Администратор может развернуть ChromeOS Flex на большом количестве устройств. Учтите, что настройки BIOS и UEFI влияют на процесс установки ChromeOS Flex и безопасность устройств.
Как включить безопасную загрузку
Чтобы система безопасной загрузки новых моделей с UEFI могла проверить, что образы ChromeOS Flex подлинные и получены от компании Google, они подписываются и подтверждаются.
Если ваше устройство поддерживает UEFI и безопасную загрузку, мы рекомендуем включить эти функции, прежде чем устанавливать ChromeOS Flex. Это поможет предотвратить запуск на устройствах неподписанных операционных систем сторонних производителей.
Отключать безопасную загрузку следует только в том случае, если это необходимо для установки или такая рекомендация указана для вашей модели в списке сертифицированных устройств.
Как очистить и включить TPM (если ваше устройство поддерживает эту функцию)
Защита некоторых сертифицированных для ChromeOS Flex устройств дополнительно обеспечивается доверенным платформенным модулем (TPM). В правильно настроенном модуле безопасно хранятся криптографические данные, нужные для разблокировки аккаунтов и других целей.
Если ваши сертифицированные модели поддерживают эту технологию, перед установкой ChromeOS Flex очистите и включите TPM. Так вы сможете зарегистрировать устройства сразу после того, как система будет установлена. Если модуль ещё не будет готов к работе при попытке зарегистрировать устройство, вы получите уведомление.
Подробнее о том, как использовать TPM на устройствах с ChromeOS Flex…
Как ограничить доступ к запуску носителей, BIOS и UEFI
Чтобы установить ChromeOS Flex, часто требуется внести изменения в настройки BIOS или UEFI, например включить запуск системы с USB-носителя. Желательно, чтобы изменения в настройки BIOS и UEFI вносил администратор.
Чтобы обеспечить безопасность и стабильную работу ваших устройств с ChromeOS Flex, выполните следующие рекомендации:
- Отключите возможность запуска с внешнего носителя. Если этого не сделать, на ваше устройство можно будет установить нежелательную и менее безопасную операционную систему.
Примечание. В зависимости от марки устройства эта функция может называться Запуск с USB-носителя, Запуск с внешнего носителя или иметь другую похожую формулировку. - Задайте надежный пароль для аккаунта администратора BIOS или UEFI. Сообщайте его только системным администраторам и нужным работникам службы поддержки, чтобы пользователи не могли вносить изменения в работу системы или запускать другие ОС.
Используйте только официальные образы ChromeOS Flex
Вы и все сотрудники, задействованные в развертывании ChromeOS Flex, должны убедиться, что образ системы получен из надежного источника.