UEFI Secure Boot ist ein Sicherheitsstandard, mit dem sichergestellt werden kann, dass ein PC nur über Software gestartet wird, die durch den entsprechenden PC-Hersteller als vertrauenswürdig eingestuft wird. Für bestimmte Hardwareversionen und Betriebssysteme von virtuellen Maschinen können Sie einen sicheren Start in der gleichen Weise wie für physische Maschinen aktivieren.

In einem Betriebssystem, das UEFI Secure Boot unterstützt, ist jedes Element der Boot-Software signiert, einschließlich dem Bootloader, dem Betriebssystem-Kernel und den Betriebssystem-Treibern. Zur Standardkonfiguration der virtuellen Maschine gehören verschiedene Code-Signaturzertifikate.
  • Ein Microsoft-Zertifikat, das nur für den Start von Windows verwendet wird.
  • Ein Microsoft-Zertifikat, das für Drittanbieter-Code verwendet wird, welcher von Microsoft signiert ist, wie beispielsweise Linux-Bootloader.
  • Ein VMware-Zertifikat, das nur für den Start von ESXi innerhalb einer virtuellen Maschine verwendet wird.

Zur Standardkonfiguration der virtuellen Maschine gehört ein Zertifikat für Authentifizierungsanforderungen, um die Konfiguration des sicheren Starts zu ändern. Dazu gehört auch die Widerrufsliste für den sicheren Start von innerhalb der virtuellen Maschine. Dies ist ein Microsoft KEK-Zertifikat (Key Exchange Key, Schlüsselaustauschschlüssel).

In nahezu allen Fällen ist es nicht notwendig, die vorhandenen Zertifikate zu ersetzen. Wenn Sie die Zertifikate ersetzen möchten, informieren Sie sich im VMware-Kowledgebase-System.

VMware Tools Version 10.1 oder höher ist für virtuelle Maschinen erforderlich, die UEFI Secure Boot verwenden. Sie können diese virtuellen Maschinen auf eine höhere Version von VMware Tools aktualisieren, wenn diese verfügbar ist.

Bei Linux-basierten virtuellen Maschinen wird das VMware Host-Gast-Dateisystem im sicheren Startmodus nicht unterstützt. Entfernen Sie das VMware Host-Gast-Dateisystem aus den VMware Tools, bevor Sie den sicheren Start aktivieren.

Hinweis: Wenn Sie den sicheren Start für eine virtuelle Maschine aktivieren, können Sie nur signierte Treiber in diese virtuelle Maschine laden.

In dieser Aufgabe wird beschrieben, wie der sichere Start für eine virtuelle Maschine mithilfe von vSphere Client aktiviert und deaktiviert wird. Sie können auch Skripte schreiben, um die Einstellungen für virtuelle Maschinen zu verwalten. Sie können beispielsweise das Ändern der Firmware von BIOS zu EFI für virtuelle Maschinen mit dem folgenden PowerCLI-Code automatisieren:

$vm = Get-VM TestVM

$spec = New-Object VMware.Vim.VirtualMachineConfigSpec
$spec.Firmware = [VMware.Vim.GuestOsDescriptorFirmwareType]::efi
$vm.ExtensionData.ReconfigVM($spec)
Weitere Informationen finden Sie im VMware PowerCLI-Benutzerhandbuch.

Voraussetzungen

Sie können einen sicheren Start nur aktivieren, wenn alle Voraussetzungen erfüllt sind. Wenn die Voraussetzungen nicht erfüllt sind, wird das Kontrollkästchen nicht im vSphere Client angezeigt.
  • Stellen Sie sicher, dass das Betriebssystem und die Firmware der virtuellen Maschine UEFI Secure Boot unterstützen.
    • EFI-Firmware
    • Virtuelle Hardwareversion 13 oder höher.
    • Betriebssystem, das UEFI Secure Boot unterstützt.
    Hinweis: Manche Gastbetriebssysteme unterstützten das Wechseln vom BIOS-Start zum UEFI-Start ohne Änderungen des Gastbetriebssystems nicht. Lesen Sie in der Dokumentation zum Gastbetriebssystem nach, bevor Sie einen Wechsel zum UEFI-Start vornehmen. Wenn Sie eine virtuelle Maschine, für die bereits UEFI Secure Boot verwendet wird, auf ein Betriebssystem aktualisieren, das UEFI Secure Boot unterstützt, können Sie den sicheren Start für diese virtuelle Maschine aktivieren.
  • Schalten Sie die virtuelle Maschine aus. Wenn die virtuelle Maschine ausgeführt wird, ist das Kontrollkästchen abgeblendet.

Prozedur

  1. Navigieren Sie zur virtuellen Maschine in der Bestandsliste des vSphere Client.
  2. Klicken Sie mit der rechten Maustaste auf die virtuelle Maschine und wählen Sie Einstellungen bearbeiten.
  3. Klicken Sie auf die Registerkarte VM-Optionen und erweitern Sie Startoptionen.
  4. Stellen Sie sicher, dass unter Startoptionen die Firmware auf EFI festgelegt ist.
  5. Wählen Sie Ihre Aufgabe.
    • Aktivieren Sie das Kontrollkästchen Sicherer Start, um den sicheren Start zu aktivieren.
    • Deaktivieren Sie das Kontrollkästchen Sicherer Start, um den sicheren Start zu deaktivieren.
  6. Klicken Sie auf OK.

Ergebnisse

Wenn die virtuelle Maschine gestartet wird, werden nur Komponenten mit gültigen Signaturen zugelassen. Der Startvorgang wird angehalten, und es wird ein Fehler angezeigt, wenn eine Komponente mit einer fehlenden oder ungültigen Signatur festgestellt wird.