Sécurité des systèmes
Cette fenêtre permet de contrôler les fonctions de sécurité du système.
REMARQUE : Cette page d’aide peut contenir des informations sur des fonctionnalités et des valeurs non prises en charge par votre système. Server Administrator affiche uniquement les fonctionnalités et les valeurs prises en charge par votre système. |
Privilèges utilisateur
Sélection | Affichage | Gestion |
---|---|---|
Sécurité des systèmes | Administrateur, Administrateur élevé (Linux uniquement) | Administrateur, Administrateur élevé (Linux uniquement) |
REMARQUE : Pour plus d’informations sur les niveaux de privilèges utilisateur, consultez la section Niveaux de privilèges dans l’interface utilisateur de Server Administrator. |
REMARQUE : En fonction du matériel disponible, il peut exister des dépendances entre les attributs des paramètres. Par exemple, la définition d'une valeur d'attribut peut changer l'état des attributs dépendants en les rendant non modifiables ou modifiables, selon le cas. Par exemple, la modification du paramètre Statut du mot de passe sur Verrouillé ne permet pas de configurer le mot de passe du système. |
REMARQUE : La disponibilité des options TPM et TCM dépend du type de processeur du système. |
Processeur AES-NI
Indique le statut de la fonctionnalité AES-NI du processeur. AES-NI optimise la vitesse des applications en procédant au chiffrement et au déchiffrement à l’aide de l’ensemble des consignes Advanced Encryption Standard.Mot de passe système
Le Mot de passe système est le mot de passe saisi permettant au système d’amorcer un système d’exploitation. Les modifications apportées au mot de passe système s’appliquent immédiatement. Le mot de passe est en lecture seule si le cavalier du mot de passe (PWRD_EN) n’est pas installé sur le système.
REMARQUE : Les lettres majuscules sont valides sur les serveurs PowerEdge de 13e génération et de générations ultérieures. |
Mot de passe de configuration
Le Mot de passe de configuration est le mot de passe saisi pour modifier les paramètres du BIOS. Cependant, le mot de passe système peut être modifié sans saisir le mot de passe de configuration correcte si l’option État du mot de passe est définie sur Déverrouillé. Les modifications apportées au mot de passe de configuration s’appliquent immédiatement. Le mot de passe est en lecture seule si le cavalier du mot de passe (PWRD_EN) n’est pas installé sur le système.
REMARQUE : Les lettres majuscules sont valides sur les serveurs PowerEdge de 13e génération et de générations ultérieures. |
État du mot de passe
Dévérouillé | Lorsque l’option est définie sur Déverrouillé, le Mot de passe système peut être changé sans saisir le Mot de passe de configuration. Cela permet à un administrateur de conserver un mot de passe de configuration pour se protéger contre les modifications non autorisées de la configuration du BIOS, tandis qu’un utilisateur peut modifier librement le mot de passe du système. |
Verrouillé | Lorsque l’option est définie sur Verrouillé, il faut saisir le Mot de passe de configuration pour modifier le Mot de passe système. Pour empêcher la modification du mot de passe du système sans fournir le mot de passe de configuration, définissez cette option sur Verrouillé et activez le Mot de passe de configuration. |
REMARQUE : Instructions : pour verrouiller un mot de passe système, redémarrez le système et cliquez sur Verrouillé sous l’attribut État du mot de passe. |
Informations sur le module TPM
Indique le type de module de plate-forme de confiance, le cas échéant.
Intel(R) AES-NI
Affiche le statut de la fonction Processeur AES-NI Intel(R).
Sécurité TPM
Contrôle la création de rapports sur le TPM (Trusted Platform Module) dans le système.
Désactivé (par défaut) | La présence du module TPM n'est pas signalée au système d'exploitation. |
Activé avec mesures de prédémarrage | Le BIOS stocke les mesures TCG dans le module TPM lors du test POST. |
Activé sans mesures de prédémarrage | Le BIOS ignore les mesures de prédémarrage. |
REMARQUE : Un mot de passe de configuration ou système est recommandé avec ce paramètre de sécurité TPM. |
Firmware TPM
Affiche la version du firmware du TPM.
Hiérarchie du TPM
Permet d’activer, de désactiver ou d’effacer les hiérarchies de stockage et de validation. Lorsque vous définissez cette option sur Activé, les hiérarchies de stockage et de validation sont activées. En cas de désactivation, les hiérarchies de stockage et de validation ne peuvent pas être utilisées. Lorsque cette option est définie sur Effacer, les valeurs de stockage et de mention sont effacées, le cas échéant.
Activation TPM
Cette option permet à l'utilisateur de modifier l'état opérationnel du Module de plateforme sécurisée (TPM). Lorsque l'option Sécurité TPM est définie sur Désactivée, ce champ est accessible en lecture seule.
Activer | Le TPM est activé. |
Désactiver | Le TPM est désactivé. |
Pas de changement | L'état opérationnel du TPM est inchangé. |
REMARQUE : Cette fonctionnalité n’est pas disponible pour les plates-formes 13G ou version ultérieure. |
État TPM
Affiche le statut du module TPM.
Effacement TPM
PRÉCAUTION : L’effacement du module TPM entraîne la perte de toutes les clés du module TPM. Cette action risque d'affecter le démarrage du système d'exploitation. |
Lorsque l’option est définie sur Oui, tout le contenu du module TPM est effacé. Lorsque l'option Sécurité TPM est définie sur Désactivée, ce champ est accessible en lecture seule.
REMARQUE : Cette fonctionnalité n’est pas disponible pour les plates-formes 13G ou version ultérieure. |
Sécurité TCM
Contrôle la création de rapports dans le module CM (Trusted Cryptography Module) du système.
Désactivé (par défaut) | La présence du module TCM n'est pas signalée au système d'exploitation. |
Activé | La présence du module TCM est signalée au système d'exploitation. |
REMARQUE : Cette fonctionnalité n’est pas disponible pour les plates-formes 13G ou version ultérieure. |
Activation du TCM
Cette option permet à l'utilisateur de modifier l'état opérationnel du module cryptographique sécurisé (TCM). Lorsque l'option Sécurité TCM est définie sur Désactivée, ce champ est accessible en lecture seule.
Activer | Le module TCM est activé. |
Désactiver | Le module TCM est désactivé. |
Pas de changement | L'état opérationnel du TCM est inchangé. |
REMARQUE : Cette fonctionnalité n’est pas disponible pour les plates-formes 13G ou version ultérieure. |
Effacement du TCM
PRÉCAUTION : L’effacement du module TCM entraîne la perte de toutes les clés du module TCM. Cette action risque d'affecter le démarrage du système d'exploitation. |
Lorsque l’option est définie sur Oui, tout le contenu du module TCM est effacé. Lorsque l'option Sécurité TCM est définie sur Désactivée, ce champ est accessible en lecture seule.
REMARQUE : Cette fonctionnalité n’est pas disponible pour les plates-formes 13G ou version ultérieure. |
Commande de module TPM
Cette option permet à l'utilisateur de contrôler le module TPM. Lorsque l'option Sécurité TPM est définie sur Désactivée, ce champ est accessible en lecture seule. Cette action nécessite un redémarrage supplémentaire pour pouvoir être appliquée.
Activer | Le TPM est activé. |
Désactiver | Le TPM est désactivé. |
Aucun | Aucune commande n’est envoyée au module TPM lorsqu’elle est définie sur none (aucun). |
Effacer | Tout le contenu du module TPM est effacé lorsqu’elle est définie sur Effacer. |
PRÉCAUTION : L’effacement du module TPM entraîne la perte de toutes les clés du module TPM. Cette action risque d’affecter le démarrage du système d’exploitation. |
REMARQUE : Cette fonctionnalité n'est pas disponible pour les plateformes de 13e génération ou version ultérieure. |
Intel(R) TXT
Active ou désactive Trusted Execution Technology. Pour activer Intel TXT, la technologie de virtualisation doit être Activé, la sécurité TPM doit être définie sur On avec les mesures de prédémarrage et le statut du module TPM doit être Activé, Activé. Lorsque TPM2 est utilisé, l’algorithme de hachage doit être défini sur SHA256.
Contournement du chiffrement TME
Permet de contourner le chiffrement total de la mémoire Intel.
Chiffrement de la mémoire
Permet d’activer ou de désactiver le chiffrement de la mémoire totale Intel (TME) et multiclient (Intel TME-MT).
Plusieurs clés | Le BIOS active la technologie TME-MT. |
Clé unique | Le BIOS active la technologie TME. |
Désactiver | Le BIOS désactive les technologies TME et TME-MT. |
Intel(R) SGX
Active ou désactive l’option Intel Software Guard Extension (SGX). Pour activer Intel SGX, certaines exigences de plate-forme doivent être respectées. Le processeur doit être compatible avec SGX. SGX prend uniquement en charge la configuration de la mémoire RDIMM. SGX prend uniquement en charge les DIMM ECC. L’installation de la mémoire doit être compatible. (Configuration minimale : x8 DIMM1 identiques à DIMM8 par socket de processeur. Le nombre de DIMM peut varier selon la conception de la plate-forme). SGX prend uniquement en charge la configuration de mémoire de même type sur tous les processeurs. SGX prend uniquement en charge le même mode d’entrelacement sur tous les processeurs. L’option Paramètres de mémoire> Entrelacement du noeud doit être Désactivé. L’option Paramètres de mémoire> Mode d’opération de la mémoire doit être Mode optimiseur. L’option Sécurité des systèmes> Chiffrement de la mémoire doit être Activé si le contournement TME pour SGX n’est pas pris en charge.
Désactivé | Le BIOS désactive la technologie SGX. |
Activé | Le BIOS active la technologie SGX. |
Logiciel (si disponible) | Permet à l’application d’activer la technologie SGX. |
Restauration de l’alimentation secteur
Indique comment le système réagit après le rétablissement de l'alimentation secteur. Cette option est particulièrement utile pour les systèmes qui sont éteints avec une barrette d’alimentation.
Dernier | Le système est mis sous tension s'il l'était lors de la perte d'alimentation secteur. Le système reste hors tension s'il l'était lors de la perte de l'alimentation secteur. |
Activé | Le système est mis sous tension après rétablissement de l'alimentation secteur |
Désactivé | Le système reste hors tension après le rétablissement de l'alimentation. |
Délai de restauration de l’alimentation secteur
Indique comment le système prend en charge les étapes de mise sous tension après le rétablissement de l'alimentation secteur.
Immédiat | Aucun délai pour la mise sous tension. |
Aléatoire | Le système crée un délai aléatoire pour la mise sous tension. |
Défini par l'utilisateur | Le système retarde la mise sous tension de la valeur indiquée. La plage de délais définie par l’utilisateur et prise en charge par le système est comprise entre 60 et 600 secondes. |
Délai défini par l’utilisateur (60 s à 600 s)
Contrôle la durée pendant laquelle le processus de mise sous tension est retardé après la restauration de l’alimentation CA. La valeur est effective uniquement si Délai de restauration de l’alimentation secteur est défini sur Défini par l’utilisateur. La plage de valeurs valides est de 60 à 600 secondes.
UEFI Variable Access
L’accès aux variables UEFI fournit les divers degrés de variables UEFI sécurisées.
Standard (option par défaut) | Les variables UEFI sont accessibles dans le système d'exploitation selon la spécification UEFI. |
Contrôlé | Les variables UEFI sont protégées dans l'environnement de système d'exploitation et les nouvelles entrées d'amorçage UEFI sont contraintes à se positionner à la fin de l'ordre d'amorçage actuel. |
Interface de facilité de gestion intrabande
Lorsqu’il est défini sur Désactivé, ce paramètre cache les appareils HECI du moteur de gestion (ME, Management Engine) et les appareils IPMI du système à partir du système d’exploitation. Cela empêche le système d’exploitation de modifier les paramètres de plafonnement de l’alimentation ME, et bloque l’accès à tous les outils de gestion intrabande. Toutes les gestions doivent être gérées hors bande.
REMARQUE : Une mise à jour du BIOS nécessite des appareils HECI opérationnels et les mises à jour DUP une interface IPMI opérationnelle. Ce paramètre doit être défini sur Activé pour éviter les erreurs de mise à jour. |
Réduction des risques de sécurité SMM
L'option active ou désactive les protections de réduction des risques de sécurité SMM UEFI supplémentaires. Cette option n'est disponible que dans le mode de démarrage UEFI. Le système d'exploitation peut utiliser cette fonctionnalité pour protéger l'environnement sécurisé créé par la sécurité basée sur la virtualisation. L'activation de cette fonctionnalité fournit des protections de réduction des risques de sécurité SMM UEFI supplémentaires. Toutefois, cette fonctionnalité peut entraîner des problèmes de compatibilité ou une perte de fonctionnalité avec certains outils ou applications existants.
Secure Boot
Permet l’activation du Secure Boot, où le BIOS authentifie chaque composant exécuté au cours du processus de démarrage à l’aide des certificats de la politique du Secure Boot. Les composants suivants sont validés lors du processus de démarrage :
- Pilotes UEFI chargés à partir de cartes PCIe
- Pilotes et fichiers exécutables UEFI à partir de périphériques de stockage de masse
- Chargeurs de démarrage du système d’exploitation
REMARQUE : Secure Boot n’est pas disponible, sauf si le Boot Mode (dans le menu Paramètres de démarrage) est défini sur UEFI. |
REMARQUE : Secure Boot n’est pas disponible, sauf si le paramètre Chargement des options vidéo conventionnelles - Mémoire en lecture seule (dans le menu Paramètres divers) est Désactivé. |
REMARQUE : Créez un mot de passe de configuration si vous activez Secure Boot. |
Mode Secure Boot
Configure la façon dont le BIOS utilise les objets de politique Secure Boot (PK, KEK, db, dbx). En mode Configuration et en mode Audit, PK n’est pas présent et le BIOS n’authentifie pas les mises à jour programmatiques des objets de stratégie. En Mode utilisateur et en Mode déployé, PK est présent et le BIOS effectue la vérification de la signature sur les tentatives programmatiques de mise à jour des objets de stratégie. Mode déployé est le plus mode sécurisé. Utilisez Configuration, Audit ou Mode utilisateur, lors du provisionnement du système, puis utilisez le Mode déployé pour un fonctionnement normal. Les transitions de mode disponibles dépendent du mode actuel et de la présence de PK.
Le mode audit est utile pour définir une plage de travail de programmation par objets de stratégie. Dans le mode Audit, le BIOS effectue une vérification de signature sur des images préalables au démarrage et des résultats de journaux dans le tableau d’informations Exécution d’image, mais exécute les images qu’elles réussissent la vérification ou échouent. Pour plus d’informations sur les transitions entre les quatre modes, reportez-vous à la section Modes Secure Boot dans la notice technique UEFI.
Stratégie de Secure Boot
Définissez la politique Secure Boot.
Standard | Lorsque l’option est définie sur Standard, le BIOS utilise la clé et les certificats du fabricant du système pour authentifier les images préalables au démarrage. |
Personnalisée | Lorsque l’option est définie sur Personnalisation, le BIOS utilise les clés et les certificats définis par l’utilisateur.
|
Autoriser le micrologiciel de périphérique
Lorsque l’option est définie sur Activé, ce champ ajoute le hachage SHA-256 de chaque firmware d’appareil tiers à la base de données de signatures autorisées Secure Boot. Une fois les hachages ajoutés, le champ revient automatiquement sur Désactivé.
REMARQUE : Ce champ est en lecture seule, sauf si Secure Boot est Activé et que la politique Secure Boot est Personnalisation. Ce champ est disponible uniquement dans les consoles de gestion des systèmes sécurisées. |
Contrôle de la mise à jour du BIOS
Autorise ou empêche la mise à jour du BIOS en utilisant des utilitaires flash basés sur le shell DOS ou UEFI. Pour les environnements ne nécessitant pas de mise à jour BIOS locale, il est recommandé de définir ce champ sur Désactivé.
REMARQUE : Les mises à jour du BIOS via Dell Update Package ne sont pas affectées par cette option de configuration. |
Dévérouillé | Autorise toutes les mises à jour du BIOS. | ||
Limité | Empêche les mises à jours de BIOS locales depuis des utilitaires flash basés sur le shell DOS ou UEFFI ou depuis l’interface utilisateur de Lifecycle Controller.
|