El arranque seguro UEFI es un estándar de seguridad que permite garantizar que el equipo arranque usando solamente software de confianza para el fabricante del equipo. Para ciertos sistemas operativos y versiones de hardware de máquinas virtuales, se puede activar el arranque seguro del mismo modo que para una máquina física.

En un sistema operativo que admite el arranque seguro UEFI, cada parte del software de arranque está firmada, incluidos el cargador de arranque, el kernel del sistema operativo y los controladores del sistema operativo. La configuración predeterminada de la máquina virtual incluye varios certificados de firma de código.
  • Un certificado de Microsoft que se utiliza solamente para el arranque de Windows.
  • Un certificado de Microsoft que se utiliza para código de terceros firmado por Microsoft, como los cargadores de arranque de Linux.
  • Un certificado de VMware que solo se utiliza para el arranque de ESXi dentro de una máquina virtual.

La configuración predeterminada de la máquina virtual incluye un certificado para que las solicitudes de autenticación modifiquen la configuración de arranque seguro, incluida la lista de revocación de arranque seguro, desde el interior de la máquina virtual. Se trata de un certificado de clave de intercambio de claves (Key Exchange Key, KEK) de Microsoft.

Se requiere la versión 10.1 o posterior de VMware Tools para las máquinas virtuales que utilizan el arranque seguro UEFI. Puede actualizar esas máquinas virtuales a una versión posterior de VMware Tools cuando esté disponible.

Para las máquinas virtuales Linux, no se admite VMware Host-Guest Filesystem en el modo de arranque seguro. Quite VMware Host-Guest Filesystem de VMware Tools antes de activar el arranque seguro.

Nota: Si activa el arranque seguro de una máquina virtual, solo puede cargar controladores firmados en ella.

En esta tarea se describe cómo usar vSphere Client para activar y desactivar el arranque seguro de una máquina virtual. También puede escribir scripts para administrar la configuración de la máquina virtual. Por ejemplo, puede automatizar el cambio del firmware de BIOS a EFI para máquinas virtuales con el siguiente código de PowerCLI:

$vm = Get-VM TestVM

$spec = New-Object VMware.Vim.VirtualMachineConfigSpec
$spec.Firmware = [VMware.Vim.GuestOsDescriptorFirmwareType]::efi
$vm.ExtensionData.ReconfigVM($spec)
Para obtener más información, consulte la Guía del usuario de VMware PowerCLI.

Requisitos previos

Puede activar el arranque seguro solamente si se cumplen los requisitos previos. Si no se cumplen, la casilla no estará visible en vSphere Client.
  • Compruebe que el sistema operativo y el firmware de la máquina virtual admitan el arranque UEFI.
    • Firmware EFI.
    • Versión de hardware virtual 13 o posterior.
    • Sistema operativo que admita el arranque seguro UEFI.
    Nota: Algunos sistemas operativos invitados no permiten cambiar el arranque del BIOS por el arranque UEFI sin realizar modificaciones al sistema operativo invitado. Consulte la documentación del sistema operativo invitado antes de cambiar al arranque UEFI. Si se actualiza una máquina virtual que ya utiliza el arranque UEFI a un sistema operativo que admite el arranque seguro UEFI, se puede activar el arranque seguro de esa máquina virtual.
  • Apague la máquina virtual. Si la máquina virtual está en ejecución, la casilla aparece atenuada.

Procedimiento

  1. Desplácese hasta la máquina virtual en el inventario de vSphere Client.
  2. Haga clic con el botón derecho en la máquina virtual y seleccione Editar configuración.
  3. Haga clic en la pestaña Opciones de máquina virtual y expanda Opciones de arranque.
  4. En Opciones de arranque, asegúrese de que el firmware esté establecido en EFI.
  5. Seleccione la tarea en cuestión.
    • Seleccione la casilla Arranque seguro para activar el arranque seguro.
    • Anule la selección de la casilla Arranque seguro para desactivar el arranque seguro.
  6. Haga clic en Aceptar.

Resultados

Cuando la máquina virtual arranca, solo se permiten los componentes con firmas válidas. El proceso de arranque se detiene y muestra un error si detecta que existe un componente al que le falta una firma o cuya firma no es válida.