系统安全

使用此窗口可以控制系统的安全功能。

注: 帮助页面可能包括关于系统不支持的功能或值的信息。Server Administrator 只显示您的系统支持的功能和值。

用户权限

表 1. 用户权限
选择 查看 管理
“系统安全 ” 管理员、提升管理员(仅限于 Linux) 管理员、提升管理员(仅限于 Linux)
注: 有关用户权限级别的更多详情,请参阅 Server Administrator GUI 中的权限级别
注: 基于可用硬件,各种设置属性间可能存在依赖关系。例如,设置一个属性值可能会将相关属性的状态更改为不可编辑或可编辑,具有视情况而定。例如,如果将“密码状态”设置更改为 “已锁定”,则不允许配置 “系统密码”
注: 根据系统的处理器类型,提供 “TPM”“TCM” 选项。

CPU AES-NI

表示处理器 AES-NI 功能的状态。AES-NI 通过使用高级加密标准指令集执行加密和解密来提高应用程序速度。默认设置为 Enabled。

系统密码

“系统密码”是输入的允许系统启动至操作系统的密码。对系统密码的更改立即生效。如果系统上未安装密码跳线 (PWRD_EN),此密码为只读。

注: 大写字母在 PowerEdge 服务器上有效。

设置密码

“设置密码”是输入以更改任何 BIOS 设置的密码。但是,密码状态设置为 “已解锁”时,可以不需要输入正确的设置密码来更改系统密码。对设置密码的更改将立即生效。如果系统上未安装密码跳线 (PWRD_EN),此密码为只读。

注: 大写字母在 PowerEdge 服务器上有效。

密码状态

未锁定 当此选项设置为“未锁定”时,可以在不输入 “设置密码”的情况下更改 “系统”密码。它允许管理员维护设置密码,以防止未经授权的 BIOS 设置更改,同时用户可以自由更改系统密码。
已锁定 当此选项设置为“已锁定”时,必须输入 “设置密码”才能更改 “系统密码”。要防止在不提供设置密码的情况下修改系统密码,请将此选项设置为 “已锁定”并启用 “设置密码”
注: 说明:要锁定系统密码和系统密码,请重新启动系统,然后单击“密码状态”属性下的 “已锁定”

TPM 信息

显示可信平台模块的类型(如果有)。

Intel(R) AES-NI

显示 Intel(R) 处理器 AES-NI 功能的状况。

TPM 安全

控制系统中可信平台模块 (TPM) 的报告。

关闭(默认) 不向操作系统报告是否存在 TPM。
开启且进行预启动测量 BIOS 在开机自检期间将符合 TCG 标准的测量存储到 TPM 中。
开启且不进行预启动测量 BIOS 绕过预启动测量。
注: 建议将系统密码或设置密码与此 TPM 安全设置一起使用。

TPM 固件

显示 TPM 的固件版本。

TPM 层级结构

它允许启用、禁用或清除存储和认可层级结构。当此选项设置为“已启用”时,将启用存储和认可层级结构,设置为已禁用时,无法使用存储和认可层级结构。如果设置为清除,则会清除存储和认可值(如果有)。

TPM 激活

它允许用户更改可信平台模块 (TPM) 的运行状态。当“TPM 安全保护”设置为“关闭”时,此字段为“只读”。

激活 启用并激活 TPM。
停用 禁用并取消激活 TPM。
不更改 TPM 的运行状态保持不变。
注: 此功能不适用于 PowerEdge 服务器。

TPM 状态

显示 TPM 的状态。

TPM 清除

小心: 如果清除 TPM,则会导致 TPM 中的所有密钥丢失。它可能会影响操作系统的启动。

当设置为“是”时,将清除 TPM 的所有内容。当“TPM 安全保护”设置为 “关闭”时,此字段为“只读”。

注: 此功能不适用于 13G 平台或更高版本。

TCM 安全

控制系统中可信密码模块 (TCM) 的报告。

关闭(默认) 不向操作系统报告是否存在 TCM。
打开 向操作系统报告是否存在 TCM。
注: 此功能不适用于 PowerEdge 服务器。

TCM 激活

TCM 激活允许用户更改可信密码模块 (TCM) 的运行状态。当“TCM 安全保护”设置为关闭时,此字段为“只读”。

激活 启用并激活 TCM。
停用 禁用并取消激活 TCM。
不更改 TCM 的运行状态保持不变。
注: 此功能不适用于 13G 平台或更高版本。

TCM 清除

小心: 如果清除 TCM,则会导致 TCM 中的所有密钥丢失。这可能会影响操作系统的启动。

当设置为“是”时,将清除 TCM 的所有内容。当“TCM 安全保护”设置为 “关闭”时,此字段为“只读”。

注: 此功能不适用于 13G 平台或更高版本。

TPM 命令

它允许用户控制可信平台模块 (TPM)。当“TPM 安全保护”设置为关闭时,此字段为“只读”。再一次重新启动后,该操作才能生效。

激活 启用并激活 TPM。
停用 禁用并取消激活 TPM。
设置为“无”时将不向 TPM 发送命令。
清除 设置为“清除”时会清除 TPM 的所有内容。
小心: 如果清除 TPM,则会导致 TPM 中的所有密钥丢失。它可能会影响操作系统的启动。
注: 此功能不适用于 PowerEdge 服务器。

Intel(R) TXT

它启用或禁用“可信执行技术”。要启用英特尔 TXT,必须“启用”虚拟化技术,TPM 安全性必须设置为 “开启”并具有预启动测量,并且 TPM 状态必须为 “已启用,已激活”。使用 TPM2 时,哈希算法必须设置为 SHA256。

TME 加密绕过

它允许绕过英特尔 Total Memory Encryption。

内存加密

它启用或禁用英特尔总内存加密和多租户 (Intel TME-MT)。

多个密钥 BIOS 启用 TME-MT 技术。
单个密钥 BIOS 启用 TME 技术。
禁用 BIOS 同时禁用 TME 和 TME-MT 技术。

英特尔(R) SGX

它启用或禁用英特尔软件保护扩展 (SGX) 技术。要启用英特尔 SGX,必须满足某些平台要求。CPU 必须支持 SGX。SGX 仅支持 RDIMM 内存配置。SGX 仅支持 ECC DIMMs。内存安装必须兼容。(最小配置:每个 CPU 插槽的 8 个相同的 DIMM1 至 DIMM8。DIMM 数量可能因平台设计而异)。SGX 仅支持在所有 CPU 上使用相同类型的内存配置。SGX 仅支持在所有 CPU 上使用相同的交叉存取模式。“内存设置”> “节点交叉存取”选项必须为 “已禁用”“内存设置”> “内存运行模式”选项必须为 “优化器模式”。不支持 SGX 的 TME 旁路时,则 “系统安全”> “内存加密”选项必须为 “已启用”

关闭 BIOS 禁用 SGX 技术。
打开 BIOS 启用 SGX 技术。
软件(如果可用) 它允许应用程序启用 SGX 技术。

交流电源恢复

它指定系统在恢复交流电源之后将如何反应。当使用接线板关闭系统电源时,此选项尤其有用。

最近一次 如果在交流电断电时系统是打开的,则系统将会打开。当交流电断电时系统关闭时,则系统将保持关闭。
打开 在交流电源恢复后系统将打开。
关闭 在交流电源恢复后系统将保持关闭。

交流电源恢复延迟

它指定系统在恢复交流电源后将如何支持交错开机。

立即 不延迟开机。
随机 系统将随机延迟开机。
用户定义 系统延迟开机,延迟时间为该值。系统支持的用户定义开机延迟范围是 60 秒到 600 秒。

用户定义延迟(60 秒到 600 秒)

它控制交流电源恢复后开机过程延迟的持续时间。仅当“交流电源恢复延迟”设置为 “用户定义”时此值才有效,有效范围为 60 秒至 600 秒。

UEFI 变量访问

UEFI 变量访问提供不同的 UEFI 变量保护程度。

标准(默认) 根据 UEFI 规范在操作系统中访问 UEFI 变量。
控制 UEFI 变量在操作系统环境受保护,并且新的 UEFI 启动条目被强制置于当前启动顺序的末端。

带内可管理性界面

当选项设置为“已禁用”时,此设置将对操作系统隐藏管理引擎 (ME)、HECI 设备和系统的 IPMI 设备。这会导致操作系统无法更改 ME 电源上限设置,并阻止访问所有带内管理工具。所有管理都必须使用带外管理。

注: BIOS 更新需要 HECI 设备正常运行,并且 DUP 更新需要 IPMI 界面正常工作。此设置必须设置为“已启用”,以避免更新错误。

SMM Security Mitigation

此选项可启用或禁用其他 UEFI SMM 安全缓解保护。此选项仅在 UEFI 启动模式下可用。操作系统可以使用此功能来帮助保护虚拟化安全技术创建的安全环境。启用此功能可提供额外的 UEFI S MM Security Mitigation 保护。但是,此功能可能会导致与某些旧版工具或应用程序的兼容性问题或功能丢失。

安全开机

它允许启用安全启动,BIOS 会使用安全启动策略中的证书对启动过程中执行的每个组件进行验证。在启动过程中会验证以下组件:

  • 从 PCIe 卡加载的 UEFI 驱动程序。
  • 来自大容量存储设备的 UEFI 驱动程序和可执行文件
  • 操作系统启动加载程序
注: 除非“启动模式”(在“启动设置”菜单中)设置为 “UEFI”,否则安全启动不可用。
注: 除非“加载传统视频选项 ROM”设置(在“其他设置”菜单中)“已禁用”,否则安全启动不可用。
注: 如果启用安全启动,请创建设置密码。

“系统 BIOS 设置”页面中启用安全启动功能时,无法从 Server Administrator UI 或 CLI 禁用该功能。要禁用安全启动功能,请执行以下操作:

  1. 在系统重新启动期间,按 “F2” 键进入 “BIOS 设置” 实用程序。
  2. “系统安全”选项卡上,单击安全启动功能下的 “禁用”

安全启动模式

它配置 BIOS 如何使用安全启动策略对象(PK、KEK、db、dbx)。在设置模式和审核模式下,PK 不存在,BIOS 不会对策略对象的编程更新进行验证。在“用户模式”“已部署模式”下,PK 存在,并且 BIOS 会对更新策略对象的编程尝试执行签名验证。 “部署模式”是最安全的模式。在调配系统时,请使用设置、审核或 “用户模式”,然后为正常操作使用 “已部署模式”。可用模式转换取决于当前模式和 PK 是否存在。

审核模式对于以编程方式确定一组策略工作有帮助。在审核模式中,BIOS 在预启动映像上执行签名验证并在映像执行信息表上记录结果,但无论它们通过还是验证失败都会执行映像。有关在四种模式之间转换的更多信息,请参阅 UEFI 规范中的“安全启动模式”。

安全启动策略

它设置安全启动策略。

标准 当此选项设置为“标准”时,BIOS 使用系统制造商提供的密钥和证书来验证预启动映像。
自定义 当选项设置为“自定义”时,BIOS 将使用用户定义的密钥和证书。
注: 如果选择了此“自定义”模式,将显示“安全启动自定义策略设置”菜单。
注: 更改默认安全证书可能会导致系统无法从某些启动选项启动。

授权设备固件

当此选项设置为“已启用”时,此字段会将每个第三方设备固件的 SHA-256 哈希添加到安全启动授权的签名数据库。添加哈希后,此字段将自动恢复为 “已禁用”

注: 此字段为只读,除非安全启动“已启用”且安全启动策略为 “自定义”。此字段仅在安全系统管理控制台中可用。

BIOS 更新控制

它允许或阻止使用基于 DOS 或 UEFI Shell 的闪存公用程序进行 BIOS 更新。对于不需要本地 BIOS 更新的环境,建议将此字段设置为“已更新”

注: 使用 Update Package 进行的 BIOS 更新不受此设置选项的影响。
未锁定 它允许所有 BIOS 更新。
有限 它阻止从基于 DOS 或 UEFFI Shell 的闪存公用程序中,或从生命周期控制器界面中进行本地 BIOS 更新。
注: 对于不需要本地 BIOS 更新的环境,建议使用“有限”。这些环境包括“远程启用更新”或从操作系统中执行更新包。
有关“Server Administrator 操作”页面中其他按钮的更多信息,请参阅 Server Administrator 窗口按钮