UEFI 安全開機是一種安全性標準,可協助確保您的電腦僅使用電腦製造商信任的軟體進行開機。對於某些虛擬機器硬體版本和作業系統,可以和實體機器一樣,為其啟用安全開機。
在支援 UEFI 安全開機的作業系統上,開機軟體的每個部分均已簽署,包括開機載入器、作業系統核心和作業系統驅動程式。虛擬機器的預設組態包括多個代碼簽署憑證。
- 僅用於將 Windows 開機的 Microsoft 憑證。
- 用於 Microsoft 簽署之第三方代碼的 Microsoft 憑證,例如 Linux 開機載入器。
- 僅用於將虛擬機器內的 ESXi 開機的 VMware 憑證。
虛擬機器的預設組態包含一個憑證,用於從虛擬機器內驗證修改安全開機組態 (包括安全開機撤銷清單) 的申請,它是一個 Microsoft KEK (金鑰交換金鑰) 憑證。
對於使用 UEFI 安全開機的虛擬機器,需要 VMware Tools 10.1 版或更新版本。您可以將這些虛擬機器升級到較新版本的 VMware Tools (當其可用時)。
對於 Linux 虛擬機器,VMware 主機-客體檔案系統在安全開機模式下不受支援。請先從 VMware Tools 移除 VMware 主機-客體檔案系統,然後再啟用安全開機。
備註: 如果您對虛擬機器開啟安全開機,則只能將已簽署的驅動程式載入該虛擬機器。
此工作說明如何使用 vSphere Client 來啟用和停用虛擬機器的安全開機。您也可以撰寫指令碼來管理虛擬機器設定。例如,您可以使用下列 PowerCLI 程式碼,自動將虛擬機器的韌體從 BIOS 變更為 EFI:
$vm = Get-VM TestVM $spec = New-Object VMware.Vim.VirtualMachineConfigSpec $spec.Firmware = [VMware.Vim.GuestOsDescriptorFirmwareType]::efi $vm.ExtensionData.ReconfigVM($spec)如需詳細資訊,請參閱 《VMware PowerCLI 使用者指南》。
必要條件
僅在符合所有必要條件時,才能啟用安全開機。如果不符合必要條件,
vSphere Client 中將不會顯示此核取方塊。
- 確認虛擬機器作業系統和韌體支援 UEFI 開機。
- EFI 韌體
- 虛擬硬體版本 13 或更新版本。
- 支援 UEFI 安全開機的作業系統。
備註: 部分客體作業系統不支援在不修改客體作業系統的情況下,從 BIOS 開機變更為 UEFI 開機。變更為 UEFI 開機之前,請參閱您的客體作業系統說明文件。如果您將已使用 UEFI 開機的虛擬機器升級到支援 UEFI 安全開機的作業系統,則可以對該虛擬機器啟用安全開機。 - 關閉虛擬機器。如果虛擬機器正在執行,則此核取方塊會以灰色顯示。
程序
- 在 vSphere Client 詳細目錄中,瀏覽至虛擬機器。
- 在虛擬機器上按一下滑鼠右鍵,然後選取編輯設定。
- 按一下虛擬機器選項索引標籤,然後展開開機選項。
- 在開機選項下,確保韌體設為 EFI。
- 選取您的工作。
- 選取安全開機核取方塊以啟用安全開機。
- 取消選取安全開機核取方塊以停用安全開機。
- 按一下確定。
結果
當虛擬機器開機時,僅允許具有有效簽章的元件。如果元件的簽章遺失或無效,開機程序將停止並顯示錯誤。