、选件卡和操作系统引导加载程序。
统一可扩展固件接口 (UEFI) 论坛 - 一家开发预引导软件标准的行业机构,他们在 UEFI 规范中定义了 Secure Boot。计算机系统供应商、扩展卡供应商和操作系统提供商就此规范进行协作以促进互操作性。作为 UEFI 规范的一部分,Secure Boot 代表了预引导环境中的安全行业标准。
启用时,UEFI Secure Boot 会阻止加载未签名的 UEFI 设备驱动程序,显示错误消息并且不允许设备运行。您必须禁用 Secure Boot 才能加载未签名的设备驱动程序。
在 Dell 第 14 代和更高版本的 PowerEdge 服务器上,您可以使用不同的界面(RACADM、WSMAN、REDFISH, 和 LC-UI)来启用或禁用 Secure Boot 功能。
可接受的文件格式
Secure Boot 策略在 PK 中仅包含一个密钥,但可能有多个密钥位于 KEK 中。在理想情况下,平台制造商或平台拥有者维护与公用 PK 对应的私钥。第三方(例如操作系统提供商和设备提供商)维护与 KEK 中的公共密钥对应的私钥。这样一来,平台所有者或第三方可在特定系统的 db 或 dbx 中添加或移除条目。
Secure Boot 策略使用 db 和 dbx 授权预引导映像文件执行。为了使某个映像文件可以执行,它必须与 db 中的密钥或散列值关联,而不是与 dbx 中的密钥或散列值关联。更新 db 或 dbx的内容的任何尝试都必须通过专用 PK 或 KEK 签名。更新 PK 或 KEK 内容的任何尝试都必须通过专用 PK 签名。
表 1. 可接受的文件格式可接受的文件格式
策略组件 |
可接受的文件格式 |
可接受的文件扩展名 |
允许的最大记录 |
PK |
X.509证书(仅限二进制 DER 格式) |
.cer
.der
- .crt
|
一声 |
KEK |
X.509证书(仅限二进制 DER 格式) 公共密钥库 |
.cer
.der
.crt
.pbk
|
多个 |
DB 和 DBX |
X.509证书(仅限二进制 DER 格式) EFI 映像(系统 BIOS 将计算并导入映像摘要) |
.cer
.der
.crt
.efi
|
多个 |
通过单击系统 BIOS 设置下的系统安全可以访问安全引导设备设置功能。要转至系统 BIOS 设置,请在开机自检过程中显示公司徽标时按 F2。
- 默认情况下,禁用安全引导,并且将安全引导策略设置为标准。要配置安全引导策略,您必须启用安全引导。
- 当安全引导模式设置为标准,它表示系统具有出厂时加载的默认证书和映像摘要或散列值。此项迎合标准固件、驱动程序、选件 ROM 和引导加载程序的安全性。
- 要在服务器上支持新的驱动程序或固件,必须在 Secure Boot 证书存储区的 DB 中注册各自的证书。因此,必须将“Secure Boot 策略”配置为“自定义”。
将“Secure Boot 策略”配置为“自定义”时,它会继承默认情况下系统中加载的标准证书和映像(您可以修改这些标准证书和映像)。将“Secure Boot 策略”配置为“自定义”允许您执行诸如以下的操作:查看、导出、导入、删除、全部删除、重置和全部重置。使用这些操作,您可以配置“Secure Boot 策略”。
将“Secure Boot 策略”配置为“自定义”会启用一些选项,以允许在 PK、KEK、DB 和 DBX 上通过使用诸如以下的各种操作管理证书存储区:导出、导入、删除、全部删除、重置和全部重置。您可以通过单击相应的链接选择要更改并执行适当操作的策略 (PK / KEK / DB / DBX)。每个部分都将具有用于执行导入、导出、删除和重置操作的链接。链接基于适用项目启用,而适用项目取决于当时的配置。“全部删除”和“全部重置”是具有对所有策略都有影响的操作。“全部删除”会删除“自定义”策略中的所有证书和映像摘要,“全部重置”会还原“标准”或“默认”证书存储区中的所有证书和映像摘要。