ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

ESXi6.5 仮想マシンのUEFIセキュアブートを有効、無効にする設定

ちょうど会社で、Windows Server 2016の導入がスタートしそうなんですが、仮想マシンの場合、UEFIの構成ってどうなるんだろうという話になりました。物理と違い、どこの設定が影響されるのかという話になりますよね。


そして、UEFIを採用する場合、UEFIセキュアブートが利用できるメリットがあります。ちなみに、この機能は、ブートコードなどが改ざんされていないことが保証される機能が利用できるというもので、ブートコードを変更する操作(ウイルスなど)は禁止されるため、システムの安全性が増します。将来的にはこれが標準になるんでしょうけれど、まだまだ利用されているところは少ないと思います。


気になる、ESXi6.5 仮想マシンUEFIセキュアブートを有効、無効の設定を紹介します。譲歩元はVMwareの公式サイトです。

仮想マシンUEFI セキュア ブートを有効または無効にする

https://docs.vmware.com/jp/VMware-vSphere/6.5/com.vmware.vsphere.vm_admin.doc/GUID-898217D4-689D-4EB5-866C-888353FE241C.html


まず、UEFI セキュア ブートの説明です。

 

「PC の製造元が信頼するソフトウェアのみを使用して PC をブートするセキュリティ標準です。特定の仮想マシンのハードウェア バージョンとオペレーティング システムに対しては、物理マシンと同様にセキュア ブートを有効にできます。」


UEFI セキュア ブートをサポートするオペレーティング システムでは、ブートローダー、オペレーティング システム カーネル、オペレーティング システムのドライバを含むブート ソフトウェアのそれぞれに署名が付与されています。仮想マシンのデフォルト構成には、いくつかのコード署名証明書が含まれます。

Windows のブートにのみ使用される Microsoft 証明書。
Linux ブートローダーなどのサードパーティ コードに使用する Microsoft によって署名された ま●Microsoft 証明書。
仮想マシン内の ESXi のブートにのみ使用する VMware 証明書。


仮想マシンのデフォルト構成には、仮想マシン内からセキュア ブート構成の変更要求を認証するための証明書が 1 つ含まれます(セキュア ブート失効リストを含む)。これは Microsoft KEK (Key Exchange Key) 証明書です。

ほとんどの場合、既存の証明書を置き換える必要はありません。証明書を置き換える場合は、VMware ナレッジベースの記事を参照してください。


UEFI セキュア ブートを使用する仮想マシンには、VMware Tools バージョン 10.1 以降が必要です。VMware Tools の 10.1 が提供されたら、仮想マシンをアップグレードできます。

Linux 仮想マシンのセキュア ブート モードでは、VMware Host-Guest Filesystem がサポートされません。VMware Tools から VMware Host-Guest Filesystem を削除してからセキュア ブートを有効にしてください。


【前提条件】
セキュア ブートは、すべての前提条件を満たしている場合にのみ有効にできます。前提条件を満たしていない場合、vSphere Web Client にチェック ボックスは表示されません。


仮想マシンのオペレーティング システムとファームウェアUEFI ブートをサポートしていることを確認します。

EFI ファームウェア
●仮想ハードウェア バージョン 13 以降。
UEFI セキュア ブートをサポートするオペレーティング システム。

注:
BIOS ブートを使用する仮想マシンUEFI ブートを使用する仮想マシンにアップグレードすることはできません。すでに UEFI ブートを使用している仮想マシンUEFI セキュア ブートをサポートするオペレーティング システムにアップグレードすると、その仮想マシンのセキュア ブートを有効にできます。

仮想マシンをパワーオフします。仮想マシンが実行中の場合、チェック ボックスは淡色表示されます。

仮想マシンUEFI セキュア ブートを有効または無効にするには、VirtualMachine.Config.Settings 権限が必要です。

【手順】
①vSphere Web Client にログインして仮想マシンを選択します。
②設定の編集 ダイアログで、起動オプション を開き、ファームウェアEFI に設定されていることを確認します。
③セキュア ブートを有効にする チェック ボックスをクリックし、OK をクリックします。
④後でセキュア ブートを無効にする場合は、このチェック ボックスを再度クリックします。


設定自体は簡単ですね。仮想ハードウェア バージョン 13 以降なので、必然的にESXi6.5からになると思います。後はOSが対応しているかどうかも重要ですね。また、先日、VMware PlayerでWindows Server 2016を構築したら、UEFIになりませんでした。環境によって、UEFIになることもあるようなので、こちらは別途、調査します。