Зачем включать Secure Boot и TPM именно на серверах

Secure Boot и TPM на серверах нужны не для "красивой галочки", а чтобы закрыть один из самых неприятных классов атак: подмена загрузчика, драйверов и ранних компонентов ОС еще до старта гипервизора. Если злоумышленник закрепился на этом уровне, антивирус и обычные политики часто уже бессильны.

Secure Boot проверяет подписи UEFI и загрузочных компонентов и блокирует запуск того, что не доверено. TPM 2.0 хранит ключи и фиксирует измерения загрузки (Measured Boot): система записывает, что именно было загружено, и эти данные можно использовать для контроля целостности.

Важно понимать границы защиты. Secure Boot и TPM не спасают от слабых паролей, уязвимостей в самом гипервизоре, неправильных прав в виртуалках или кражи бэкапов. Они про "честный старт" узла и цепочку доверия.

Гипервизор чаще всего перестает грузиться после включения защиты по простой причине: часть компонентов не подписана ожидаемыми ключами, включен Legacy/CSM, используется старый загрузчик, или в цепочке есть драйвер или модуль, который раньше незаметно подгружался. В кластерах это особенно болезненно: один узел уходит в ремонтный режим, а за ним могут посыпаться зависимости.

Признаки, что проблема именно в Secure Boot (а не в диске или RAID), обычно такие:

после включения Secure Boot появляется сообщение про подпись или Verification failed
узел возвращается в UEFI Setup или Boot Manager без загрузки
диск виден в UEFI, но загрузочная запись не стартует
один и тот же образ запускается при отключении Secure Boot

Это особенно важно для виртуализации, удаленных площадок и отраслей с повышенными требованиями: госструктуры, финсектор, медицина, образование. В таких средах сервер должен быть предсказуемым при перезагрузке и проверяемым по политике. На практике проще, когда оборудование поставляется и обслуживается локально, а профиль UEFI настраивается единообразно (например, в проектах на базе серверов GSE).

Как работает цепочка доверия

Сервер должен запускать только то, что вы разрешили, и уметь доказать, что он действительно загрузился "правильно". Secure Boot отвечает за запрет неподписанного кода, а TPM помогает зафиксировать, что именно было загружено.

UEFI хранит набор доверенных ключей и сертификатов. Когда включен Secure Boot, UEFI проверяет подпись каждого важного компонента на старте: сначала загрузчика, затем следующего этапа (например, менеджера загрузки или ядра). Если подпись неизвестна или файл изменен, загрузка останавливается. Практический смысл простой: исключить незаметную подмену ранних загрузочных компонентов.

TPM 2.0 удобно представлять как "сейф и журнал":

"сейф" хранит секреты так, чтобы их нельзя было просто вытащить с диска (например, ключи шифрования)
"журнал" записывает измерения загрузки: хеши того, что запускалось, в регистры PCR

Secure Boot блокирует запуск, если компонент не проходит проверку подписи. Measured Boot обычно ничего не блокирует, он измеряет и записывает факты о загрузке в TPM. В итоге вы получаете два уровня контроля: "не запускать лишнее" и "уметь проверить, что запускалось" (локально или через аттестацию в инфраструктуре).

Для гипервизора критична вся цепочка, а не один файл. В проверку или измерение обычно попадают загрузчик, образ или ядро гипервизора, ранние драйверы и модули, а иногда и initramfs.

Подготовка перед изменениями: что проверить и зафиксировать

Относитесь к включению Secure Boot и TPM как к изменению загрузочной схемы. Большинство проблем возникает не из-за самих функций защиты, а из-за старой установки в Legacy-режиме или нестандартного загрузчика.

Сначала уточните точную модель сервера и версии UEFI/BIOS (и BMC, если есть). Для стойковых серверов полезно заранее проверить, нет ли рекомендаций производителя по обновлению прошивок перед включением Secure Boot. Обновлять прошивку в последний момент рискованно, но знать текущие версии обязательно.

Критический пункт - режим загрузки. Убедитесь, что гипервизор установлен и загружается в UEFI, а не в Legacy/CSM. Если система ставилась давно, диск может быть размечен под BIOS-загрузку, и тогда включение Secure Boot закончится возвратом в UEFI.

Перед любыми изменениями зафиксируйте текущее состояние, чтобы было с чем сравнить и куда откатываться:

режим загрузки (UEFI или Legacy/CSM) и текущее состояние Secure Boot
порядок загрузки (Boot Order) и выбранная запись
режим контроллера и загрузочного тома (RAID/HBA и какой массив является boot)
состояние TPM (включен или выключен, TPM 2.0, потребуется ли очистка)
параметры, влияющие на старт (например, PXE первым)

Дальше подготовьте доступ на случай, если сеть не поднимется: консоль (локально или через BMC/iKVM), проверенный ISO или загрузочный носитель для восстановления, и окно обслуживания с понятным планом отката.

Где в UEFI находятся нужные параметры (и что они значат)

В большинстве серверов нужные пункты лежат рядом, но называются по-разному. Secure Boot обычно в разделах Security или Boot, а TPM - в Security, Trusted Computing или Advanced.

Secure Boot: переключатель и режим ключей

Помимо состояния Secure Boot (Enabled/Disabled) часто есть режим Standard или Custom.

Standard означает заводские ключи: обычно достаточно включить Secure Boot и не трогать управление ключами. Custom открывает ручное управление и нужен только если вы действительно строите собственную цепочку доверия.

Ключи обычно представлены как:

PK (Platform Key) - главный ключ платформы, определяет, кто может менять правила Secure Boot
KEK (Key Exchange Key) - ключи для обновления баз доверия
DB (Allowed Signatures Database) - доверенные подписи
DBX (Revoked Signatures Database) - отозванные подписи, которые блокируются

Практический риск простой: если очистить PK/KEK/DB, прошивка перестанет доверять загрузчику гипервизора. DBX тоже важен: он защищает от известных уязвимых загрузчиков, но после обновления DBX может внезапно перестать стартовать старый образ.

TPM 2.0: включение и состояние

TPM обычно имеет два уровня: включен и активирован. Ищите параметры вроде TPM Device/TPM Support, TPM Version (2.0) и статус Enabled/Activated (иногда еще Clear).

Clear сбрасывает состояние TPM и может повлиять на шифрование и привязанные к TPM секреты. Его не нажимают без четкого понимания последствий и плана восстановления.

Настройки, которые чаще всего ломают загрузку

Secure Boot тесно связан с режимом загрузки и ROM-модулями:

CSM (Compatibility Support Module): для Secure Boot почти всегда нужен чистый UEFI
PXE/Network Boot: сетевой старт должен быть UEFI-совместимым, иначе узел может зависнуть на попытке PXE
Option ROM Policy: выбирайте UEFI ROM, если есть выбор; Legacy ROM у некоторых карт конфликтует с Secure Boot

Если вы собираете серверы под кластер, заранее фиксируйте, где лежат эти пункты в конкретной модели, и делайте одинаковые профили настроек. Это экономит время, когда нужно включить защиту на всех хостах без сюрпризов.

Пошагово: как включить TPM и Secure Boot без долгого простоя

Инфраструктура ЦОД и ПО под ключ

Соберем инфраструктуру ЦОД под ваши задачи и совместим с ПО ведущих вендоров.

Начать

Логика безопасной последовательности такая: сначала включайте то, что почти никогда не ломает загрузку (TPM), и только потом то, что может заблокировать неподписанный загрузчик (Secure Boot).

Проверьте, что узел уже в UEFI, а CSM выключен. Если сейчас Legacy, сначала планируйте переход в UEFI как отдельную задачу.
Включите TPM 2.0 (или Intel PTT/AMD fTPM), сохраните настройки и перезагрузите. Убедитесь, что гипервизор стартует как обычно.
Убедитесь, что ваш гипервизор и его загрузчик совместимы с Secure Boot. Если используются кастомные драйверы, старые ISO или нестандартный загрузчик, лучше проверить на тестовом узле.
Включите Secure Boot и начните со Standard/Default (заводские ключи), без ручной замены ключей.

После первого успешного старта зафиксируйте, что именно включили, какие параметры поменялись и какие сообщения появились в логах гипервизора и BMC.

Полезная финальная настройка: сократить варианты загрузки до реально нужных. Лишние пункты (PXE, USB, виртуальные приводы) не всегда ломают Secure Boot напрямую, но часто создают путаницу после обновлений и перезагрузок.

Проверки после включения: что должно быть "зеленым"

Узел должен не просто загрузиться, а загрузиться стабильно и без обходных путей.

Проверьте три вещи:

Secure Boot включен и система действительно грузится в UEFI
TPM определяется как TPM 2.0 и находится в ожидаемом состоянии (Enabled/Activated; если "present but not ready" - это сигнал разобраться, а не паника)
в UEFI Boot Manager первым стоит правильный EFI-загрузчик с системного диска, и запись сохраняется после нескольких перезагрузок

Затем закройте очевидные обходы, особенно если сервер обслуживают разные люди:

загрузка с USB отключена или защищена паролем администратора
PXE отключен или настроен так, чтобы не подменять загрузчик
настройки UEFI защищены паролем

После обновлений гипервизора или прошивок эти проверки стоит повторять. Иногда проблема проявляется не сразу, а на следующей перезагрузке.

Частые ошибки, которые приводят к черному экрану

Черный экран после включения защиты почти всегда означает не "сломался сервер", а "изменились правила загрузки".

Самая частая причина - смешение Legacy и UEFI. Старый хост мог быть установлен в Legacy-режиме или с загрузчиком без подписей. После перехода в UEFI и включения Secure Boot прошивка блокирует неподписанный компонент и вы видите возврат в меню Boot или пустой экран.

Вторая типовая причина - ручная работа с ключами в Custom. Удалили заводские PK/KEK/DB или заменили их без подготовленного плана восстановления, и прошивка перестала доверять даже корректному гипервизору.

Третья ошибка - менять все сразу: включить Secure Boot, обновить BIOS/UEFI и параллельно обновить гипервизор. Если что-то пошло не так, непонятно, какой шаг виноват.

Наконец, не забывайте про ранние драйверы: storage и сетевые модули, iSCSI/NVMe-oF, RAID/HBA. Если они не подписаны или не совместимы с политикой Secure Boot, загрузка может оборваться очень рано.

С TPM ошибки бывают опаснее, чем просто "не загрузилось". Если сделать TPM Clear на узле с шифрованием или секретами, привязанными к TPM, можно потерять доступ к данным.

Если гипервизор не стартует: безопасный план отката

Интеграция под защищенную виртуализацию

Спроектируем виртуализацию и инфраструктуру с учетом Secure Boot, TPM и удаленной консоли.

Обсудить

Не делайте резких сбросов и не меняйте сразу десять настроек. Чаще всего помогает спокойная проверка базовых вещей.

Зайдите в UEFI и убедитесь, что режим загрузки тот же, что и при установке гипервизора (UEFI vs Legacy/CSM), и что в Boot Order первым стоит правильная запись (UEFI: <диск> или конкретный EFI Boot Manager).
Временно отключите Secure Boot, а TPM оставьте включенным. Это быстро отделяет проблему подписи от других причин.
Если узел загрузился без Secure Boot, вернитесь в UEFI и проверьте режим ключей. Если вы трогали ключи, используйте опцию вроде Enroll/Restore default keys вместо ручной правки, затем снова включите Secure Boot.
Если не стартует даже без Secure Boot, возвращайтесь к базовой диагностике: правильный диск, правильная UEFI-запись, не отключен ли контроллер или том.

После каждого изменения делайте одну попытку загрузки и фиксируйте результат.

План B - загрузка в rescue/maintenance среду и восстановление EFI-записей. Обычно помогает пересоздать запись загрузчика в EFI-разделе и переустановить загрузчик гипервизора (ESXi/Hyper-V/Linux KVM). Не форматируйте EFI-раздел наугад: сначала проверьте, нет ли второй рабочей копии.

Чек-лист перед сдачей узла в эксплуатацию

Перед тем как возвращать сервер в пул, пройдитесь по короткой проверке:

узел грузится в UEFI, CSM выключен
TPM включен как TPM 2.0 и определяется системой без предупреждений
Secure Boot включен, ключи в Standard (или кастомный набор задокументирован)
есть доступ к удаленной консоли и понятный способ вернуть настройки UEFI назад
гипервизор успешно загрузился после перезагрузки минимум 2 раза

Отдельно зафиксируйте "эталон": модель сервера, версии BIOS/UEFI и BMC, режим загрузки, статус Secure Boot и TPM, порядок загрузки и список разрешенных загрузочных устройств. Это сильно помогает и при аудите, и при разборе инцидентов.

Пример из жизни: включаем защиту на кластере без сюрпризов

Стандартизировать UEFI для кластера

Согласуем единые настройки UEFI и порядок включения защиты на всех узлах.

Обсудить

Кластер виртуализации из трех узлов, железо одинаковое. На одном хосте админ заранее обновил прошивку и сразу включил Secure Boot, два других оставил как есть.

После включения Secure Boot узел ушел в перезагрузку и больше не поднялся: черный экран и только вход в UEFI. Внешне это выглядело как "сломалась система", а по факту разъехалась цепочка загрузки.

Диагностика заняла меньше часа, потому что проверяли по порядку:

убедились, что загрузка реально в UEFI, а не в Legacy/CSM
сверили Boot Order: после обновления прошивки первым стал не тот диск
проверили Secure Boot ключи: включен режим, где ключи не установлены (Secure Boot включен, но доверять нечему)
временно отключили Secure Boot, загрузились, зафиксировали состояние и повторили включение уже корректно

На остальных двух узлах изменения разделили на шаги: прошивка и проверка, затем TPM и проверка, затем Secure Boot с установленными ключами. После каждого шага - перезагрузка и быстрые проверки.

Следующие шаги: стандартизируем и масштабируем настройку

Когда защита заработала на одном узле, главный риск дальше - ручные отличия между серверами: на одном включили Custom, на другом оставили Standard, на третьем кто-то поменял ключи. Потом любое обновление превращается в лотерею.

Сведите настройку к нескольким понятным правилам и закрепите их как внутренний стандарт: только UEFI без CSM, единая политика Secure Boot (режим и кто имеет право менять ключи), раздельные окна изменений (прошивки отдельно, Secure Boot отдельно), и включение по одному узлу в кластере.

Если вы планируете внедрение под ключ, имеет смысл заранее обсудить единый профиль UEFI и порядок проверок с интегратором. В проектах с оборудованием GSE.kz (gse.kz) такой подход обычно помогает сразу получить одинаковые настройки на партии серверов и меньше тратить время на поиск "особенностей" каждого узла в эксплуатации.