Gemessene Boot-Zusatzpaket

Das HASH (0x2c1a078) Measured Boot Supplemental Pack ermöglicht es Kunden, Schlüsselkomponenten ihrer HASH (0x2c1a078) Hosts zum Booten zu messen. Es bietet auch APIs, mit denen Remote-Bescheinigungslösungen diese Messungen sicher erfassen können. Dieses Zusatzpaket ist mit Intel-Computersystemen kompatibel, die Trusted Execution Technology (TXT) unterstützen.

Dieses Ergänzungspaket steht auf derHASH (0x2c1a078) HASH (0x2e72eb8)Seite zum Download zur Verfügung.

Hinweis:

Das gemessene Boot Supplemental Pack ist für HASH (0x2c1a078) HASH (0x2e72eb8) -Kunden oder Kunden verfügbar, die über ihre Citrix Virtual Apps und Desktops Zugriff auf HASH (0x2c1a078) haben.

Hintergrund

Nach der Installation dieses Supplemental Packs, wenn ein HASH (0x2e68218) Server als nächstes gestartet wird, nimmt Intels TXT Messungen von Low-Level-Systemkomponenten (wie Firmware, BIOS, Xen-Hypervisor, dom0-Kernel und dom0 initrd) und speichert sie an einem sicheren Speicherort auf dem Host, der als vertrauenswürdige Plattformmodul (TPM). Für Kunden wird eine neue Schnittstelle bereitgestellt, z. B. eine Remote-Bescheinigungslösung, um diese Messungen sicher zu erfassen.

Fernbescheinigung

Remote Attestation Lösungen arbeiten, indem eine Verbindung zu einem HASH (0x2e68218) Server hergestellt wird, der sich in einem „bekannten“ sauberen Zustand befindet. Er kann das TPM des HASH-Servers (0x2e68218) remote und sicher nach einer Liste von Low-Level-Schlüsselsystemmessungen abfragen. Es speichert diese Messungen in einer ‘White-Liste’ oder ‘bekannt gut’ Messliste.

An dieser Stelle sammelt die Remote-Bescheinigungssoftware regelmäßig wichtige Systemmessungen und vergleicht sie mit ihrer „bekannten“ Liste.

Ein Host wird in den folgenden Fällen als „nicht vertrauenswürdig“ angesehen:

  • Wenn die Remote-Bescheinigungssoftware nicht in der Lage ist, die Messungen zu erfassen
  • Wenn sich die Messungen ändern
  • Wenn die kryptografischen Schlüssel ungültig sind

In diesem Fall wird der Kunde benachrichtigt. Hochrangige Orchestrierungssoftware wie CloudStack, OpenStack oder Workload Balancing Software können intelligente Sicherheitsvorgänge auf den betroffenen Hosts durchführen.

Bereiten Sie den HASH (0x2e68218) -Server vor

Damit dieses Supplemental Pack ordnungsgemäß funktioniert, bearbeiten Sie vor dem Versuch, Daten zu sammeln, die folgenden Einstellungen im BIOS des Hosts:

  1. Richten Sie den HASH-Server (0x2e68218) so ein, dass er im Legacymodus gestartet wird.

    Hinweis:

    Der UEFI-Boot-Modus wird beim gemessenen Booten nicht unterstützt.

  2. Aktivieren Sie Intel AES-NI.

  3. Schalten Sie TPM Security oder On mit Messungen vor dem Start ein.

  4. Löschen Sie das TPM.

    Diese Aktion löscht alle vorherigen Einstellungen und Kennwörter, die mit dem TPM verknüpft sind, damit das HASH (0x2c1a078) Gemessene Boot Supplemental Pack die Kontrolle über das TPM übernehmen kann.

    Hinweis:

    Nach diesem Schritt ist ein Neustart erforderlich.

  5. TPMaktivieren.

  6. Aktivieren Sie Intel TXT.

Hinweis:

  • Nach Schritt 5 und Schritt 6 ist ein Neustart erforderlich.
  • Die BIOS-Einstellungen variieren je nach Hardwarehersteller. In der Hardwaredokumentation erfahren Sie, wie Sie TPM und TXT für ihre spezifische Umgebung aktivieren.

Installieren Sie das Supplemental Pack

Verwenden Sie die HASH (0x2c1a078) CLI, um dieses Supplemental Pack zu installieren. Wie bei jedem Software-Update empfehlen wir Ihnen, Ihre Daten zu sichern, bevor Sie dieses Zusatzpaket anwenden.

Supplemental Packs können innerhalb einer Zip -Datei übertragen werden. Wenn das Supplemental Pack ISO in einer ZIP-Datei enthalten ist, entpacken Sie diese ZIP-Datei (um das ISO-Image der Festplatte zu erzeugen), bevor Sie die folgenden Schritte ausführen.

Installation auf einem laufenden HASH (0x2c1a078) System

  1. Laden Sie das Supplemental Pack direkt auf den zu aktualisierenden HASH-Host (0x2c1a078) herunter.

    Wir empfehlen, es im/tmp/ Verzeichnis zu speichern.

    Alternativ können Sie die Datei auf einen mit dem Internet verbundenen Computer herunterladen und das ISO-Image auf eine CD brennen.

  2. Verwenden Sie HASH (0x2e6c8e8), um auf die Konsole des HASH-Hosts (0x2c1a078) zuzugreifen, oder verwenden Sie Secure Shell (SSH), um sich direkt anzumelden.

  3. Die einfachste Methode besteht darin, direkt aus der ISO-Datei zu installieren. Geben Sie Folgendes ein:

    xe-install-supplemental-pack /tmp/HASH(0x2c1a078)--measured-boot.iso
    

    Wenn Sie das ISO auf eine CD brennen möchten, müssen Sie den Datenträger auch mounten. Geben Sie beispielsweise für eine CD-ROM Folgendes ein:

        mkdir -p /mnt/tmp
        mount /dev/<path to cd-rom> /mnt/tmp
        cd /mnt/tmp/
        ./install.sh
        cd /
        umount /mnt/tmp
    
  4. Damit die Änderungen wirksam werden, starten Sie Ihren Host neu.

Neuinstallation

Wenn Sie dieses Supplemental Pack zusätzlich zu einer früheren Version installieren, bestätigen Sie das Überschreiben der vorherigen Installation. Geben Sie einY , wenn Sie während derxe-install-supplemental-pack Installation aufgefordert werden.

Standardkennwort aktualisieren

In früheren Versionen des Zusatzpakets wurde das Standardkennwortxenroot mit einem abschließenden Zeilenumbruch auf festgelegt. Dieser nachfolgende Zeilenumbruch wurde für das Standardkennwort in dieser Version des Zusatzpakets entfernt, wobei das neue Standardkennwort lautetxenroot.

Ein benutzerdefiniertes Kennwort kann festgelegt werden/opt/xensource/tpm/config und muss ein sha1-Hash eines Nur-Text-Kennworts sein, das mit generiert werden kannecho -n <password | sha1sum . Wenn in dieser Befehlszeile weggelassen-n wird, ist ein nachgestellter Zeilenumbruch im Kennwort enthalten.

Asset-Tags festlegen

Asset-Tags können mit der/opt/xensource/tpm/xentpm Binärdatei mit den--tpm_set_asset_tag Methoden--tpm_clear_asset_tag und festgelegt werden, oder auch mit dem Management-APItpm -Plug-In mit demtpm_set_asset_tag (ein ‘tag’ -Argument) undtpm_clear_asset_tag Funktionen:

    /opt/xensource/tpm/xentpm --tpm_set_asset_tag <tag_sha1>
    /opt/xensource/tpm/xentpm --tpm_clear_asset_tag
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_set_asset_tag args:tag=<tag_sha1>
    xe host-call-plugin uuid=<host_uuid> plugin=tpm fn=tpm_clear_asset_tag

Hinweis:

Nach diesem Schritt ist ein Neustart erforderlich.

Weitere Informationen

Informationen zum Herunterladen des Zusatzpakets für gemessene Boot finden SieHASH (0x2c1a078) HASH (0x2e72eb8)auf der Seite.

Wenn Sie Schwierigkeiten bei der Installation dieses Supplemental Pack haben, wenden Sie sich bitte anTechnischer Support von Citrix.

HASH (0x2c1a078) Dokumentation finden SieCitrix Produktdokumentationauf der Website.