S'applique À : WatchGuard Advanced EPDR, WatchGuard EPDR, WatchGuard EDR, WatchGuard EPP, WatchGuard EDR Core
Certaines distributions Linux détectent quand le Démarrage Sécurisé (Secure Boot) est activé sur un ordinateur. Lorsque le Démarrage Sécurisé (Secure Boot) est activé, le logiciel WatchGuard Endpoint Security qui n'est pas correctement signé est automatiquement désactivé.
Le Démarrage Sécurisé (Secure Boot) est détecté lors de l'installation du logiciel, ou plus tard, si la distribution ne prenait pas initialement en charge cette fonctionnalité mais qu'elle a été ajoutée dans une mise à jour ultérieure. Dans les deux cas, l’interface de gestion affiche une erreur et le logiciel du endpoint ne s’exécute pas.
Pour résoudre les erreurs de protection liées au Démarrage Sécurisé (Secure Boot) à partir de l'ordinateur rencontrant le problème, assurez-vous que votre système répond à ces exigences et suivez les étapes pour résoudre les erreurs.
Exigences du Système
- DKMS : packages mokutil et openssl.
- Oracle Linux 7.x/8.x avec noyau UEKR6 : référentiel ol7_optional_latest activé et packages openssl, keyutils, mokutil, pesign, kernel-uek-devel-$(uanme -r).
Résoudre les Erreurs de Protection
- Vérifiez l'état du Démarrage Sécurisé (Secure Boot) :
$ mokutil --sb-state
Démarrage Sécurisé (Secure Boot) activé. - Vérifiez que le pilote n'est pas chargé :
$ lsmod | grep prot - Importez les clés de protection :
$ sudo /usr/src/protection-agent-version/scripts/sb_import_key.sh
L'agent et la protection ont ce format : protection-agent-03.01.00.0001-1.5.0_741_g8e14e52 (le nom varie selon la version et le pilote)
Un message apparaît pour expliquer les implications du Démarrage Sécurisé (Secure Boot). - Appuyez sur C pour enregistrer le certificat utilisé pour signer les modules.
- Saisissez un mot de passe à 8 caractères :
- Redémarrez l'ordinateur et terminez le processus d'enregistrement.
S'il s'agit d'une machine virtuelle, utilisez l'hyperviseur. - Pour démarrer le processus d’inscription, appuyez sur n’importe quelle touche.
Cet écran s'affiche pendant une durée limitée. Si vous n'appuyez sur aucune touche, vous devez redémarrer le processus d'inscription. - Sélectionnez Inscrire MOK.
- Pour afficher les clés qui vont être enregistrées, sélectionnez Afficher la clé.
- Confirmez que les clés appartiennent à la protection WatchGuard Endpoint Security. Sélectionnez Continuer pour poursuivre le processus d'inscription.
- Lorsque vous êtes invité à Enregistrer la clé, sélectionnez Oui.
- Saisissez le mot de passe créé précédemment.
- Sélectionnez Redémarrer.
-
Pour confirmer que le pilote est chargé, tapez $ lsmod | grep prot.
Oracle Linux 7.x/8.x avec Noyau UEKR6
Lorsque la distribution installée est Oracle Linux 7.x/8.x avec le noyau UEKR6, après avoir terminé les étapes d'enregistrement du certificat, procédez comme suit :
- Exécutez cette commande :
sudo /usr/src/protection-agent-version/scripts/sb_import_key.sh
Cela ajoute le certificat utilisé pour signer les modules à la liste des certificats approuvés par le noyau. Le noyau modifié est signé et ajouté à la liste des noyaux dans GRUB. Le module est chargé et démarré. -
Redémarrez l'ordinateur.
Le module est chargé et démarré. - Pour confirmer que le certificat a été ajouté correctement, exécutez cette commande :
sudo /usr/src/protection-agent-version/scripts/sb_import_key.shThe results should be:
- Le nom commun des signataires est UA-MOK Driver Signing
- Image /boot/vmlinuz-kernel-version-panda-secure-boot déjà signée
- Le module de noyau a été chargé avec succès