El arranque seguro UEFI es un estándar de seguridad que permite garantizar que el equipo arranque usando solamente software de confianza para el fabricante del equipo. Para ciertos sistemas operativos y versiones de hardware de máquinas virtuales, se puede habilitar el arranque seguro del mismo modo que para una máquina física.

Por qué y cuándo se efectúa esta tarea

En un sistema operativo que admite el arranque seguro UEFI, cada parte del software de arranque está firmada, incluidos el cargador de arranque, el kernel del sistema operativo y los controladores del sistema operativo. La configuración predeterminada de la máquina virtual incluye varios certificados de firma de código.

  • Un certificado de Microsoft que se utiliza solamente para el arranque de Windows.

  • Un certificado de Microsoft que se utiliza para código de terceros firmado por Microsoft, como los cargadores de arranque de Linux.

  • Un certificado de VMware que solo se utiliza para el arranque de ESXi dentro de una máquina virtual.

La configuración predeterminada de la máquina virtual incluye un certificado para que las solicitudes de autenticación modifiquen la configuración de arranque seguro, incluida la lista de revocación de arranque seguro, desde el interior de la máquina virtual. Se trata de un certificado de clave de intercambio de claves (Key Exchange Key, KEK) de Microsoft.

En casi todos los casos, no es necesario reemplazar los certificados existentes. Si no desea reemplazar los certificados, consulte la base de conocimientos de VMware.

Se requiere la versión 10.1 o posterior de VMware Tools para las máquinas virtuales que utilizan el arranque seguro UEFI. Puede actualizar esas máquinas virtuales a una versión posterior de VMware Tools cuando esté disponible.

Para las máquinas virtuales Linux, no se admite VMware Host-Guest Filesystem en el modo de arranque seguro. Elimine VMware Host-Guest Filesystem de VMware Tools antes de habilitar el arranque seguro.

Nota:

Si activa el arranque seguro de una máquina virtual, solo puede cargar controladores firmados en ella.

Requisitos

Puede habilitar el arranque seguro solamente si se cumplen los requisitos previos. Si no se cumplen, la casilla no estará visible en vSphere Web Client.

  • Compruebe que el sistema operativo y el firmware de la máquina virtual admitan el arranque UEFI.

    • Firmware EFI.

    • Versión de hardware virtual 13 o posterior.

    • Sistema operativo que admita el arranque seguro UEFI.

    Nota:

    No se puede actualizar una máquina virtual que utiliza el arranque del BIOS a una máquina virtual que utiliza el arranque UEFI. Si se actualiza una máquina virtual que ya utiliza el arranque UEFI a un sistema operativo que admite el arranque seguro UEFI, se puede habilitar el arranque seguro de esa máquina virtual.

  • Apague la máquina virtual. Si la máquina virtual está en ejecución, la casilla aparece atenuada.

Necesita los privilegios VirtualMachine.Config.Settings para habilitar o deshabilitar el arranque seguro UEFI en la máquina virtual.

Procedimiento

  1. Inicie sesión en vSphere Web Client y seleccione la máquina virtual.
  2. En el cuadro de diálogo Editar configuración, abra Opciones de arranque y asegúrese de que el firmware esté establecido en EFI.
  3. Active la casilla Habilitar arranque seguro y haga clic en Aceptar.
  4. Si más adelante desea deshabilitar el arranque seguro, puede volver a hacer clic en la casilla.

Resultados

Cuando la máquina virtual arranca, solo se permiten los componentes con firmas válidas. El proceso de arranque se detiene y muestra un error si detecta que existe un componente al que le falta una firma o cuya firma no es válida.