Users Guide
Configuración de arranque seguro mediante la
configuración del BIOS (F2)
El arranque seguro de UEFI es una tecnología que permite eliminar un vacío de seguridad importante que puede ocurrir durante una
transferencia entre el firmware de UEFI y el sistema operativo (SO) de UEFI. En el arranque seguro de UEFI, cada componente de la
cadena se valida y autoriza según un certificado específico antes de que se pueda cargar o ejecutar. Con el arranque seguro, se elimina la
amenaza y se verifica la identidad del software en cada paso del arranque: firmware de plataforma, tarjetas de opción y cargador de
arranque del SO.
En el foro de la interfaz de firmware extensible unificada (UEFI), un organismo del sector que desarrolla estándares para el software previo
al arranque, se define el arranque seguro en la especificación de UEFI. Los proveedores de sistemas informáticos, los proveedores de
tarjetas de expansión y los proveedores de sistemas operativos colaboran en esta especificación para promover la interoperabilidad. Como
parte de la especificación de UEFI, el arranque seguro representa un estándar de seguridad para todo el sector en el entorno previo al
arranque.
Cuando está activado, con el arranque seguro de UEFI, se evita que se carguen los controladores de dispositivo de UEFI sin firmar, se
muestra un mensaje de error y no se permite que el dispositivo funcione. Debe desactivar el arranque seguro para cargar los controladores
de dispositivo sin firmar.
En la 14.
a
generación y versiones posteriores de los servidores Dell PowerEdge, puede habilitar o deshabilitar la función de arranque seguro
mediante el uso de diferentes interfaces (RACADM, WSMAN, REDFISH y LC-UI).
Formatos aceptables de archivo
La política de arranque seguro contiene solo una clave en PK, pero varias claves pueden residir en KEK. Lo ideal es que el fabricante o el
propietario de la plataforma mantenga la clave privada correspondiente a la PK pública. Otras personas (como los proveedores de sistema
operativo y de dispositivos) mantienen las claves privadas correspondientes a las claves públicas en KEK. De esta forma, los propietarios
de la plataforma o terceros pueden agregar o eliminar entradas en el archivo db o dbx de un sistema específico.
En la política de arranque seguro, se utiliza db y dbx para autorizar la ejecución del archivo de imagen previo al arranque. Para que se
ejecute un archivo de imagen, se debe asociar con una clave o valor hash en db, y no asociarse con una clave o valor hash en dbx.
Cualquier intento de actualizar el contenido de db o dbx debe firmarse con una PK o KEK privada. Cualquier intento de actualizar el
contenido de PK o KEK debe firmarse con una PK privada.
Componente de la política
Formatos aceptables de
archivo
Extensiones aceptables de
archivo
Cantidad máxima permitida
de registros
PK Certificado X.509 (solo formato
DER binario)
1. .cer
2. .der
3. .crt
Uno
KEK
Certificado X.509 (solo formato
DER binario)
Almacén de claves públicas
1. .cer
2. .der
3. .crt
4. .pbk
Más de una
DB y DBX
Certificado X.509 (solo formato
DER binario)
Imagen de EFI (el BIOS del
sistema calculará e importará la
recopilación de imágenes)
1.
.cer
2. .der
3. .crt
4. .efi
Más de una
Para acceder a la función Configuración de arranque seguro, haga clic en Seguridad del sistema en Configuración del BIOS del sistema.
Para ir a Configuración del BIOS del sistema, presione F2 cuando aparezca el logotipo de la empresa durante la POST.
82
Configuración de Managed System