La seguridad se extiende a todos los endpoints y servicios. El bloqueo de los dispositivos de arranque en los sistemas cliente ayuda a proteger contra las instalaciones no autorizadas al aprovechar el arranque seguro para permitir sólo los dispositivos de confianza.
Proteger los sistemas cliente para que no se inicien en dispositivos no autorizados es una seguridad que a menudo se pasa por alto cuando se bloquean los equipos. Los beneficios de implementar la seguridad de arranque no se han perdido en los dispositivos con la nueva Interfaz de Firmware Extensible Unificada (UEFI), que lleva la seguridad de arranque más allá de una simple función protegida por contraseña.
Más información sobre Windows
Centrándose sólo en permitir que los dispositivos autorizados, o dispositivos de confianza que utilizan claves para verificar que los cargadores de arranque, los archivos de sistema y los archivos de instalación mantienen su integridad y no han sido comprometidos o modificados de otro modo, Secure Boot (este componente de UEFI) ignora de forma efectiva todas las demás entradas que podría utilizar un dispositivo para arrancar desde el que no están en la lista blanca al requerir claves firmadas para cada entrada.
Los servidores de implementación, como Windows Deployment Services (WDS), dependen de PXE para arrancar con el cliente a través de la red para implementar imágenes y datos de configuración a través de los repositorios Microsoft Deployment Toolkit (MDT) o System Center Configuration Manager (SCCM. En entornos seguros con Secure Boot habilitado en el cliente, cada dispositivo requerirá que se instale en el firmware de UEFI un archivo firmado generado por el propio servidor de implementación, antes de que el cliente se inicie en el servidor, lo que garantiza que sólo se realicen implementaciones autorizadas desde servidores de implementación de confianza.
Antes de entrar en el quid de la cuestión de cómo configurar esto, aquí están los requisitos que necesitará para realizar esta tarea:
- Servidor que ejecuta Windows Server 2008 R2 (o posterior) ejecutando los siguientes servicios: Servicios de implementación de Windows
- Microsoft Deployment Toolkit o System Center Configuration Manager (instalado y configurado)
- PC cliente que ejecuta Windows 8 (o posterior) con UEFI activado (modo Legacy desactivado)
- Red de área local conmutada
- Cuenta de usuario con acceso administrativo
- Contraseña de firmware habilitada en el equipo cliente
- Unidad flash USB
1. Autentifíquese en el servidor de Windows y navegue a la siguiente ubicación y copie los archivos.EFI en la unidad flash USB. Cada archivo es específico de la arquitectura, por lo que si se requiere soporte para clientes de 32 y 64 bits, asegúrese de copiar ambos archivos:
\\NombreServidorDespliegueCompartirBootx86.efi NombreServidorDespliegueCompartirBootx64.efi
2. Con el(los) archivo(s) copiado(s) correctamente a USB, expulse la memoria USB e insértela en el PC del cliente, e inicie el dispositivo con el firmware.
3. Si no se ha establecido una contraseña de firmware, asegúrese de establecer una antes de salir de la pantalla. Aunque no es un requisito para que UEFI funcione correctamente, es una buena práctica y evitará la alteración de la configuración del firmware.
4. Navegue hasta la página de configuración UEFI del firmware de su dispositivo. Esta configuración varía según el fabricante de su PC; sin embargo, los equipos Dell nuevos, por ejemplo, contienen la configuración necesaria en la entrada General | Configuración de inicio. En la opción Boot List Option, asegúrese de que el botón de opción para UEFI está marcado y, a continuación, haga clic en Add Boot Option (Añadir opción de arranque) para navegar por la jerarquía de archivos y apunte la selección a los archivos.EFI copiados en el paso nº 1 anterior.
5. Repita el paso 4 hasta que cada archivo EFI se haya cargado correctamente. A continuación, haga clic en los botones Aplicar y Salir para guardar los cambios y salir del firmware respectivamente.
Cuando el dispositivo se reinicia después de salir de la pantalla de configuración del firmware, ahora puede presionar la tecla apropiada (de acuerdo con el tema de Dell, F12) para acceder al indicador de selección de arranque, donde ahora aparecerá la entrada del servidor WDS para cada arquitectura agregada. Seleccionando el que desee se iniciará en su servidor WDS de confianza, mientras que Secure Boot impide que todos los demás realicen el proceso de arranque.
Boletín semanal de Microsoft
Conviértase en un experto en Microsoft de su empresa con la ayuda de estos tutoriales de Windows y Office y de los análisis de nuestros expertos sobre los productos empresariales de Microsoft.
Entregado Lunes y Miércoles
¿Su organización aprovecha Secure Boot? ¿Por qué o por qué no? ¿Y a qué tipo de problemas se ha enfrentado al implementar Secure Boot o qué problemas se han resuelto desde la implementación de Secure Boot? Por favor, comparta sus historias con nosotros, nos encantaría saber de usted.