Le démarrage sécurisé UEFI est une norme de sécurité qui permet de vérifier que votre ordinateur démarre uniquement avec les logiciels approuvés par le fabricant. Pour certaines versions matérielles et certains systèmes d'exploitation de machines virtuelles, vous pouvez activer le démarrage sécurisé de la même manière que pour une machine physique.

Dans un système d'exploitation qui prend en charge le démarrage sécurisé UEFI, chaque logiciel de démarrage est signé, notamment le chargeur de démarrage, le noyau du système d'exploitation et les pilotes du système d'exploitation. La configuration par défaut de la machine virtuelle inclut plusieurs certificats de signature de code.
  • Un certificat Microsoft utilisé uniquement pour démarrer Windows.
  • Un certificat Microsoft utilisé pour le code tiers qui est signé par Microsoft, comme les chargeurs de démarrage Linux.
  • Un certificat VMware qui est utilisé uniquement pour démarrer ESXi dans une machine virtuelle.

La configuration par défaut de la machine virtuelle inclut un certificat pour authentifier les demandes de modification de la configuration du démarrage sécurisé, notamment la liste de révocation de démarrage sécurisé, depuis la machine virtuelle, qui est un certificat Microsoft KEK (Key Exchange Key).

Dans la plupart des cas, il n'est pas nécessaire de remplacer les certificats existants. Si vous souhaitez remplacer les certificats, reportez-vous au système de la base de connaissances VMware.

La version 10.1 ou ultérieure de VMware Tools est requise pour les machines virtuelles qui utilisent le démarrage sécurisé UEFI. Vous pouvez mettre à niveau ces machines virtuelles vers une version ultérieure de VMware Tools, le cas échéant.

Pour les machines virtuelles Linux, VMware Host-Guest Filesystem n'est pas pris en charge en mode de démarrage sécurisé. Supprimez VMware Host-Guest Filesystem de VMware Tools avant d'activer le démarrage sécurisé.

Note : Si vous activez le démarrage sécurisé pour une machine virtuelle, vous ne pouvez charger que des pilotes signés sur cette machine virtuelle.

Cette tâche décrit comment utiliser vSphere Client pour activer le démarrage sécurisé pour une machine virtuelle. Vous pouvez également créer des scripts pour gérer les paramètres de machine virtuelle. Par exemple, vous pouvez automatiser le basculement du microprogramme du BIOS vers l'EFI pour les machines virtuelles disposant du code PowerCLI suivant :

$vm = Get-VM TestVM

$spec = New-Object VMware.Vim.VirtualMachineConfigSpec
$spec.Firmware = [VMware.Vim.GuestOsDescriptorFirmwareType]::efi
$vm.ExtensionData.ReconfigVM($spec)
Pour plus d'informations, reportez-vous à la section Guide de l'utilisateur de VMware PowerCLI.

Conditions préalables

Vous pouvez activer le démarrage sécurisé uniquement si toutes les conditions préalables sont remplies. Si les conditions préalables ne sont pas remplies, la case à cocher n'est pas visible dans vSphere Client.
  • Vérifiez que le système d'exploitation et le micrologiciel de la machine virtuelle prennent en charge le démarrage UEFI.
    • Micrologiciel EFI
    • Matériel virtuel version 13 ou ultérieure.
    • Système d'exploitation prenant en charge le démarrage sécurisé UEFI.
    Note : Certains systèmes d'exploitation invités ne prennent pas en charge le remplacement du démarrage BIOS par le démarrage UEFI sans que des modifications leur soient apportées. Consultez la documentation de votre système d'exploitation invité avant de passer au démarrage UEFI. Si vous mettez à niveau une machine virtuelle qui utilise déjà le démarrage UEFI vers un système d'exploitation prenant en charge le démarrage sécurisé UEFI, vous pouvez activer le démarrage sécurisé pour cette machine virtuelle.
  • Désactivez la machine virtuelle. Si la machine virtuelle est en cours d'exécution, la case est grisée.

Procédure

  1. Cliquez avec le bouton droit sur une machine virtuelle dans l'inventaire et sélectionnez Modifier les paramètres.
  2. Cliquez sur l'onglet Options de VM et développez Options de démarrage.
  3. Sous Options de démarrage, assurez-vous que le microprogramme est défini sur EFI.
  4. Sélectionnez votre tâche. Sélectionnez la case à cocher Démarrage sécurisé pour activer le démarrage sécurisé. puis cliquez sur OK.
    • Sélectionnez la case à cocher Démarrage sécurisé pour activer le démarrage sécurisé.
    • Désélectionnez la case à cocher Démarrage sécurisé pour désactiver le démarrage sécurisé.

Résultats

Lorsque la machine virtuelle démarre, seuls les composants ayant des signatures valides sont autorisés. Le processus de démarrage s'arrête avec une erreur s'il rencontre un composant ayant une signature manquante ou non valide.