Le démarrage sécurisé UEFI est une norme de sécurité qui permet de vérifier que votre ordinateur démarre uniquement avec les logiciels approuvés par le fabricant. Pour certaines versions matérielles et certains systèmes d'exploitation de machines virtuelles, vous pouvez activer le démarrage sécurisé de la même manière que pour une machine physique.

Pourquoi et quand exécuter cette tâche

Dans un système d'exploitation qui prend en charge le démarrage sécurisé UEFI, chaque logiciel de démarrage est signé, notamment le chargeur de démarrage, le noyau du système d'exploitation et les pilotes du système d'exploitation. La configuration par défaut de la machine virtuelle inclut plusieurs certificats de signature de code.

  • Un certificat Microsoft utilisé uniquement pour démarrer Windows.

  • Un certificat Microsoft utilisé pour le code tiers qui est signé par Microsoft, comme les chargeurs de démarrage Linux.

  • Un certificat VMware qui est utilisé uniquement pour démarrer ESXi dans une machine virtuelle.

La configuration par défaut de la machine virtuelle inclut un certificat pour authentifier les demandes de modification de la configuration du démarrage sécurisé, notamment la liste de révocation de démarrage sécurisé, depuis la machine virtuelle, qui est un certificat Microsoft KEK (Key Exchange Key).

Dans la plupart des cas, il n'est pas nécessaire de remplacer les certificats existants. Si vous souhaitez remplacer les certificats, reportez-vous au système de la base de connaissances VMware.

La version 10.1 ou ultérieure de VMware Tools est requise pour les machines virtuelles qui utilisent le démarrage sécurisé UEFI. Vous pouvez mettre à niveau ces machines virtuelles vers une version ultérieure de VMware Tools, le cas échéant.

Pour les machines virtuelles Linux, VMware Host-Guest Filesystem n'est pas pris en charge en mode de démarrage sécurisé. Supprimez VMware Host-Guest Filesystem de VMware Tools avant d'activer le démarrage sécurisé.

Remarque :

Si vous activez le démarrage sécurisé pour une machine virtuelle, vous ne pouvez charger que des pilotes signés sur cette machine virtuelle.

Préambules

Vous pouvez activer le démarrage sécurisé uniquement si toutes les conditions préalables sont remplies. Si les conditions préalables ne sont pas remplies, la case à cocher n'est pas visible dans vSphere Web Client.

  • Vérifiez que le système d'exploitation et le micrologiciel de la machine virtuelle prennent en charge le démarrage UEFI.

    • Micrologiciel EFI

    • Matériel virtuel version 13 ou ultérieure.

    • Système d'exploitation prenant en charge le démarrage sécurisé UEFI.

    Remarque :

    Vous ne pouvez pas mettre à niveau une machine virtuelle qui utilise le démarrage BIOS vers une machine virtuelle qui utilise le démarrage UEFI. Si vous mettez à niveau une machine virtuelle qui utilise déjà le démarrage UEFI vers un système d'exploitation prenant en charge le démarrage sécurisé UEFI, vous pouvez activer le démarrage sécurisé pour cette machine virtuelle.

  • Désactivez la machine virtuelle. Si la machine virtuelle est en cours d'exécution, la case est grisée.

Vous devez disposer de privilèges VirtualMachine.Config.Settings pour activer ou désactiver le démarrage sécurisé UEFI pour la machine virtuelle.

Procédure

  1. Connectez-vous à vSphere Web Client, puis sélectionnez la machine virtuelle.
  2. Dans la boîte de dialogue Modifier les paramètres, ouvrez Options de démarrage et vérifiez que le micrologiciel est défini sur EFI.
  3. Cochez la case Activer le démarrage sécurisé, puis cliquez sur OK.
  4. Si, par la suite, vous souhaitez désactiver le démarrage sécurisé, cliquez de nouveau sur la case.

Résultats

Lorsque la machine virtuelle démarre, seuls les composants ayant des signatures valides sont autorisés. Le processus de démarrage s'arrête avec une erreur s'il rencontre un composant ayant une signature manquante ou non valide.