Como administrador, puedes implementar ChromeOS Flex en una flota de dispositivos. Ten en cuenta que los ajustes específicos de la BIOS/UEFI de cada modelo afectan a la instalación de ChromeOS Flex y a la seguridad del dispositivo tras la instalación.
Habilitar el arranque seguro
Las imágenes de ChromeOS Flex están firmadas y verificadas para que el sistema de arranque seguro integrado en modelos recientes habilitados con UEFI pueda verificar una imagen de ChromeOS Flex durante el inicio. El arranque seguro se encarga de comprobar que la imagen de ChromeOS Flex sea de una fuente conocida; es decir, Google.
Antes de instalar ChromeOS Flex, te recomendamos que habilites la UEFI y el arranque seguro, si se admiten. De esta forma, puedes evitar que se ejecuten sistemas operativos de terceros sin firmar en tus dispositivos.
Solo debes inhabilitar el inicio seguro si las notas detalladas de tu modelo específico en la lista de modelos certificados lo indican o si es necesario para realizar la instalación. Consulta la lista de modelos certificados.
Borrar y habilitar el TPM (si se admite)
Algunos modelos de ChromeOS Flex incluyen hardware de seguridad de TPM. Si se configura correctamente, el TPM puede proporcionar una ubicación de almacenamiento segura para los secretos criptográficos que se usan para determinadas acciones (por ejemplo, desbloquear cuentas de usuario).
Si el TPM es compatible con tus modelos certificados, elimínalo y habilítalo antes de instalar ChromeOS Flex. De este modo, podrás registrar dispositivos inmediatamente después de instalar ChromeOS Flex en ellos. ChromeOS Flex te mostrará un mensaje si intentas registrar tu dispositivo y el TPM aún no está listo.
Consulta las instrucciones sobre cómo usar TPM con ChromeOS Flex.
Restringir el contenido que se puede iniciar y el acceso a la BIOS o UEFI
A menudo, la instalación de ChromeOS Flex requiere que hagas cambios en la configuración de la BIOS o UEFI, como activar el inicio USB. Durante la implementación, lo ideal es que los dispositivos solo permitan a los administradores realizar cambios en la configuración de la BIOS o UEFI.
Para maximizar la seguridad y la velocidad de tu dispositivo ChromeOS Flex después de la implementación, Google te recomienda que hagas lo siguiente:
- Impide que medios externos puedan iniciar el dispositivo: si los dispositivos siguen pudiendo iniciar elementos externos, es posible que se instale un sistema operativo menos seguro y no deseado más adelante.
Nota: El nombre de la opción varía en función del fabricante. Busca USB boot (Arranque desde USB), Boot from external media (Arranque desde medios externos) u opciones similares. - Crea una contraseña segura para BIOS o UEFI: comparte la contraseña solo con administradores de TI y personal de asistencia tecnológica que realmente la necesiten. De esta forma, los usuarios no podrán hacer cambios ni iniciar otro sistema operativo.
Desplegar solo imágenes oficiales de ChromeOS Flex
Comprueba que tanto tú como el resto de los usuarios que te ayudan en la implementación de Chrome OS sabéis de dónde proceden las imágenes de instalación.