Hyper-v 2016 Linux安全啓動
Windows Server 2016中的安全啓動是一個很好的系統設計,用以確保操作系統的加載工具沒有被篡改。對於防止計算機啓動進入操作系統之前被惡意代碼被注入,安全啓動可以是一個很好的防禦措施。
安全的引導結合UEFI的加密功能增強引導和處理能力。加密密鑰存儲在固件。當UEFI要求啓動一個操作系統加載程序時,它可以檢查操作系統加載程序的加密簽名,如果有的話, 針對它知道簽名密鑰。如果鏡像已與可驗證密鑰簽名,UEFI將允許它啓動。否則,停止整個啓動過程。在hyper-v中,如果在啓動的過程中檢查操作系統加載程序爲沒有簽名或無效的簽名,系統會給我們如下提示:
若要在Hyper-v上啓用linux安全啓動,需滿足如下條件:
1、Hyper-v Server 2016、在Windows Server 2016中啓用Hyper-v角色、客戶端Windows 10中啓用Hyper-v角色
2、需要使用受支持的Linux操作系統版本,具體可參考:https://technet.microsoft.com/en-us/windows-server-docs/compute/hyper-v/supported-linux-and-freebsd-virtual-machines-for-hyper-v-on-windows
3、必須使用二代虛擬機
4、必須在虛擬機設置中啓用安全引導
5、所選擇的安全啓動模板必須是“微軟UEFI證書頒發機構”
說了這麼多,下面我們就來看一下如何對受支持的Linux操作系統開啓安全啓動:
打開Hyper-v管理器,找到操作系統爲Linux 的虛擬機在此我使用“ubuntu-14.04.4-server-amd64”。注意:需要確保虛擬機已關閉
選中虛擬機,點擊設置:
點擊“安全”—勾選“啓用安全啓動”—模板選擇“Microsoft UEFI證書頒發機構”:
設置完成以後啓動虛擬機,可以看到虛擬機已經正常引導:
除了上述方法我們還可以使用如下PS命令設置Linux安全啓動:
Set-VMFirmware -VMName dtlinux -EnableSecureBoot On -SecureBootTemplate 'MicrosoftUEFICertificateAuthority'