Systemsicherheit
Verwenden Sie dieses Fenster zur Steuerung der Sicherheitsfunktionen des Systems.
ANMERKUNG: Die Hilfeseite enthält möglicherweise Informationen über Funktionen und Werte, die von Ihrem System nicht unterstützt werden. In Server Administrator werden nur die von Ihrem System unterstützten Funktionen und Werte angezeigt. |
Nutzerberechtigungen
Auswahl | Ansicht | Managen |
---|---|---|
Systemsicherheit | AdministratorIn, AdministratorIn mit erhöhten Rechten (nur Linux) | AdministratorIn, AdministratorIn mit erhöhten Rechten (nur Linux) |
ANMERKUNG: Weitere Einzelheiten zu Berechtigungsebenen für NutzerInnen finden Sie unter Berechtigungsebenen in der Server Administrator-GUI. |
ANMERKUNG: Je nach verfügbarer Hardware können Abhängigkeiten zwischen den verschiedenen Attributen für Einstellungen bestehen. So kann beispielsweise die Einstellung eines Attributwertes den Zustand der abhängigen Attribute u. U. zu nicht-editierbar bzw. editierbar ändern. Z. B. kann man nach dem Ändern der Einstellung Kennwortstatus in Gesperrt das Systemkennwort nicht konfigurieren. |
ANMERKUNG: Je nach Systemprozessortyp stehen die Optionen TPM und TCM zur Verfügung. |
CPU AES-NI
Zeigt den Status der Prozessor-AES-NI-Funktion an. AES-NI verbessert die Geschwindigkeit von Anwendungen, indem es die Ver- und Entschlüsselung mit dem Advanced Encryption Standard Instruction Set durchführt.Systemkennwort
Das Systemkennwort ist das eingegebene Kennwort, über das das System ein Betriebssystem starten kann. Änderungen am Systemkennwort werden sofort wirksam. Wenn der Kennwort-Jumper (PWRD_EN) nicht im System installiert ist, ist das Kennwort schreibgeschützt.
ANMERKUNG: Großbuchstaben sind auf PowerEdge-Servern zulässig. |
Setup-Kennwort
Das Setup-Kennwort ist das Kennwort, das eingegeben wird, um Änderungen an den BIOS-Einstellungen vorzunehmen. Das Systemkennwort kann jedoch ohne Eingabe des richtigen Setup-Kennworts geändert werden, wenn der Kennwortstatus auf Nicht gesperrt eingestellt ist. Änderungen am Setup-Kennwort werden sofort wirksam. Wenn der Kennwort-Jumper (PWRD_EN) nicht im System installiert ist, ist das Kennwort schreibgeschützt.
ANMERKUNG: Großbuchstaben sind auf PowerEdge-Servern zulässig. |
Kennwortstatus
Freigegeben | Wenn die Option auf Entsperrt gesetzt ist, kann das Systemkennwort ohne Eingabe des Setup-Kennworts geändert werden. Auf diese Weise kann ein Administrator ein Setup-Kennwort beibehalten, um vor unbefugten BIOS-Setup-Änderungen zu schützen, während ein/eine NutzerIn das Systemkennwort frei ändern kann. |
Gesperrt | Wenn die Option auf Gesperrt gesetzt ist, muss das Setup-Kennwort eingegeben werden, um das Systemkennwort zu ändern. Um zu verhindern, dass das Kennwort des Systems ohne Angabe des Kennworts für die Einrichtung geändert wird, setzen Sie diese Option auf Gesperrt und aktivieren Sie das Setup-Kennwort. |
ANMERKUNG: Anweisungen: Um ein Systemkennwort zu sperren, starten Sie das System neu und klicken Sie unter dem Attribut Kennwortstatus auf Gesperrt. |
TPM-Informationen
Zeigt den Typ des Trusted Platform Module an, falls vorhanden.
Intel(R) AES-NI
Zeigt den Status der Funktion „Intel(R)- Prozessor-AES-NI“ an.
TPM-Sicherheit
Steuert die Meldungen des TPM (Trusted Platform Module) des Systems.
Aus (Standardeinstellung) | Die Anwesenheit des TPM wird dem Betriebssystem nicht gemeldet. |
Ein mit Vorstartmessungen | Das BIOS speichert TCG-konforme Messungen während des POST im TPM. |
Ein ohne Vorstartmessungen | Das BIOS umgeht die Messungen vor dem Start. |
ANMERKUNG: Für diese TPM-Sicherheitseinstellung wird ein Kennwort für das System bzw. das Setup empfohlen. |
TPM Firmware
Zeigt die Firmware-Version des TPM an.
TPM-Hierarchie
Dies ermöglicht das Aktivieren, Deaktivieren oder Löschen von Speicher- und Endorsement Key-Hierarchien. Wenn die Option auf Aktiviert gesetzt ist, werden die Speicher- und Endorsement-Hierarchien aktiviert, wenn diese deaktiviert sind und die Speicher- und Bestätigungshierarchien nicht verwendet werden können. Wenn festgelegt ist, dass die Speicher-und Bestätigungswerte gelöscht werden, wenn vorhanden.
TPM Activation
Dies ermöglicht dem/der NutzerIn, den Betriebszustand des Trusted Platform Module (TPM) zu ändern. Dieses Feld ist schreibgeschützt, wenn „TPM-Sicherheit“ auf Aus eingestellt ist.
Aktivieren | Das TPM ist aktiviert. |
Ausschalten | Das TPM ist deaktiviert. |
Keine Änderung | Der Betriebszustand des TPM bleibt unverändert. |
ANMERKUNG: Diese Funktion ist für PowerEdge-Server nicht verfügbar. |
TPM-Status
Zeigt den Status des TPM an.
TPM löschen
VORSICHT: Durch das Löschen des TPM gehen alle Schlüssel im TPM verloren. Dies könnte sich auf den Start des Betriebssystems auswirken. |
Bei der Einstellung Ja wird der gesamte Inhalt des TPM gelöscht. Dieses Feld ist schreibgeschützt, wenn „TPM-Sicherheit“ auf Aus eingestellt ist.
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar. |
TCM-Sicherheit
Steuert die Meldungen des TCM (Trusted Cryptography Module) des Systems.
Aus (Standardeinstellung) | Die Anwesenheit des TCM wird dem Betriebssystem nicht gemeldet. |
Ein | Die Anwesenheit des TCM wird dem Betriebssystem gemeldet. |
ANMERKUNG: Diese Funktion ist für PowerEdge-Server nicht verfügbar. |
TCM-Aktivierung
Die TCM-Aktivierung ermöglicht es NutzerInnen, den Betriebsstatus des Trusted Cryptography Module (TCM) zu ändern. Dieses Feld ist schreibgeschützt, wenn „TCM-Sicherheit“ auf „Aus“ eingestellt ist.
Aktivieren | Das TCM ist aktiviert. |
Ausschalten | Das TCM ist deaktiviert. |
Keine Änderung | Der Betriebszustand des TCM bleibt unverändert. |
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar. |
TCM löschen
VORSICHT: Durch das Löschen des TCM gehen alle Schlüssel im TCM verloren. Dies könnte sich auf den Start des Betriebssystems auswirken. |
Bei der Einstellung Ja wird der gesamte Inhalt des TCM gelöscht. Dieses Feld ist schreibgeschützt, wenn „TCM-Sicherheit“ auf Aus eingestellt ist.
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar. |
TPM-Befehl
Dies ermöglicht es NutzerInnen, das Trusted Platform Module (TPM) zu steuern. Dieses Feld ist schreibgeschützt, wenn „TPM-Sicherheit“ auf „Aus“ eingestellt ist. Diese Aktion erfordert einen zusätzlichen Neustart, bevor sie wirksam wird.
Aktivieren | Das TPM ist aktiviert. |
Ausschalten | Das TPM ist deaktiviert. |
Keine | Wenn der Wert auf „Keine“ eingestellt ist, wird kein Befehl an das TPM gesendet. |
Löschen | Wenn der Wert auf „Löschen“ eingestellt ist, werden alle Inhalte des TPM gelöscht. |
VORSICHT: Durch das Löschen des TPM gehen alle Schlüssel im TPM verloren. Dies kann sich auf den Start des Betriebssystems auswirken. |
ANMERKUNG: Diese Funktion ist für PowerEdge-Server nicht verfügbar. |
Intel(R) TXT
Dies aktiviert oder deaktiviert Trusted Execution Technology. Um Intel TXT zu aktivieren, muss die Virtualisierungstechnologie aktiviert sein, TPM-Sicherheit muss mit Maßnahmen vor dem Start aktiviert sein und der TPM-Status auf Aktiviert gesetzt sein. Wenn TPM2 verwendet wird, muss der Hash-Algorithmus auf SHA256 festgelegt werden.
Umgehung TME-Verschlüsselung
Dies ermöglicht die Umgehung von Intel Total Memory Encryption.
Speicherverschlüsselung
Dies aktiviert oder deaktiviert Intel Total Memory Encryption und Multi-Tenant (Intel TME-MT).
Mehrere Schlüssel | Das BIOS aktiviert die TME-MT-Technologie. |
Einzelner Schlüssel | Das BIOS aktiviert die TME-Technologie. |
Deaktivieren | Das BIOS deaktiviert sowohl TME- als auch TME-MT-Technologie. |
Intel(R) SGX
Dies aktiviert bzw. deaktiviert die Intel SGX-Technology (Software Guard Extension). Um Intel SGX zu aktivieren, müssen bestimmte Plattformanforderungen erfüllt sein. Die CPU muss SGX-fähig sein. SGX unterstützt nur RDIMM-Speicherkonfigurationen. SGX unterstützt nur ECC-DIMMs. Die Speicherbestückung muss kompatibel sein. (Mindestkonfiguration: 8x identisches DIMM1 bis DIMM8 pro CPU-Sockel. Die DIMM-Anzahl kann je nach Plattformdesign variieren). SGX unterstützt nur den gleichen Typ von Speicherkonfiguration für alle CPUs. SGX unterstützt nur den gleichen Interleaving-Modus für alle CPUs. Die Option Speichereinstellungen > Node-Interleaving muss deaktiviert sein. Die Option Speichereinstellungen > Speicher-Betriebsmodus muss auf Optimierungsmodus eingestellt sein. Die Option Systemsicherheit > Arbeitsspeicherverschlüsselung muss aktiviert sein, wenn TME-Bypass für SGX nicht unterstützt wird.
Aus | Das BIOS deaktiviert die SGX-Technologie. |
Ein | Das BIOS aktiviert die SGX-Technologie. |
Software (falls verfügbar) | Dies ermöglicht die Aktivierung der SGX-Technologie durch die Anwendung. |
Netzstromwiederherstellung
Dies legt fest, wie das System reagiert, nachdem die Stromversorgung des Systems wiederhergestellt wurde. Dies ist besonders nützlich, wenn Systeme mit einer Steckdosenleiste ausgeschaltet werden.
Letzter | Das System wird hochgefahren, wenn es beim Stromausfall eingeschaltet war. Das System bleibt ausgeschaltet, wenn es beim Stromausfall ausgeschaltet war. |
Ein | Das System wird nach Wiederherstellung der Stromversorgung eingeschaltet. |
Aus | Das System bleibt nach Wiederherstellung der Stromversorgung ausgeschaltet. |
Verzögerung bei Netzstromwiederherstellung
Dies legt fest, wie das System die Verzögerungen des Hochfahrens unterstützt, nachdem die Stromversorgung des Systems wiederhergestellt wurde.
Sofort | Das Hochfahren erfolgt ohne Verzögerung. |
Zufällig | Das System erstellt eine zufällige zeitliche Verzögerung für das Hochfahren. |
Nutzerdefiniert | Das System verzögert das Hochfahren um den nutzerdefinierten Zeitraum. Dabei unterstützt das System Zeiträume von 60 bis 600 Sekunden. |
Nutzerdefinierte Verzögerung (60 bis 600 s)
Dies steuert die Dauer, für die der Einschaltvorgang verzögert wird, nachdem die Netzstromversorgung wiederhergestellt wurde. Der Wert ist nur wirksam, wenn die Verzögerung bei Netzstromwiederherstellung auf Nutzerdefiniert festgelegt ist. Der zulässige Bereich liegt zwischen 60 und 600 s.
Variabler UEFI-Zugriff
Der variable UEFI-Zugriff bietet einen unterschiedlichen Grad der Absicherung von UEFI-Variablen.
Standard (Vorgabeeinstellung) | Es kann der UEFI-Spezifikation gemäß auf die UEFI-Variablen im Betriebssystem zugegriffen werden. |
Gesteuert | Der UEFI-Variablen werden in der Betriebssystemumgebung geschützt, und neue UEFI-Starteinträge werden gezwungenermaßen an das Ende der aktuellen Startreihenfolge gelegt. |
In-Band Benutzeroberfläche
Wenn die Option auf Deaktiviert gesetzt ist, verbirgt diese Einstellung die HECI-Geräte der Management Engine (ME) und die IPMI-Geräte des Systems vor dem Betriebssystem. Dadurch wird verhindert, dass der Betriebssystem vom Ändern des ME Power Capping Einstellungen und blockiert den Zugriff auf alle In-Band -Management Tools. Alle Managementfunktionen müssen über Out-of-Band gemanagt werden.
ANMERKUNG: BIOS-Update erfordert HECI Geräte in Betrieb sein und DUP Aktualisierungen erfordern IPMI-Schnittstelle in Betrieb sein. Diese Einstellung muss auf Aktiviert gesetzt sein, um Aktualisierungsfehler zu vermeiden. |
SMM Security Mitigation
Die Option aktiviert oder deaktiviert zusätzliche Schutzmaßnahmen von UEFI SMM Security Mitigation. Diese Option steht nur im Startmodus UEFI zur Verfügung. Das Betriebssystem kann mithilfe dieser Funktion durch virtualisierungsbasierte Sicherheit erstellte sichere Umgebungen schützen. Das Aktivieren dieser Funktion bietet zusätzliche Schutzmaßnahmen von UEFI SMM Security Mitigation. Diese Funktion kann jedoch zu Kompatibilitätsproblemen oder zum Verlust von Funktionalität bei einigen Legacy-Tools und Legacy-Anwendungen führen.
Secure Boot
Diese Option ermöglicht die Aktivierung von Secure Boot, wobei das BIOS jede Komponente authentifiziert, die während des Startvorgangs mithilfe der Zertifikate in der Secure Boot-Policy ausgeführt wird. Die folgenden Komponenten werden beim Startprozess validiert:
- UEFI-Treiber, die von PCIe-Karten geladen werden.
- UEFI-Treiber und ausführbare Dateien von Massenspeichergeräten
- Bootloader des Betriebssystems
ANMERKUNG: Secure Boot ist nur verfügbar, wenn der Startmodus (im Menü „Starteinstellungen“) auf UEFI eingestellt ist. |
ANMERKUNG: Secure Boot ist nur verfügbar, wenn die Einstellung Legacy Video Option-ROM laden (im Menü Verschiedene Einstellungen) auf Deaktiviert gesetzt ist. |
ANMERKUNG: Erstellen Sie ein Setup-Kennwort, wenn Sie Secure Boot aktivieren. |
Wenn die Secure Boot-Funktion auf der Seite System-BIOS-Einstellungen aktiviert ist, kann die Funktion nicht über die Benutzeroberfläche oder CLI von Server Administrator deaktiviert werden. Gehen Sie wie folgt vor, um die Secure Boot-Funktion zu deaktivieren:
- Drücken Sie während des Systemneustarts F2, um das BIOS-Setup-Dienstprogramm aufzurufen.
- Klicken Sie auf der Registerkarte Systemsicherheit unter der Funktion Secure Boot auf Deaktivieren.
Secure Boot Mode
Dies legt fest, wie das BIOS die Regel für sicheren Start Objekte (PK, KEK, db, dbx). Im Setup-Modus und Audit-Modus ist PK nicht vorhanden und das BIOS authentifiziert keine programmgesteuerten Aktualisierungen der Richtlinienobjekte. Im Benutzermodus und Bereitstellungsmodus ist PK vorhanden und das BIOS führt eine Signaturüberprüfung bei programmgesteuerten Versuchen durch, Policy-Objekte zu aktualisieren. Modus Bereitgestellt ist die sicherste Modus. Verwenden Sie den Setup-, Audit- oder Benutzermodus, wenn Sie das System bereitstellen, und verwenden Sie dann den Bereitstellungsmodus für den normalen Betrieb. Die verfügbaren Modusübergänge hängen vom aktuellen Modus und dem Vorhandensein des PK ab.
Audit Modus eignet sich für programmgesteuert zur Festlegung einer arbeiten Satz von Richtlinie Objekte. Im Audit-Modus führt das BIOS eine Signaturprüfung der Preboot-Images durch und protokolliert die Ergebnisse in der Image-Ausführungs-Informationstabelle, führt die Images aber unabhängig davon aus, ob sie die Prüfung bestehen oder nicht. Weitere Informationen zu Übergängen zwischen den vier Modi finden Sie unter Secure Boot-Modi in der UEFI-Spezifikation.
Policy für Secure Boot
Legt die Policy für Secure Boot fest.
Standard | Wenn die Option auf Standard eingestellt ist, authentifiziert das BIOS die Preboot-Images mithilfe des Schlüssels und der Zertifikate des Systemherstellers. |
Nutzerdefiniert | Wenn die Option auf Nutzerdefiniert eingestellt ist, verwendet das BIOS nutzerdefinierte Schlüssel und Zertifikate.
|
Autorisieren der Gerätefirmware
Wenn die Option auf Aktiviert gesetzt ist, fügt dieses Feld den SHA-256-Hash jeder Gerätefirmware eines Drittanbieters zur Secure Boot Authorized Signature-Datenbank hinzu. Nachdem die Hashes hinzugefügt wurden, wird das Feld automatisch auf Deaktiviertzurückgesetzt.
ANMERKUNG: Dieses Feld ist schreibgeschützt, es sei denn, Secure Boot ist aktiviert und die Secure Boot-Policy ist nutzerdefiniertdefiniert. Dieses Feld ist nur in sicheren Systemmanagement-Konsolen verfügbar. |
BIOS-Aktualisierungssteuerung
Dies ermöglicht oder verhindert BIOS-Updates über DOS- oder UEFI-Shell-basierte Flash-Dienstprogramme. Für Umgebungen, die keine lokalen BIOS-Aktualisierungen benötigen, wird empfohlen, dieses Feld auf Deaktiviert einzustellen.
ANMERKUNG: BIOS-Updates über Update Packages bleiben von dieser Setup-Option unberührt. |
Freigegeben | Dies ermöglicht alle BIOS-Updates. | ||
Eingeschränkt | Dies verhindert lokale BIOS-Updates über DOS- oder UEFI-Shell-basierte Flash-Dienstprogramme oder die Lifecycle Controller-Benutzeroberfläche.
|