L'avvio sicuro UEFI è uno standard di sicurezza che garantisce l'avvio del PC solo tramite software considerato attendibile dal produttore del PC. Per determinati sistemi operativi e versioni dell'hardware delle macchine virtuali, è possibile attivare l'avvio sicuro come per una macchina fisica.

In un sistema operativo che supporta l'avvio sicuro UEFI, ogni software di avvio viene firmato, incluso il bootloader, il kernel del sistema operativo e i driver del sistema operativo. La configurazione predefinita della macchina virtuale include diversi certificati di firma del codice.
  • Un certificato di Microsoft utilizzato solo per l'avvio di Windows.
  • Un certificato di Microsoft utilizzato per il codice di terze parti firmato da Microsoft, ad esempio i bootloader Linux.
  • Un certificato di VMware utilizzato solo per l'avvio di ESXi in una macchina virtuale.

La configurazione predefinita della macchina virtuale include un certificato per l'autenticazione delle richieste di modifica della configurazione di avvio sicuro, incluso l'elenco di revoche dell'avvio sicuro, dall'interno della macchina virtuale, ovvero un certificato Microsoft KEK (Key Exchange Key).

Per le macchine virtuali che utilizzano l'avvio sicuro UEFI, è necessario VMware Tools versione 10.1 o successiva. È possibile aggiornare tali macchine virtuali a una versione successiva di VMware Tools quando diventa disponibile.

Per le macchine virtuali Linux, il file system host-guest VMware non è supportato nella modalità di avvio sicuro. Rimuovere il file system host-guest VMware da VMware Tools prima di attivare l'avvio sicuro.

Nota: Se si attiva l'avvio sicuro per una macchina virtuale, è possibile caricare in tale macchina virtuale solo driver firmati.

Questa attività descrive come utilizzare vSphere Client per attivare e disattivare l'avvio sicuro per una macchina virtuale. È inoltre possibile scrivere script per gestire le impostazioni della macchina virtuale. Ad esempio, è possibile automatizzare la modifica del firmware da BIOS a EFI per le macchine virtuali con il seguente codice PowerCLI:

$vm = Get-VM TestVM

$spec = New-Object VMware.Vim.VirtualMachineConfigSpec
$spec.Firmware = [VMware.Vim.GuestOsDescriptorFirmwareType]::efi
$vm.ExtensionData.ReconfigVM($spec)
Per ulteriori informazioni, consultare la Guida dell'utente di VMware PowerCLI.

Prerequisiti

È possibile attivare l'avvio sicuro solo se vengono soddisfatti tutti i prerequisiti. Se i prerequisiti non vengono soddisfatti, la casella di controllo non è visibile in vSphere Client.
  • Verificare che il sistema operativo e il firmware della macchina virtuale supportino l'avvio UEFI.
    • Firmware EFI
    • Hardware virtuale versione 13 o successiva.
    • Sistema operativo che supporta l'avvio sicuro UEFI.
    Nota: Alcuni sistemi operativi guest non supportano il passaggio dall'avvio BIOS all'avvio UEFI senza che vengano apportate modifiche al sistema operativo guest. Consultare la documentazione del sistema operativo guest prima di passare all'avvio UEFI. Se si aggiorna una macchina virtuale che utilizza già l'avvio UEFI a un sistema operativo che supporta l'avvio sicuro UEFI, è possibile attivare l'avvio sicuro per tale macchina virtuale.
  • Disattivare la macchina virtuale. Se la macchina virtuale è in esecuzione, la casella di controllo è disattivata.

Procedura

  1. Ricercare la macchina virtuale nell'inventario di vSphere Client.
  2. Fare clic con il pulsante destro del mouse sulla macchina virtuale e selezionare Modifica impostazioni.
  3. Fare clic sulla scheda Opzioni macchina virtuale ed espandere Opzioni di avvio.
  4. In Opzioni di avvio, assicurarsi che il firmware sia impostato su EFI.
  5. Selezionare l'attività.
    • Selezionare la casella di controllo Avvio sicuro per attivare l'avvio sicuro.
    • Deselezionare la casella di controllo Avvio sicuro per disattivare l'avvio sicuro.
  6. Fare clic su OK.

risultati

All'avvio della macchina virtuale sono consentiti solo i componenti con firme valide. Il processo di avvio viene interrotto con un errore se la firma di un componente manca o non è valida.