قابلیت Secure Boot در سرورهای G9

Secure Boot روشی است که برای محدود کردن اجرای باینری که برای راه اندازی سیستم استفاده می شود. با فعال کردن این گزینه، BIOS سیستم اجازه می­دهد تا فقط لودرهای بوت با امضاهای رمزنگاری شده مورد اعتماد اجرا شوند، بنابراین از مخفی کردن کدهای تعبیه شده در زنجیره بوت توسط بدافزارها جلوگیری می­کند. هر لودر بوت که در طی فرایند راه اندازی راه اندازی می شود، به صورت دیجیتالی امضا می­شود و آن امضا در برابر مجموعه­ای از گواهینامه های معتبر جاسازی شده در UEFI BIOS تأیید می­شود.

Secure Boot یک ویژگی امنیتی سرور است که در BIOS پیاده سازی شده و به سخت افزار خاصی احتیاج ندارد. Secure Boot اطمینان حاصل می­کند که هر کامپوننت هنگام فرآیند راه اندازی به صورت دیجیتالی امضا شده و اعتبار آن در برابر مجموعه­ای از گواهینامه­های معتبر جاسازی شده در UEFI BIOS تأیید می­شود. این ویژگی رابط کاملا جدیدی بین سیستم­عامل و firmware/BIOS را تعریف می­کند.

وقتی که فعال و کاملا پیکربندی شد، Secure Boot به کامپیوتر کمک می­کند در برابر حملات و آلودگی های مخرب مقاومت کند. Secure Boot با اعتبار سنجی امضاهای دیجیتالی دستکاری در لودرهای بوت، پرونده های اصلی سیستم­عامل و ROM های گزینه غیرمجاز را تشخیص می­دهد. قبل از حمله به سیستم یا آلوده شدن آن، قابلیت شناسایی مسدود شده است.

 بنابراین Secure Boot عبارت است از:

• در نظر گرفته شده است تا از بدافزار بوت-سکتور یا تزریق کد هسته جلوگیری کند.
• امضای کد مبتنی بر سخت افزار.
• توسعه معماری UEFI BIOS.
• اختیاری با قابلیت فعال یا غیرفعال کردن آن از طریق BIOS.

 Secure Boot هویت نرم افزار اجزای زیر را در روند راه اندازی تأیید می­کند:

• درایورهای UEFI از کارت های PCIe بارگیری می­شوند.
• درایورهای UEFI از دستگاه­های ذخیره انبوه بارگیری می­شوند.
• برنامه­های پوسته UEFI را از قبل راه­اندازی می­شوند.
• لودرهای بوت سیستم عامل UEFI.

کلیدهای مطمئن زیر در متغیرهای UEFI NVRAM ذخیره می شوند:

• Database (DB) – پایگاه داده امضا که شامل کلیدهای شناخته شده است. فقط باینری­هایی که می توانند در برابر DB تأیید شوند، توسط BIOS اجرا می­شوند.
• پایگاه داده ممنوع (DBX) – کلیدهایی که در لیست سیاه قرار دارند. تلاش برای بارگیری یک شی با یک کلید منطبق با ورودی در DBX رد می­شود.
• Machine Owner Key (MOK) – کاربر کلیدهایی را برای ماژول­های هسته­ای که می­خواهد نصب کند اضافه می­کند.
• Platform Key (PK) – کلید نصب شده توسط فروشنده سخت­افزار.
• Key Exchange Key (KEK) -کلید مورد نیاز برای به روزرسانی پایگاه داده امضا.

وقتی Secure Boot فعال است:

• اجزای سیستم عامل و سیستم عامل های دارای بوت لودر باید دارای امضای دیجیتالی مناسب برای اجرای در هنگام فرایند بوت باشند.
• سیستم­عامل­ها باید از Secure Boot پشتیبانی کنند و یک بوت لودر EFI با یکی از کلیدهای مجاز برای راه اندازی امضا کرده باشد.

می­توان گواهی­های تعبیه شده در UEFI BIOS را با افزودن یا حذف گواهینامه­های شخصی، یا از یک کنسول مدیریتی که مستقیماً به سرور متصل است یا با اتصال از راه دور به سرور با استفاده از کنسول از راه دور iLO 4، سفارشی کرد.

می­توان Secure Boot را با استفاده از موارد زیر پیکربندی کرد:

• گزینه­های System Utilities
• RESTful API

برای نمایش پایگاه­داده­ها، کلیدها و گزارش­های امنیتی Secure Boot می­توان از دستور secboot در UEFI Shell جاسازی شده(embedded) استفاده کرد.

قبل از فعال کردن Secure Boot ، باید مطمئن شد که:

• حالت بوت UEFI انتخاب شده باشد.
• UEFI Optimized Boot فعال شده باشد.

شرایط Secure Boot:

• فقط در حالت راه اندازی UEFI فعال است.
• کاربر برای فعال کردن آن باید از نظر جسمی حضور داشته باشد.
• در گزینه­های بوت RBSU، حالت Boot باید روی حالت UEFI تنظیم شود و UEFI Optimized Boot باید فعال شود.

برای فعال/غیر فعال کردن Secure Boot اقدامات زیر باید انجام گیرد:

1. از صفحه System Utilities، پیکربندی سیستم انتخاب شود > BIOS / platform configuration(RBSU) < امنیت سرور > تنظیمات Secure Boot > انتخاب Secure Boot.
2. یک تنظیم را انتخاب شود.

• Enabled –Secure Boot را فعال می­کند.
• disables – Secure Boot را غیرفعال می­کند.

3. تغییرات ذخیره شود.
4. سرور دوباره راه اندازی شود.

نحوه کار Secure Boot:

Secure Boot مانند یک دروازه امنیتی کار می­کند. کد دارای اعتبار معتبر از گیت عبور می­کند و اجرا می شود. با این حال، Secure Boot در دروازه مسدود می­شود و کدی را که دارای اعتبار نامعتبر یا فاقد اعتبار است رد می­کند.

Intel® Desktop Board کلیدهای پیش فرض Secure Boot را برای ویندوز 8 تعبیه کرده است. این تابلوها و نسخه­های BIOS مورد نیاز، آزمایش شده و از کیت مجوز سخت افزار ویندوز (WHCK) برای ویندوز 8 عبور کرده­اند. گزارش های WHCK برای بردهای دسک­تاپ اینتل در اطلاعات آزمایشگاه های کیفیت سخت افزار Microsoft Windows (WHQL / WHCK) موجود است.

UEFI Secure Boot مانع از نصب یا حذف لودرهای مرحله دوم نمی­شود یا نیاز به تایید صریح کاربر برای چنین تغییراتی ندارد. امضا در هنگام راه اندازی تأیید می­شوند، و نه هنگام نصب یا به روزرسانی بارگذار بارگیری. بنابراین، UEFI Secure Boot دستکاری در مسیر راه اندازی را متوقف نمی­کند. این فقط مانع از اجرای یک مسیر بوت اصلاح شده توسط سیستم می­شود که چنین تغییری رخ داده است و تشخیص آنها را ساده می کند.