UEFI 安全開機是一種安全性標準,可協助確保您的電腦僅使用電腦製造商信任的軟體進行開機。對於某些虛擬機器硬體版本和作業系統,可以和實體機器一樣,為其啟用安全開機。

在支援 UEFI 安全開機的作業系統上,開機軟體的每個部分均已簽署,包括開機載入器、作業系統核心和作業系統驅動程式。虛擬機器的預設組態包括多個代碼簽署憑證。
  • 僅用於將 Windows 開機的 Microsoft 憑證。
  • 用於 Microsoft 簽署之第三方代碼的 Microsoft 憑證,例如 Linux 開機載入器。
  • 僅用於將虛擬機器內的 ESXi 開機的 VMware 憑證。

虛擬機器的預設組態包含一個憑證,用於從虛擬機器內驗證修改安全開機組態 (包括安全開機撤銷清單) 的申請,它是一個 Microsoft KEK (金鑰交換金鑰) 憑證。

對於使用 UEFI 安全開機的虛擬機器,需要 VMware Tools 10.1 版或更新版本。您可以將這些虛擬機器升級到較新版本的 VMware Tools (當其可用時)。

對於 Linux 虛擬機器,VMware 主機-客體檔案系統在安全開機模式下不受支援。請先從 VMware Tools 移除 VMware 主機-客體檔案系統,然後再啟用安全開機。

備註: 如果您對虛擬機器開啟安全開機,則只能將已簽署的驅動程式載入該虛擬機器。

此工作說明如何使用 vSphere Client 來啟用和停用虛擬機器的安全開機。您也可以撰寫指令碼來管理虛擬機器設定。例如,您可以使用下列 PowerCLI 程式碼,自動將虛擬機器的韌體從 BIOS 變更為 EFI:

$vm = Get-VM TestVM

$spec = New-Object VMware.Vim.VirtualMachineConfigSpec
$spec.Firmware = [VMware.Vim.GuestOsDescriptorFirmwareType]::efi
$vm.ExtensionData.ReconfigVM($spec)
如需詳細資訊,請參閱 《VMware PowerCLI 使用者指南》

必要條件

僅在符合所有必要條件時,才能啟用安全開機。如果不符合必要條件, vSphere Client 中將不會顯示此核取方塊。
  • 確認虛擬機器作業系統和韌體支援 UEFI 開機。
    • EFI 韌體
    • 虛擬硬體版本 13 或更新版本。
    • 支援 UEFI 安全開機的作業系統。
    備註: 部分客體作業系統不支援在不修改客體作業系統的情況下,從 BIOS 開機變更為 UEFI 開機。變更為 UEFI 開機之前,請參閱您的客體作業系統說明文件。如果您將已使用 UEFI 開機的虛擬機器升級到支援 UEFI 安全開機的作業系統,則可以對該虛擬機器啟用安全開機。
  • 關閉虛擬機器。如果虛擬機器正在執行,則此核取方塊會以灰色顯示。

程序

  1. vSphere Client 詳細目錄中,瀏覽至虛擬機器。
  2. 在虛擬機器上按一下滑鼠右鍵,然後選取編輯設定
  3. 按一下虛擬機器選項索引標籤,然後展開開機選項
  4. 開機選項下,確保韌體設為 EFI
  5. 選取您的工作。
    • 選取安全開機核取方塊以啟用安全開機。
    • 取消選取安全開機核取方塊以停用安全開機。
  6. 按一下確定

結果

當虛擬機器開機時,僅允許具有有效簽章的元件。如果元件的簽章遺失或無效,開機程序將停止並顯示錯誤。