作为管理员,您可以将 ChromeOS Flex 部署到一组设备上。请注意,每个型号的特定 BIOS/UEFI 设置都会影响 ChromeOS Flex 的安装和安装后设备的安全性。
启用安全启动
ChromeOS Flex 映像已经过签名和验证,以便近期启用 UEFI 的型号中的内置安全启动系统可以在启动期间验证 ChromeOS Flex 映像。安全启动会检查 ChromeOS Flex 映像是否来自已知来源 - Google。
Google 建议您在安装 ChromeOS Flex 之前,启用 UEFI 和安全启动功能(如果支持)。这有助于防止未签名的第三方操作系统在设备上运行。
您应仅在以下情况下停用安全启动功能:在我们的认证型号列表中,您所使用的特定型号的详细备注要求您停用,或者安装时需要停用。请参阅认证型号列表。
清除并启用 TPM(如果支持)
有些 ChromeOS Flex 认证型号包含 TPM 安全硬件。设置妥当后,TPM 可以为用于解锁用户帐号等操作的加密密文提供安全存储位置。
如果您的认证型号支持 TPM,请先清除并启用 TPM,然后再安装 ChromeOS Flex。这样,在为设备安装 ChromeOS Flex 后,您就可以立即注册设备。如果您尝试注册设备但 TPM 尚未准备就绪,ChromeOS Flex 会显示一条消息。
请参阅将 TPM 与 ChromeOS Flex 搭配使用。
限制可启动媒介和 BIOS/UEFI 的访问
安装 ChromeOS Flex 时,通常需要更改 BIOS 或 UEFI 设置,如开启 USB 启动。理想情况下,设备仅允许管理员在部署期间更改 BIOS 或 UEFI 设置。
为了提高 ChromeOS Flex 设备在部署后的安全性和速度,Google 建议您:
- 禁止从外部媒介启动 - 如果设备可以继续启动外部媒介,则系统可能会在日后安装您不想要的、安全性较低的操作系统。
注意:此选项的名称可能会因原始设备制造商 (OEM) 而有所不同。请留意 USB 启动、从外部媒介启动或类似设置。 - 设置安全的 BIOS 或 UEFI 管理员密码 - 请仅将密码分享给真正需要此密码的 IT 管理员和技术支持人员。这样,用户就无法进行更改或启动其他操作系统。
仅部署官方 ChromeOS Flex 映像
请确保您自己以及协助您部署 ChromeOS Flex 的所有人都了解安装映像的来源。