UEFI 安全開機是一種安全性標準,可協助確保您的電腦僅使用電腦製造商信任的軟體進行開機。對於某些虛擬機器硬體版本和作業系統,可以和實體機器一樣,為其啟用安全開機。

執行這項作業的原因和時機

在支援 UEFI 安全開機的作業系統上,開機軟體的每個部分均已簽署,包括開機載入器、作業系統核心和作業系統驅動程式。虛擬機器的預設組態包括多個代碼簽署憑證。

  • 僅用於將 Windows 開機的 Microsoft 憑證。

  • 用於 Microsoft 簽署之第三方代碼的 Microsoft 憑證,例如 Linux 開機載入器。

  • 僅用於將虛擬機器內的 ESXi 開機的 VMware 憑證。

虛擬機器的預設組態包含一個憑證,用於從虛擬機器內驗證修改安全開機組態 (包括安全開機撤銷清單) 的申請,它是一個 Microsoft KEK (金鑰交換金鑰) 憑證。

在幾乎所有情況下,沒有必要取代現有憑證。如果想要取代憑證,請參閱 VMware 知識庫系統。

對於使用 UEFI 安全開機的虛擬機器,需要 VMware Tools 10.1 版或更新版本。您可以將這些虛擬機器升級到較新版本的 VMware Tools (當其可用時)。

對於 Linux 虛擬機器,VMware 主機-客體檔案系統在安全開機模式下不受支援。請先從 VMware Tools 移除 VMware 主機-客體檔案系統,然後再啟用安全開機。

備註︰

如果您對虛擬機器開啟安全開機,則只能將已簽署的驅動程式載入該虛擬機器。

先決條件

僅在符合所有必要條件時,才能啟用安全開機。如果不符合必要條件,vSphere Web Client 中將不會顯示此核取方塊。

  • 確認虛擬機器作業系統和韌體支援 UEFI 開機。

    • EFI 韌體

    • 虛擬硬體版本 13 或更新版本。

    • 支援 UEFI 安全開機的作業系統。

    備註︰

    您無法將使用 BIOS 開機的虛擬機器升級到使用 UEFI 開機的虛擬機器。如果您將已使用 UEFI 開機的虛擬機器升級到支援 UEFI 安全開機的作業系統,則可以對此虛擬機器啟用安全開機。

  • 關閉虛擬機器。如果虛擬機器正在執行,則此核取方塊會以灰色顯示。

您需要虛擬機器.組態.設定權限才能對虛擬機器啟用或停用 UEFI 安全開機。

程序

  1. 登入 vSphere Web Client,然後選取虛擬機器。
  2. 編輯設定對話方塊中,開啟開機選項,確保韌體設為 EFI
  3. 按一下啟用安全開機核取方塊,然後按一下確定
  4. 如果稍後想要停用安全開機,可以再次按一下此核取方塊。

結果

當虛擬機器開機時,僅允許具有有效簽章的元件。如果元件的簽章遺失或無效,開機程序將停止並顯示錯誤。