آنچه در این مقاله می خوانید:
آموزش فعالسازی Secure Boot در سرور اچ پی و رفع خطاهای رایج
در دنیای امروز، امنیت سرورها به یکی از مهمترین دغدغههای مدیران شبکه تبدیل شده است. یکی از قابلیتهای کلیدی برای افزایش امنیت، Secure Boot در سرور اچ پی است که از اجرای کدهای مخرب در زمان بوت جلوگیری میکند.
این ویژگی در سرورهای Hewlett Packard Enterprise به کمک فناوری UEFI پیادهسازی شده و با بررسی امضای دیجیتال سیستمعامل، از دستکاری فرآیند بوت جلوگیری میکند.
در این مقاله، بهصورت کامل آموزش فعالسازی Secure Boot در سرور اچ پی، روش غیرفعال کردن آن و همچنین رفع خطاهای رایج را بررسی میکنیم تا بتوانید بدون دردسر این قابلیت را در سرور خود پیادهسازی کنید.
Secure Boot در سرور اچ پی چیست؟
Secure Boot در سرورهای HP یک مکانیزم امنیتی مبتنی بر UEFI است که تضمین میکند فقط کدهای معتبر و دارای امضای دیجیتال در مرحله بوت اجرا شوند. یعنی هر فایل، درایور یا Boot Loader قبل از اجرا توسط Firmware بررسی میشود و اگر امضای آن معتبر نباشد، اجازه بوت داده نمیشود. این دقیقاً همان لایهای است که از سرور در برابر Rootkit، Bootkit و هر نوع بدافزار سطح پایین محافظت میکند.
Secure Boot در سرورهای HPE ProLiant سه وظیفه اصلی دارد:
1- جلوگیری از اجرای کدهای ناشناس یا دستکاریشده
اگر فایلهای بوت تغییر کرده باشند یا امضای دیجیتال نداشته باشند، سرور اجازه ادامه بوت نمیدهد.
2- حفظ یکپارچگی سیستمعامل
فقط Boot Loaderهایی که در دیتابیس کلیدهای UEFI ثبت شدهاند (DB، KEK، PK) اجرا میشوند.
3- ایمنسازی زنجیره بوت (Boot Chain)
از اولین مرحله Firmware تا بارگذاری کرنل سیستمعامل، همه چیز باید معتبر باشد.
در سرورهای Hewlett Packard Enterprise، قابلیت Secure Boot از طریق UEFI و در بخش HPE UEFI System Utilities مدیریت میشود. مسیر دسترسی به این قابلیت به صورت زیر است:
System Configuration → BIOS/Platform Configuration → Server Security → Secure Boot
HPE این قابلیت را با امکاناتی مانند مدیریت کلیدهای امنیتی (PK، KEK و DB)، حذف کلیدهای Secure Boot و بازیابی کلیدهای کارخانهای ترکیب کرده است تا مدیران سیستم کنترل کامل بر زنجیره بوت (Boot Chain) داشته باشند.
چرا فعالسازی Secure Boot در سرور اچ پی مهم است؟
فعال کردن این قابلیت مزایای زیادی دارد:
- افزایش امنیت سرور: از اجرای فایلهای ناشناس جلوگیری میکند
- جلوگیری از حملات سطح پایین: حملاتی که قبل از بالا آمدن سیستمعامل انجام میشوند
- ایجاد زنجیره اعتماد (Chain of Trust): از BIOS تا سیستمعامل
پیشنیازهای فعالسازی Secure Boot در سرور اچ پی:
قبل از اقدام به فعالسازی Secure Boot در سرور اچ پی لازم است اطمینان حاصل شود که زیرساخت بوت و سیستمعامل با الزامات UEFI سازگار هستند. در غیر این صورت، امکان بروز خطا در فرآیند Boot وجود دارد.
موارد زیر از پیشنیازهای اصلی محسوب میشوند:
- سیستمعامل باید از Secure Boot و معماری UEFI Secure Boot پشتیبانی کامل داشته باشد. (مانند Windows Server یا توزیعهای Enterprise Linux)
- حالت Boot Firmware سرور باید روی UEFI Mode تنظیم شده باشد و Legacy BIOS Mode غیرفعال گردد.
- تمامی Bootloaderها، درایورها و Kernel modules باید دارای امضای دیجیتال معتبر (Digitally Signed) باشند تا توسط Secure Boot تأیید شوند.
آموزش فعالسازی Secure Boot در سرور اچ پی:
برای فعال کردن Secure Boot در سرورهای Hewlett Packard Enterprise مراحل زیر را انجام دهید:
1- ورود به BIOS/UEFI
سرور را ریستارت کرده و کلید F9 را فشار دهید تا وارد HPE UEFI System Utilities شوید.
2- ورود به تنظیمات امنیتی
به مسیر زیر بروید:
System Configuration → BIOS/Platform Configuration → Server Security → Secure Boot
3- فعالسازی Secure Boot
گزینه Secure Boot را روی حالت Enabled قرار دهید و Boot Mode را روی UEFI تنظیم کنید.
4- ذخیره تنظیمات و ریستارت
تغییرات را ذخیره کرده و سرور را مجدداً راهاندازی کنید.
نکته: فعالسازی Secure Boot در سرور HP از طریق UEFI (RBSU) انجام میشود و در صورت نیاز میتوان از iLO برای دسترسی ریموت به محیط BIOS استفاده کرد.
نحوه غیرفعالسازی Secure Boot در سرور HP:
در برخی سناریوها مانند نصب سیستمعاملهای قدیمی یا استفاده از درایورها و Bootloaderهای غیرامضاشده، ممکن است نیاز به غیرفعالسازی Secure Boot در سرور HP وجود داشته باشد.
برای انجام این کار مراحل زیر را در محیط UEFI دنبال کنید:
1-ورود به BIOS/UEFI
سرور را ریستارت کرده و با فشردن کلید F9 وارد HPE UEFI System Utilities شوید.
2- دسترسی به تنظیمات امنیتی
از مسیر زیر وارد بخش امنیتی شوید:
System Configuration → BIOS/Platform Configuration → Server Security
3- غیرفعالسازی Secure Boot
گزینه Secure Boot را روی حالت Disabled قرار دهید.
4- ذخیره تغییرات و راهاندازی مجدد
تنظیمات را ذخیره کرده و سرور را ریستارت کنید تا تغییرات اعمال شود.
خطاهای رایج در Secure Boot در سرور HP و روشهای رفع آن:
در زمان فعالسازی Secure Boot در سرور اچ پی ممکن است با برخی خطاهای رایج در فرآیند بوت یا نصب سیستمعامل مواجه شوید. این خطاها معمولاً به دلیل ناسازگاری سیستمعامل، Bootloader یا تنظیمات UEFI رخ میدهند.
1- بوت نشدن سیستم پس از فعالسازی Secure Boot در سرور اچ پی
- علت:
سیستمعامل نصبشده از Secure Boot پشتیبانی نمیکند یا بهصورت کامل UEFI-compliant نیست.
- راهحل:
– غیرفعال کردن Secure Boot از طریق BIOS/UEFI
– استفاده از سیستمعاملهای سازگار با Secure Boot (مانند نسخههای Enterprise Windows Server یا Linuxهای سازمانی)
2- خطای عدم شناسایی Bootloader (Secure Boot Violation)
- علت:
Bootloader یا فایلهای بوت فاقد امضای دیجیتال معتبر (Unsigned Bootloader) هستند و توسط Secure Boot رد میشوند.
- راهحل:
– استفاده از نسخه رسمی و امضاشده سیستمعامل
– جایگزینی Bootloader با نسخه سازگار با Secure Boot
3- مشکل در نصب سیستمعامل در حالت UEFI
- علت:
سرور در حالت Legacy BIOS Boot Mode تنظیم شده است، در حالی که Secure Boot فقط در حالت UEFI فعال میشود.
- راهحل:
– تغییر Boot Mode از Legacy به UEFI در تنظیمات BIOS
– سپس فعالسازی مجدد Secure Boot
4- خطای «Operating System Loader Has No Valid Signature» در Secure Boot سرور HP
این خطا زمانی در Secure Boot در سرور HP نمایش داده میشود که Bootloader سیستمعامل فاقد امضای دیجیتال معتبر باشد یا با سیاستهای امنیتی UEFI Secure Boot سازگار نباشد.
در واقع، Secure Boot اجازه اجرای فایل بوتی را نمیدهد که در پایگاه امضا (Signature Database) تأیید نشده باشد.
روشهای رفع قطعی خطا:
1- بازیابی کلیدهای پیشفرض Secure Boot (Restore Factory Keys)
در محیط BIOS/UEFI سرور:
- وارد بخش Secure Boot شوید.
- گزینه Restore Factory Keys را اجرا کنید.
این کار کلیدهای اصلی PK/KEK/DB را به حالت استاندارد کارخانه برمیگرداند.
2- غیرفعال کردن Legacy Support
در برخی سرورهای Hewlett Packard Enterprise، فعال بودن Legacy Mode باعث ناسازگاری با Secure Boot میشود.
اقدام لازم:
- Boot Mode را از Legacy به UEFI تغییر دهید.
- سیستم را مجدد راهاندازی کنید.
3- بررسی Bootloader سیستمعامل
اگر Bootloader سیستمعامل بهصورت غیر رسمی یا دستکاریشده باشد، توسط Secure Boot رد میشود.
راهحل:
- استفاده از نسخه رسمی و امضاشده سیستمعامل
- Repair یا Reinstall Bootloader
4- بهروزرسانی Firmware سرور
نسخههای قدیمی BIOS/UEFI ممکن است با برخی سیستمعاملها ناسازگار باشند.
اقدام:
- آپدیت کردن Firmware سرور به آخرین نسخه موجود در HPE
5- بررسی سازگاری سیستمعامل
اطمینان حاصل کنید که سیستمعامل نصبشده از Secure Boot پشتیبانی میکند.
سیستمعاملهای سازگار معمول:
- Windows Server
- Linux Enterprise (RHEL, SUSE)
- VMware ESXi
نکته: در سرورهای Hewlett Packard Enterprise، بسیاری از خطاهای Secure Boot به دلیل عدم هماهنگی بین Boot Mode و ساختار نصب سیستمعامل رخ میدهد، نه خود Secure Boot.
تفاوت حالت Standard و Custom در Secure Boot سرور HP
در تنظیمات Secure Boot در سرور HP (در محیط UEFI)، دو حالت اصلی برای مدیریت کلیدهای امنیتی وجود دارد: Standard Mode و Custom Mode. این دو حالت تعیین میکنند که کلیدهای اعتماد (Trust Keys) چگونه مدیریت و اعتبارسنجی شوند.
-
حالت Standard (پیشفرض و توصیهشده)
در حالت Standard، تمامی کلیدهای امنیتی بهصورت پیشفرض توسط سازنده سرور (HPE) تنظیم شدهاند و کاربر نیازی به مدیریت دستی آنها ندارد.
ویژگیها:
- استفاده از کلیدهای رسمی شامل PK، KEK و DB بهصورت پیشفرض
- عدم امکان تغییر مستقیم یا حذف کلیدها توسط کاربر
- مناسب برای نصب سیستمعاملهای استاندارد و امضاشده
کاربرد:
این حالت برای اکثر محیطهای عملیاتی و سازمانی در سرورهای Hewlett Packard Enterprise توصیه میشود، زیرا کمترین ریسک ناسازگاری و خطای بوت را دارد.
-
حالت Custom (پیشرفته و مدیریتی)
در حالت Custom، مدیر سیستم کنترل کامل روی کلیدهای Secure Boot دارد و میتواند آنها را بهصورت دستی مدیریت کند.
قابلیتها:
- افزودن یا حذف کلیدهای PK (Platform Key)، KEK و DB
- امکان استفاده از کلیدهای سازمانی یا اختصاصی
- تعریف سیاستهای امنیتی سفارشی برای Boot Chain
کاربرد:
این حالت بیشتر در محیطهای پیشرفته مانند:
- دیتاسنترهای بزرگ
- زیرساختهای امنیتی حساس
- یا سیستمهای با Bootloader اختصاصی
استفاده میشود.
نکته: استفاده نادرست از حالت Custom میتواند باعث ایجاد خطاهایی مانند Secure Boot Violation یا حتی عدم بوت شدن سیستم شود، به همین دلیل در اکثر سناریوها حالت Standard انتخاب ایمنتری است.
چه زمانی باید Secure Boot را در سرور HP غیرفعال کنیم؟
در حالت عادی، فعال بودن Secure Boot در سرور HP توصیه میشود، اما در برخی سناریوهای خاص ممکن است نیاز باشد این قابلیت موقتاً غیرفعال شود. این تصمیم معمولاً زمانی گرفته میشود که محدودیتهای امضای دیجیتال یا سازگاری Boot باعث اختلال در فرآیند راهاندازی سیستم شود.
1- نصب سیستمعاملهای قدیمی یا غیر UEFI
برخی سیستمعاملهای قدیمی با معماری UEFI سازگار نیستند و تنها در حالت Legacy Boot قابل نصب هستند. در این شرایط، Secure Boot باید غیرفعال شود تا فرآیند نصب بدون خطا انجام شود.
2- استفاده از درایورها یا Bootloaderهای بدون امضا
Secure Boot تنها اجازه اجرای کدهایی را میدهد که دارای امضای دیجیتال معتبر باشند. در صورتی که از:
- درایورهای unsigned
- Bootloaderهای سفارشی
- یا kernelهای غیر رسمی
استفاده شود، سیستم ممکن است دچار خطای Secure Boot Violation شود و نیاز به غیرفعالسازی این قابلیت وجود دارد.
3- محیطهای تست، توسعه و آزمایش (Lab Environment)
در محیطهای آزمایشگاهی یا توسعه، معمولاً نیاز به انعطافپذیری بیشتر در سطح Boot وجود دارد. در چنین شرایطی، غیرفعال کردن Secure Boot به توسعهدهندگان اجازه میدهد تغییرات و تستهای سیستمی را بدون محدودیت امضای دیجیتال انجام دهند.
نکته: در سرورهای Hewlett Packard Enterprise توصیه میشود Secure Boot فقط بهصورت موقت غیرفعال شود و پس از رفع نیاز، دوباره فعال گردد تا زنجیره اعتماد (Chain of Trust) در فرآیند بوت حفظ شود.
سوالات متداول:
آیا Secure Boot روی همه مدلهای سرور HP فعال میشود؟
Secure Boot در سرورهای HPE ProLiant جدیدتر و مبتنی بر UEFI پشتیبانی میشود، اما مدلهای قدیمیتر یا سیستمهایی که به Legacy وابستهاند ممکن است از آن پشتیبانی نکنند. در عمل، سازگاری آن به نسل سرور و تنظیمات BIOS/UEFI بستگی دارد.
اگر بعد از فعالسازی Secure Boot سرور بالا نیاید، چه باید کرد؟
اول بررسی کنید که Boot Mode روی UEFI مانده باشد و ترتیب بوت درست تنظیم شده باشد. اگر مشکل ادامه داشت، ممکن است سیستمعامل یا بوتلودر با Secure Boot سازگار نباشد و لازم باشد Secure Boot موقتاً غیرفعال شود یا تنظیمات BIOS به حالت پیشفرض برگردد.
خطای Secure Boot Authentication Failure یعنی چه؟
این خطا معمولاً یعنی یکی از اجزای بوت، امضای معتبر ندارد یا با کلیدهای ثبتشده در Secure Boot سازگار نیست. این حالت بیشتر وقتی رخ میدهد که بوتلودر، درایور UEFI یا تصویر نصب سیستمعامل با وضعیت Secure Boot هماهنگ نباشد.
آیا برای فعالسازی Secure Boot به سختافزار خاصی نیاز است؟
خیر، Secure Boot بهصورت نرمافزاری در UEFI/BIOS پیادهسازی میشود و به ماژول سختافزاری جداگانه نیاز ندارد.
آیا میتوان Secure Boot را بعد از نصب سیستمعامل فعال کرد؟
بله، میتوان Secure Boot را بعد از نصب سیستمعامل فعال کرد، اما فقط اگر سیستمعامل از ابتدا در حالت UEFI نصب شده باشد. اگر سیستمعامل در حالت Legacy نصب شده باشد، فعالسازی Secure Boot باعث خطای بوت میشود و تنها راهحل، نصب مجدد سیستمعامل در حالت UEFI است.
فعالسازی Secure Boot برای چه محیطهایی مهمتر است؟
این قابلیت برای سرورهایی که در دیتاسنتر، مجازیسازی، زیرساختهای حساس و محیطهای امنیتمحور استفاده میشوند اهمیت بیشتری دارد، چون از حملات سطح بوت و دستکاری firmware جلوگیری میکند.
آیا فعالسازی Secure Boot در سرور اچ پی ضروری است؟
بله، اگر امنیت بوت برای شما مهم است، فعالسازی Secure Boot یک لایه حیاتی محسوب میشود. این قابلیت از اجرای Boot Loaderهای دستکاریشده، Rootkitها و Bootkitها جلوگیری میکند و یکپارچگی زنجیره بوت را تضمین میکند.
چرا بعد از فعالسازی Secure Boot، سرور بوت نمیشود؟
دلایل رایج:
- نصب سیستمعامل در حالت Legacy
- Boot Loader بدون امضای معتبر (مثلاً ESXi کاستوم)
- حذف یا خراب شدن کلیدهای UEFI
- فعال بودن Compatibility Support Mode (CSM)
چگونه بفهمم سیستمعامل فعلی با Secure Boot سازگار است؟
در ویندوز:
msinfo32 → مقدار Secure Boot State و BIOS Mode
در لینوکس:
mokutil –sb-state
در ESXi:
از طریق DCUI یا vSphere → بخش Secure Boot Verification
اگر کلیدهای Secure Boot پاک شده باشند چه باید کرد؟
در سرورهای HP میتوانید از مسیر زیر کلیدهای کارخانه را بازگردانی کنید:
System Utilities → Server Security → Secure Boot → Restore Factory Keys
این کار معمولاً مشکل Invalid Signature را رفع میکند.
آیا فعالسازی Secure Boot روی عملکرد سرور تأثیر میگذارد؟
خیر، Secure Boot فقط مرحله بوت را بررسی میکند و هیچ تأثیری روی عملکرد CPU، RAM یا شبکه ندارد.
آیا ESXi با Secure Boot سازگار است؟
بله، اما:
- نسخههای قدیمی ESXi (قبل از 6.5) پشتیبانی نمیکنند.
- نسخههای کاستوم یا درایورهای Third-Party ممکن است امضای معتبر نداشته باشند.
- گاهی نیاز است TPM نیز فعال باشد. (برای ESXi 8)
در صورتی که قصد دارید VMware ESXi را روی سرورهای HP نصب یا بهروزرسانی کنید، راهنمای کامل «نصب و آپدیت مستقیم ESXi بر سرورهای HP» میتواند برای شما مفید باشد.
| خرید سرور HP از فروشگاه اینترنتی مسترشبکه با بهترین قیمت و کیفیت همراه با گارانتی معتبر |
محبوب ترین محصولات
