この本で Windows Server 2012 の機能をざっくり勉強した。

記憶域プール機能 (ストレージプール機能)、プロビジョニング、ReFS などのディスクまわりを重点的に読んだ。
ディスク故障時の再構成を自動的におこなうようになったのは便利。

Hyper-V のライブマイグレーションの要件が緩和されたのも嬉しい。

ありがたいことに、Windows Server 2012 では Standard Edition でも全機能が使えるので、検証用環境が作りやすくなるぞ。

Standard でも仮想インスタンスが 2ライセンス OK なので、
1ライセンスあれば Hyper-V を使って 2台分の環境が構築できる。
(p.281 によれば、ホストも含めて 3台分として使うことはできない)

その他参考リンク。
http://technet.microsoft.com/ja-JP/evalcenter/hh708766.aspx
http://channel9.msdn.com/Events/TechEd/NorthAmerica/2012

目次

はじめに
第1章 Windows Server 2012の基礎知識
第2章 Windows Server 2012のセットアップ
第3章 ユーザーの登録と管理
第4章 サーバーのディスク管理
第5章 ハードウェアの管理
第6章 アクセス権の管理とサーバーの運用
第7章 ネットワーク経由のファイルやプリンターの共有
第8章 ネットワーク経由のサーバー管理
第9章 インターネットサービスの設定
第10章 Hyper-Vのセットアップ
第11章 Active Directoryのセットアップ
索引

新しい PC を物色するなかで、Linux が起動できるのか気になるので、UEFI Secure Boot について調べている。
セキュリティでよくある、安全性と利便性のトレードオフの話ではあるのだけど、今回は場合によっては Linux が全く起動しなくなるので話が重い。
まだ勉強中だけど、調べたことを順次まとめていく。

• 仕様
  • http://www.uefi.org/specs/
  • http://www.uefi.org/learning_center/

• 実装
  • Insyde H2O
    • http://www.insydesw.com/products
  • AMI Aptio
    • http://www.ami.com/Products/BIOSandEFIFirmware/Aptio/
  • Phoenix SecureCore? Tiano
    • http://www.phoenix.com/pages/phoenix-securecore-tiano-tm

UEFI Secure Boot は Windows 8 世代の PC から搭載されている機能。

http://windows.microsoft.com/ja-JP/windows-8/system-requirements

セキュア ブートには、UEFI v2.3.1 Errata B をサポートし、UEFI 署名データベースに Microsoft Windows 証明機関が含まれているファームウェアが必要です

この機能が有効になっていると、PC で Windows 8 以外の OS (Windows XP や Linux など) が起動できないのだが、
"Designed for Windows 8" シールが貼ってある PC では工場出荷状態で有効になっている機能なので、
このままだと今後の PC では Linux が標準で起動できなくなるという、恐ろしい話。

https://sysdev.microsoft.com/ja-JP/Hardware/LPL/
http://download.microsoft.com/download/A/D/F/ADF5BEDE-C0FB-4CC0-A3E1-B38093F50BA1/windows8-hardware-cert-requirements-system.pdf

System.Fundamentals.Firmware.UEFISecureBoot
Target Feature: System.Fundamentals.Firmware
Title: All client systems must support UEFI Secure boot
Applicable OS Versions
・Windows 8 (x86)
・Windows 8 (x64)
・Windows RT
・Windows Server 2012
Description
Note: These requirements are "If Implemented" for Server systems and apply only if a Server system supports UEFI Secure Boot.
1. Mandatory. For the purposes of UEFI Secure Boot, the platform shall expose an interface to Secure Boot, whereby the system firmware is compliant with the following sections and sub-sections of UEFI version 2.3.1 Errata B:
a. 7.1
b. 7.2
c. 7.2.1
d. 27.2
e. 27.5 - 27.8 (as further profiled below).
2. Mandatory. Secure Boot must ship enabled Configure UEFI Version 2.3.1 Errata B variables SecureBoot=1 and SetupMode=0 with a signature database (EFI_IMAGE_SECURITY_DATABASE) necessary to boot the machine securely pre-provisioned, and include a PK that is set and a valid KEK database. The system uses this database to verify that only trusted code (for example: trusted signed boot loader) is initialized, and that any unsigned image or an image that is signed by an unauthorized publisher does not execute. The contents of the signature database is determined by the OEM, based on the required native and third-party UEFI drivers, respective recovery needs, and the OS Boot Loader installed on the machine. The following Microsoft-provided EFI_CERT_X509 signature shall be included in the signature database: "CN=Microsoft Windows Production PCA 2011" and "Cert Hash(sha1): 58 0a 6f 4c c4 e4 b6 69 b9 eb dc 1b 2b 3e 08 7b 80 d0 67 8d" which shall use the following SignatureOwner GUID: {77fa9abd-0359-4d32-bd60-28f4e78f784b}, must also be included in the form of either an EFI_CERT_X509_GUID or EFI_CERT_RSA2048_GUID type.
Note: Must NOT contain the following certificate: "CN=Microsoft Windows PCA 2010" and "Cert Hash(sha1): c0 13 86 a9 07 49 64 04 f2 76 c3 c1 85 3a bf 4a 52 74 af 88"
Note II: Windows Server systems may ship with Secure Boot disabled, but all other provisions of this sub-requirement must be met

とはいえ、この機能は UEFI の設定で無効にできる (PC メーカーの実装次第) ので、今後の PC で Linux が全く使えなくなるというわけでもない。
http://blogs.msdn.com/b/b8/archive/2011/09/22/protecting-the-pre-os-environment-with-uefi.aspx

Who is in control?

At the end of the day, the customer is in control of their PC. Microsoft’s philosophy is to provide customers with the best experience first, and allow them to make decisions themselves. We work with our OEM ecosystem to provide customers with this flexibility. The security that UEFI has to offer with secure boot means that most customers will have their systems protected against boot loader attacks. For the enthusiast who wants to run older operating systems, the option is there to allow you to make that decision.

http://blog.canonical.com/2011/10/28/white-paper-secure-boot-impact-on-linux/

we recommend that PCs include a User Interface to easily enable or disable Secure Boot and allow the user to chose to change their operating system.

だけど、Secure Boot を無効にすると、今度は Windows 8 が起動できなくなるケースがあるらしい (僕が実機で確かめた範囲ではそのようなことは無かったので、情報あれば教えてください)。

つまり、(上記の情報が正しいなら) Windows 8 と Linux のデュアルブートをするには、Linux でも出荷状態の Secure Boot に対応する必要があることになる。
(デュアルブートにしなくても、仮想化で動かせばいいじゃん、という話は脇に置いておく)

(ひょっとすると、Windows 8 が起動しなくなるというのは、鍵を変更した場合の話なのかもしれない。)

http://mjg59.dreamwidth.org/12368.html

A system in custom mode should allow you to delete all existing keys and replace them with your own. After that it's just a matter of re-signing the Fedora bootloader (like I said, we'll be providing tools and documentation for that) and you'll have a computer that will boot Fedora but which will refuse to boot any Microsoft code.

Secure Boot への対応は The Linux Foundation, Ubuntu, RedHat/Fedora, SUSE 等が各々の方法で進めているようだけど、どれもまだ進行中のもよう。

The Linux Foundation はマイクロソフトの署名サービスを使って pre-bootloader を署名してもらっている。
pre-bootloader で UEFI Secure Boot をパスした後、通常の bootloader で起動しよう、というアプローチらしい。
この試みがうまくいけば、サイトで pre-bootloader を公開してもらえるので、全ての Linux ディストリビューションに恩恵がありそう。

http://www.linuxfoundation.org/news-media/blogs/browse/2012/10/linux-foundation-uefi-secure-boot-system-open-source

The process of obtaining a Microsoft signature will take a while, but once it is complete, the pre-bootloader will be placed on the Linux Foundation website for anyone to download and make use of.

http://www.linuxfoundation.jp/content/jp_linux-foundation-uefi-secure-boot-system-open-source

Microsoft の署名を取得するまで少し時間がかかりますが、それさえ完了すれば、プリブートローダーは The Linux Foundation の Web サイトに置かれ、だれでもダウンロードして使うことができます。

だけど、マイクロソフトの手続き待ちで進んでいないみたい。

http://www.zdnet.com/linux-foundation-uefi-secure-boot-key-for-windows-8-pcs-delays-explained-7000007841/

We’re still waiting for Microsoft to give the Linux Foundation a validly signed pre-bootloader.

Ubuntu はマイクロソフトではなく Canonical の鍵を使ってブートローダーに署名していく方針。
PC メーカー (OEM/ODM) に鍵の搭載を働きかけていて、Ubuntu プリインストールな PC では Secure Boot が使えるようになるということらしい。

http://blog.canonical.com/2012/06/22/an-update-on-ubuntu-and-secure-boot/

Canonical has generated an Ubuntu key, and we are in active discussions with partners to implement simple ways for enterprises and consumers to use this key. These conversations have not concluded, and as a result we cannot detail the plans of our OEM partners yet.

ただし、インストール CD では、やはりマイクロソフトの鍵を使うとのこと。

https://lists.ubuntu.com/archives/ubuntu-devel/2012-June/035445.html

Booting our CDs will rely on a loader image signed by Microsoft's
WinQual key, for much the same reasons as Fedora: it's a key that,
realistically, more or less every off-the-shelf system is going to have,
as it also signs things like option ROMs, and the UEFI specification
only allows an image to be signed by a single key.

RedHat/Fedora の中の人の考えでも、マイクロソフトに署名してもらうのが現実的だという結論。

http://mjg59.dreamwidth.org/12368.html

The last option wasn't hugely attractive, but is probably the least worst. Microsoft will be offering signing services through their sysdev portal. It's not entirely free (there's a one-off $99 fee to gain access edit: The $99 goes to Verisign, not Microsoft - further edit: once paid you can sign as many binaries as you want), but it's cheaper than any realistic alternative would have been. It ensures compatibility with as wide a range of hardware as possible and it avoids Fedora having any special privileges over other Linux distributions. If there are better options then we haven't found them. So, in all probability, this is the approach we'll take. Our first stage bootloader will be signed with a Microsoft key.

http://www.zdnet.com/blog/open-source/linus-torvalds-on-windows-8-uefi-and-fedora/11187

What Fedora ended up doing was using Microsoft's secure boot key signing services through their sysdev portal for one-off $99 fee.

Debian 陣営は DebConf 12 の時点では何も決まらず、来年の Wheezy までには決めようということらしい。

http://www.phoronix.com/scan.php?page=news_item&px=MTEzNjU

While this work was discussed, nothing genuinely new was brought up during the 45-minute discussion. It's still not decided what approach Debian will ultimately support whether it's like Fedora using GRUB2 and singing the entire stack, Ubuntu using efilinux and only signing the low-level bits, or some entirely new approach for handling EFI/SecureBoot. However, something has to be decided for Debian 7.0 "Wheezy" seeing as when it ships early next year there will be a number of motherboards and PCs shipping with this headache-inducing technology.

それぞれ色々な動きはあるのだけど、まだ活動中で決定版的なアプローチは決まっていない。

Linux なので、複数のアプローチが共存していくことになるとは思うが、
さすがに、PC メーカーが Canonical などの Linux 用の鍵を全ての PC に搭載するモチベーションは低いはず。
(Dell が Ubuntu モデルを出したりしているので、一部 PC には搭載されるかもしれない)

実質的に、今後の全ての PC に搭載されるのはマイクロソフトの鍵だけなので、
Secure Boot が有効な PC に対応するためには、
どこかでマイクロソフトの署名が必要となるのが現実かな。

マイクロソフトの署名サービス (有償) を使って自分のモジュールに署名してもらうことができるかもしれないけど、
The Linux Foundation が待たされているようなので、個人で手続きしてスムーズに進むとは思えない。
(The Linux Foundation だから待たされているという可能性もあるので、やってみる価値はあるかもしれない)

http://sysdev.microsoft.com/
http://msdn.microsoft.com/en-us/library/windows/hardware/gg463091.aspx

というわけで、まだまだ調査中。

SUSE の MOK を使う考え方や、shim についても、そのうちまとめてみる。
http://mjg59.dreamwidth.org/17542.html
http://mjg59.dreamwidth.org/20303.html
https://www.suse.com/blogs/uefi-secure-boot-details/

• Windows Server 2012 がリリースされた今となっては古い部分もあるかもしれないが、仮想化に関して総合的な情報を提供しており、十分参考になる内容だった。
• 文章は平易に努めて書かれている。
  • たとえば、ハイパーバイザー型であってもホストと表現する理由などが説明されている。
  • Hyper-V のハイパーバイザーの exe ファイルはどこにあるのかなど、他の Hyper-V 本を読んで気になっていた事が説明されているのも嬉しかった。
  • VMBus がデバイスマネージャーの画面キャプチャとともに説明されている。
  • Windows 7 に統合サービスが組み込み済みであることを、ダイアログの画面キャプチャまで使って説明。
  • 接続がうまくできない場合のキャプチャ画像など、各画面について細かく掲載されているのも助かる。
• Linux の仮想マシンについても、SUSE と RHEL で解説されている。
• 仮想マシンのフェールオーバーにはリセットをともなうことなど、誤解しがちな部分も説明されている。

700ページある書籍だが、親切にまとめられているので、Windows Server 管理者なら持っておいて損はないはず。

ただし、ネットワーク基盤となる Active Directory, DNS, DHCP, 証明書(PKI) 等に関しては詳しく説明されていないので注意が必要。

また、Windows Server の仮想化に関してかなり包括的な内容ではあるが、サーバーのサイジングや、RD セッションホストの IP の仮想化機能など、説明されていない内容もある。

目次

序文
本書について

第1章　はじめに ― 仮想化とは
第2章　サーバーの仮想化 ― Hyper-V
第3章　プレゼンテーションの仮想化 ― リモートデスクトップサービス（RDS）
第4章　デスクトップの仮想化 ― Windows Virtual PC
第5章　デスクトップの仮想化 ― Microsoft Enterprise Desktop Virtualization（MED-V）
第6章　デスクトップの仮想化 ― Microsoft VDI
第7章　アプリケーションの仮想化 ― Microsoft Application Virtualization（App-V）
第8章　ストレージの仮想化 ― Virtual Hard Disk（VHD）
第9章　仮想化の管理 ― System Center

付録A　基本のネットワーク基盤の作り方
付録B　Mini-Setup自動化のための応答ファイルのサンプル

あとがき
索引

ちなみに、こちらは無料で入手可能。

• Understanding Microsoft Virtualization Solutions
  • http://blogs.msdn.com/b/microsoft_press/archive/2010/02/16/free-ebook-understanding-microsoft-virtualization-r2-solutions.aspx
  • http://download.microsoft.com/download/5/B/4/5B46A838-67BB-4F7C-92CB-EABCA285DFDD/693821ebook.pdf