我不认为 PXE 引导的第一部分可以得到保护。流氓 DHCP 服务器可能会劫持您的安装。TFTP 提供的安全性完全为零。

但假设您从正确的 DHCP 服务器获得响应，并且从正确的 TFTP 服务器拉取引导文件，则配置可以指示客户端通过 HTTPS 加载，这将提供加密和身份验证。

例如，请参阅有关设置 PXE 安装程序的 HOWTO。在底部给出的配置文件中替换 HTTPS 服务器。

iPXE 具有可引导映像的 HTTPS 传输选项。如果您将 IP 硬编码到 iPXE OptionROM 中，并将其刻录到卡中，那么您将消除源自 DHCP/TFTP PXE 组合的问题（以明文传输、流氓 DHCP 和无完整性检查）。

您可以在此处找到有关 iPXE 的更多信息：

http://en.wikipedia.org/wiki/IPXE

和这里：

http://ipxe.org/crypto

另外，我建议您将 DHCP 服务器配置为仅提供静态分配的 IP（一个 MAC，一个 IP）；使用单独的 IP 地址池进行 iPXE 引导，更好的是，使用单独的 VLAN；使用防火墙来阻止网络上的 DHCPDISCOVER 和 DHCPRESPONSE 数据包，并且只允许在受信任的 VLAN 内，...

不要使用老式的 PXE，而是使用新的 iPXE 并使用安全协议。

如果任何人可以物理访问该盒子并可以控制它，那只是时间问题。：-/