UEFI Secure Boot ist ein Sicherheitsstandard, mit dem sichergestellt werden kann, dass ein PC nur über Software gestartet wird, die durch den entsprechenden PC-Hersteller als vertrauenswürdig eingestuft wird. Für bestimmte Hardwareversionen und Betriebssysteme von virtuellen Maschinen können Sie einen sicheren Start in der gleichen Weise wie für physische Maschinen aktivieren.

Warum und wann dieser Vorgang ausgeführt wird

In einem Betriebssystem, das UEFI Secure Boot unterstützt, ist jedes Element der Boot-Software signiert, einschließlich dem Bootloader, dem Betriebssystem-Kernel und den Betriebssystem-Treibern. Zur Standardkonfiguration der virtuellen Maschine gehören verschiedene Code-Signaturzertifikate.

  • Ein Microsoft-Zertifikat, das nur für den Start von Windows verwendet wird.

  • Ein Microsoft-Zertifikat, das für Drittanbieter-Code verwendet wird, welcher von Microsoft signiert ist, wie beispielsweise Linux-Bootloader.

  • Ein VMware-Zertifikat, das nur für den Start von ESXi innerhalb einer virtuellen Maschine verwendet wird.

Zur Standardkonfiguration der virtuellen Maschine gehört ein Zertifikat für Authentifizierungsanforderungen, um die Konfiguration des sicheren Starts zu ändern. Dazu gehört auch die Widerrufsliste für den sicheren Start von innerhalb der virtuellen Maschine. Dies ist ein Microsoft KEK-Zertifikat (Key Exchange Key, Schlüsselaustauschschlüssel).

In nahezu allen Fällen ist es nicht notwendig, die vorhandenen Zertifikate zu ersetzen. Wenn Sie die Zertifikate ersetzen möchten, informieren Sie sich im VMware-Kowledgebase-System.

VMware Tools Version 10.1 oder höher ist für virtuelle Maschinen erforderlich, die UEFI Secure Boot verwenden. Sie können diese virtuellen Maschinen auf eine höhere Version von VMware Tools aktualisieren, wenn diese verfügbar ist.

Bei Linux-basierten virtuellen Maschinen wird das VMware Host-Gast-Dateisystem im sicheren Startmodus nicht unterstützt. Entfernen Sie das VMware Host-Gast-Dateisystem aus den VMware Tools, bevor Sie den sicheren Start aktivieren.

Anmerkung:

Wenn Sie den sicheren Start für eine virtuelle Maschine aktivieren, können Sie nur signierte Treiber in diese virtuelle Maschine laden.

Voraussetzungen

Sie können einen sicheren Start nur aktivieren, wenn alle Voraussetzungen erfüllt sind. Wenn die Voraussetzungen nicht erfüllt sind, wird das Kontrollkästchen nicht im vSphere Client angezeigt.

  • Stellen Sie sicher, dass das Betriebssystem und die Firmware der virtuellen Maschine UEFI Secure Boot unterstützen.

    • EFI-Firmware

    • Virtuelle Hardwareversion 13 oder höher.

    • Betriebssystem, das UEFI Secure Boot unterstützt.

    Anmerkung:

    Sie können eine virtuelle Maschine, für die der BIOS-Start verwendet wird, nicht auf eine virtuelle Maschine aktualisieren, für die UEFI Secure Boot verwendet wird. Wenn Sie eine virtuelle Maschine, für die bereits UEFI Secure Boot verwendet wird, auf ein Betriebssystem aktualisieren, das UEFI Secure Boot unterstützt, können Sie den sicheren Start für diese virtuelle Maschine aktivieren.

  • Schalten Sie die virtuelle Maschine aus. Wenn die virtuelle Maschine ausgeführt wird, ist das Kontrollkästchen abgeblendet.

Prozedur

  1. Klicken Sie in der Bestandsliste mit der rechten Maustaste auf eine virtuelle Maschine und wählen Sie Einstellungen bearbeiten aus.
  2. Klicken Sie auf die Registerkarte VM-Optionen und erweitern Sie Startoptionen.
  3. Stellen Sie sicher, dass die Firmware unter Startoptionen auf EFI festgelegt ist.
  4. Wählen Sie Ihre Aufgabe. Aktivieren Sie das Kontrollkästchen Sicherer Start, um den sicheren Start zu aktivieren. Klicken Sie anschließend auf OK.
    • Aktivieren Sie das Kontrollkästchen Sicherer Start, um den sicheren Start zu aktivieren.

    • Deaktivieren Sie das Kontrollkästchen Sicherer Start, um den sicheren Start zu deaktivieren.

Ergebnisse

Wenn die virtuelle Maschine gestartet wird, werden nur Komponenten mit gültigen Signaturen zugelassen. Der Startvorgang wird angehalten, und es wird ein Fehler angezeigt, wenn eine Komponente mit einer fehlenden oder ungültigen Signatur festgestellt wird.