UEFI Secure Boot ist ein Sicherheitsstandard, mit dem sichergestellt werden kann, dass ein PC nur über Software gestartet wird, die durch den entsprechenden PC-Hersteller als vertrauenswürdig eingestuft wird. Für bestimmte Hardwareversionen und Betriebssysteme von virtuellen Maschinen können Sie einen sicheren Start in der gleichen Weise wie für physische Maschinen aktivieren.

Warum und wann dieser Vorgang ausgeführt wird

In einem Betriebssystem, das UEFI Secure Boot unterstützt, ist jedes Element der Boot-Software signiert, einschließlich dem Bootloader, dem Betriebssystem-Kernel und den Betriebssystem-Treibern. Zur Standardkonfiguration der virtuellen Maschine gehören verschiedene Code-Signaturzertifikate.

  • Ein Microsoft-Zertifikat, das nur für den Start von Windows verwendet wird.

  • Ein Microsoft-Zertifikat, das für Drittanbieter-Code verwendet wird, welcher von Microsoft signiert ist, wie beispielsweise Linux-Bootloader.

  • Ein VMware-Zertifikat, das nur für den Start von ESXi innerhalb einer virtuellen Maschine verwendet wird.

Zur Standardkonfiguration der virtuellen Maschine gehört ein Zertifikat für Authentifizierungsanforderungen, um die Konfiguration des sicheren Starts zu ändern. Dazu gehört auch die Widerrufsliste für den sicheren Start von innerhalb der virtuellen Maschine. Dies ist ein Microsoft KEK-Zertifikat (Key Exchange Key, Schlüsselaustauschschlüssel).

In nahezu allen Fällen ist es nicht notwendig, die vorhandenen Zertifikate zu ersetzen. Wenn Sie die Zertifikate ersetzen möchten, informieren Sie sich im VMware-Kowledgebase-System.

VMware Tools Version 10.1 oder höher ist für virtuelle Maschinen erforderlich, die UEFI Secure Boot verwenden. Sie können diese virtuellen Maschinen auf eine höhere Version von VMware Tools aktualisieren, wenn diese verfügbar ist.

Bei Linux-basierten virtuellen Maschinen wird das VMware Host-Gast-Dateisystem im sicheren Startmodus nicht unterstützt. Entfernen Sie das VMware Host-Gast-Dateisystem aus den VMware Tools, bevor Sie den sicheren Start aktivieren.

Anmerkung:

Wenn Sie den sicheren Start für eine virtuelle Maschine aktivieren, können Sie nur signierte Treiber in diese virtuelle Maschine laden.

Voraussetzungen

Sie können einen sicheren Start nur aktivieren, wenn alle Voraussetzungen erfüllt sind. Wenn die Voraussetzungen nicht erfüllt sind, wird das Kontrollkästchen nicht im vSphere Web Client angezeigt.

  • Stellen Sie sicher, dass das Betriebssystem und die Firmware der virtuellen Maschine UEFI Secure Boot unterstützen.

    • EFI-Firmware

    • Virtuelle Hardwareversion 13 oder höher.

    • Betriebssystem, das UEFI Secure Boot unterstützt.

    Anmerkung:

    Sie können eine virtuelle Maschine, für die der BIOS-Start verwendet wird, nicht auf eine virtuelle Maschine aktualisieren, für die UEFI Secure Boot verwendet wird. Wenn Sie eine virtuelle Maschine, für die bereits UEFI Secure Boot verwendet wird, auf ein Betriebssystem aktualisieren, das UEFI Secure Boot unterstützt, können Sie den sicheren Start für diese virtuelle Maschine aktivieren.

  • Schalten Sie die virtuelle Maschine aus. Wenn die virtuelle Maschine ausgeführt wird, ist das Kontrollkästchen abgeblendet.

Sie benötigen VirtualMachine.Config.Settings-Berechtigungen, um UEFI Secure Boot für die virtuelle Maschine zu aktivieren oder zu deaktivieren.

Prozedur

  1. Melden Sie sich beim vSphere Web Client an und wählen Sie die virtuelle Maschine aus.
  2. Öffnen Sie im Dialogfeld Einstellungen bearbeiten Boot-Optionen und stellen Sie sicher, dass die Firmware auf EFI festgelegt ist.
  3. Klicken Sie auf das Kontrollkästchen Sicheren Start aktivieren und anschließend auf OK.
  4. Wenn Sie zu einem späteren Zeitpunkt den sicheren Start deaktivieren möchten, können Sie erneut auf das Kontrollkästchen klicken.

Ergebnisse

Wenn die virtuelle Maschine gestartet wird, werden nur Komponenten mit gültigen Signaturen zugelassen. Der Startvorgang wird angehalten, und es wird ein Fehler angezeigt, wenn eine Komponente mit einer fehlenden oder ungültigen Signatur festgestellt wird.