Jako administrator możesz wdrożyć ChromeOS Flex we flocie urządzeń. Pamiętaj, że ustawienia BIOS/UEFI danego modelu wpływają na instalację i bezpieczeństwo urządzeń z ChromeOS Flex.
Włączanie bezpiecznego rozruchu
Obrazy ChromeOS Flex są podpisane i zweryfikowane, dzięki czemu wbudowany system bezpiecznego rozruchu w najnowszych modelach obsługujących UEFI może zweryfikować obraz Chrome OS Flex podczas uruchamiania. Bezpieczny rozruch sprawdza, czy obraz ChromeOS Flex pochodzi ze znanego źródła – Google.
Przed zainstalowaniem ChromeOS Flex Google zaleca włączenie UEFI i bezpiecznego rozruchu (jeśli są obsługiwane). Pomoże to zapobiec uruchamianiu na urządzeniach niepodpisanych systemów innych firm.
Nie wyłączaj bezpiecznego rozruchu, chyba że znajdziesz takie zalecenie w szczegółowych informacjach na temat Twojego modelu na liście certyfikowanych modeli lub jeśli jest to konieczne do instalacji. Przejrzyj listę certyfikowanych modeli.
Czyszczenie i włączenie modułu TPM (jeśli jest obsługiwany)
Niektóre modele z certyfikatem ChromeOS Flex zawierają zabezpieczenia sprzętowe modułu TPM. Prawidłowo skonfigurowany moduł TPM może służyć do bezpiecznego przechowywania obiektów kryptograficznych używanych do odblokowywania kont użytkowników itp.
Jeśli Twój certyfikowany model go obsługuje, wyczyść i włącz moduł TPM, zanim zainstalujesz ChromeOS Flex. Dzięki temu możliwe będzie rejestrowanie urządzeń natychmiast po zainstalowaniu na nich ChromeOS Flex. Jeśli spróbujesz zarejestrować urządzenie, a TPM nie będzie jeszcze gotowy, zobaczysz odpowiedni komunikat.
Przeczytaj artykuł Używanie TPM z ChromeOS Flex.
Ograniczanie dostępu do nośnika rozruchowego i BIOS lub UEFI
Instalacja ChromeOS Flex często wymaga zmiany ustawień BIOS lub UEFI, na przykład włączenia rozruchu USB. W idealnej sytuacji urządzenia umożliwiają administratorom wprowadzanie zmian w ustawieniach BIOS lub UEFI wyłącznie podczas wdrażania.
Aby zmaksymalizować bezpieczeństwo i szybkość działania urządzenia z ChromeOS Flex po wdrożeniu, Google zaleca wykonanie tych czynności:
- Uniemożliwiaj uruchamianie z zewnętrznych nośników – jeśli urządzenia nadal będą mogły uruchamiać nośniki zewnętrzne, może zostać zainstalowany mniej bezpieczny i niechciany system operacyjny.
Uwaga: nazwa opcji zależy od producenta sprzętu (OEM). Może to być na przykład Uruchamianie z USB, Uruchamianie z nośników zewnętrznych lub coś podobnego. - Ustaw bezpieczne hasło administratora BIOS lub UEFI – udostępniaj hasło tylko administratorom IT i pracownikom pomocy technicznej, którzy naprawdę go potrzebują. Dzięki temu użytkownicy nie mogą wprowadzać zmian ani uruchamiać innych systemów operacyjnych.
Wdrażanie tylko oficjalnych obrazów ChromeOS Flex
Upewnij się, że Ty i wszystkie osoby pomagające Ci wdrożyć ChromeOS Flex wiecie, skąd pochodzą obrazy do instalacji.