Systemsicherheit
Verwenden Sie dieses Fenster zur Steuerung der Sicherheitsfunktionen des Systems.
ANMERKUNG: Die Hilfeseite enthält möglicherweise Informationen über Funktionen und Werte, die von Ihrem System nicht unterstützt werden. In Server Administrator werden nur die von Ihrem System unterstützten Funktionen und Werte angezeigt. |
Nutzerberechtigungen
Auswahl | Ansicht | Managen |
---|---|---|
Systemsicherheit | AdministratorIn, AdministratorIn mit erhöhten Rechten (nur Linux) | AdministratorIn, AdministratorIn mit erhöhten Rechten (nur Linux) |
ANMERKUNG: Weitere Einzelheiten zu Berechtigungsebenen für Nutzer finden Sie unter Berechtigungsebenen in der Server Administrator-GUI. |
ANMERKUNG: Je nach verfügbarer Hardware können Abhängigkeiten zwischen den verschiedenen Attributen für Einstellungen bestehen. So kann beispielsweise die Einstellung eines Attributwertes den Zustand der abhängigen Attribute u. U. zu nicht-editierbar bzw. editierbar ändern. Z. B. kann man nach dem Ändern der Einstellung Kennwortstatus in Gesperrt das Systemkennwort nicht konfigurieren. |
ANMERKUNG: Je nach Systemprozessortyp stehen die Optionen TPM und TCM zur Verfügung. |
CPU AES-NI
Zeigt den Status der Prozessor-AES-NI-Funktion an. AES-NI verbessert die Geschwindigkeit von Anwendungen, indem es die Ver- und Entschlüsselung mit dem Advanced Encryption Standard Instruction Set durchführt.Systemkennwort
Das Systemkennwort ist das eingegebene Kennwort, über das das System ein Betriebssystem starten kann. Änderungen am Systemkennwort werden sofort wirksam. Wenn der Kennwort-Jumper (PWRD_EN) nicht im System installiert ist, ist das Kennwort schreibgeschützt.
ANMERKUNG: Großbuchstaben sind auf den PowerEdge-Servern der 13. Generation oder später zulässig. |
Setup-Kennwort
Das Setup-Kennwort ist das Kennwort, das eingegeben wird, um Änderungen an den BIOS-Einstellungen vorzunehmen. Das Systemkennwort kann jedoch ohne Eingabe des richtigen Setup-Kennworts geändert werden, wenn der Kennwortstatus auf Nicht gesperrt eingestellt ist. Änderungen am Setup-Kennwort werden sofort wirksam. Wenn der Kennwort-Jumper (PWRD_EN) nicht im System installiert ist, ist das Kennwort schreibgeschützt.
ANMERKUNG: Großbuchstaben sind auf den PowerEdge-Servern der 13. Generation oder später zulässig. |
Kennwortstatus
Freigegeben | Wenn die Option auf Entsperrt gesetzt ist, kann das Systemkennwort ohne Eingabe des Setup-Kennworts geändert werden. Auf diese Weise kann ein Administrator ein Setup-Kennwort beibehalten, um vor unbefugten BIOS-Setup-Änderungen zu schützen, während ein Nutzer das Systemkennwort frei ändern kann. |
Gesperrt | Wenn die Option auf Gesperrt gesetzt ist, muss das Setup-Kennwort eingegeben werden, um das Systemkennwort zu ändern. Um zu verhindern, dass das Kennwort des Systems ohne Angabe des Kennworts für die Einrichtung geändert wird, setzen Sie diese Option auf Gesperrt und aktivieren Sie das Setup-Kennwort. |
ANMERKUNG: Anweisungen: Um ein Systemkennwort zu sperren, starten Sie das System neu und klicken Sie unter dem Attribut Kennwortstatus auf Gesperrt. |
TPM-Informationen
Zeigt den Typ des Trusted Platform Module an, falls vorhanden.
Intel(R) AES-NI
Zeigt den Status der Funktion „Intel(R)- Prozessor-AES-NI“ an.
TPM-Sicherheit
Steuert die Meldungen des TPM (Trusted Platform Module) des Systems.
Aus (Standardeinstellung) | Die Anwesenheit des TPM wird dem Betriebssystem nicht gemeldet. |
Ein mit Vorstartmessungen | Das BIOS speichert dem TCG entsprechende Messungen während POST im TPM. |
Ein ohne Vorstartmessungen | Das BIOS umgeht Vorstartmessungen. |
ANMERKUNG: Für diese TPM-Sicherheitseinstellung wird ein Kennwort für das System bzw. das Setup empfohlen. |
TPM Firmware
Zeigt die Firmware-Version des TPM an.
TPM-Hierarchie
Ermöglicht das Aktivieren, Deaktivieren oder Löschen von Speicher- und Endorsement Key-Hierarchien. Wenn die Option auf Aktiviert gesetzt ist, werden die Speicher- und Endorsement-Hierarchien aktiviert, wenn diese deaktiviert sind und die Speicher- und Bestätigungshierarchien nicht verwendet werden können. Wenn festgelegt ist, dass die Speicher-und Bestätigungswerte gelöscht werden, wenn vorhanden.
TPM Activation
Ermöglicht es dem Nutzer, den Betriebszustand des Trusted Platform Module (TPM) zu ändern. Dieses Feld ist schreibgeschützt, wenn "TPM-Sicherheit" auf Aus eingestellt ist.
Aktivieren | Das TPM ist aktiviert. |
Ausschalten | Das TPM ist deaktiviert. |
Keine Änderung | Der Betriebszustand des TPM bleibt unverändert. |
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar. |
TPM-Status
Zeigt den Status des TPM an.
TPM löschen
VORSICHT: Durch das Löschen des TPM gehen alle Schlüssel im TPM verloren. Dies könnte sich auf den Start des Betriebssystems auswirken. |
Bei der Einstellung Ja wird der gesamte Inhalt des TPM gelöscht. Dieses Feld ist schreibgeschützt, wenn "TPM-Sicherheit" auf Aus eingestellt ist.
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar. |
TCM-Sicherheit
Steuert die Meldungen des TCM (Trusted Cryptography Module) des Systems.
Aus (Standardeinstellung) | Die Anwesenheit des TCM wird dem Betriebssystem nicht gemeldet. |
Ein | Die Anwesenheit des TCM wird dem Betriebssystem gemeldet. |
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar. |
TCM-Aktivierung
Ermöglicht es dem Nutzer, den Betriebszustand des Trusted Cryptography Module (TCM) zu ändern. Dieses Feld ist schreibgeschützt, wenn "TCM-Sicherheit" auf "Aus" eingestellt ist.
Aktivieren | Das TCM ist aktiviert. |
Ausschalten | Das TCM ist deaktiviert. |
Keine Änderung | Der Betriebszustand des TCM bleibt unverändert. |
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar. |
TCM löschen
VORSICHT: Durch das Löschen des TCM gehen alle Schlüssel im TCM verloren. Dies könnte sich auf den Start des Betriebssystems auswirken. |
Bei der Einstellung Ja wird der gesamte Inhalt des TCM gelöscht. Dieses Feld ist schreibgeschützt, wenn "TCM-Sicherheit" auf Aus eingestellt ist.
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar. |
TPM-Befehl
Ermöglicht es dem Nutzer, das Trusted Platform Module (TPM) zu steuern. Dieses Feld ist schreibgeschützt, wenn "TPM-Sicherheit" auf "Aus" eingestellt ist. Diese Aktion erfordert einen zusätzlichen Neustart, bevor sie wirksam wird.
Aktivieren | Das TPM ist aktiviert. |
Ausschalten | Das TPM ist deaktiviert. |
Keine | Wenn der Wert auf „Keine“ eingestellt ist, wird kein Befehl an das TPM gesendet. |
Löschen | Wenn der Wert auf „Löschen“ eingestellt ist, werden alle Inhalte des TPM gelöscht. |
VORSICHT: Durch das Löschen des TPM gehen alle Schlüssel im TPM verloren. Dies könnte sich auf den Start des Betriebssystems auswirken. |
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar. |
Intel(R) TXT
Aktiviert oder deaktiviert Trusted Execution Technology. Um Intel TXT zu aktivieren, muss die Virtualisierungstechnologie aktiviertsein, TPM-Sicherheit muss aktiviert mit Maßnahmen vor dem Start sein und der TPM-Status auf Aktiviert gesetzt sein. Wenn TPM2 verwendet wird, muss der Hash-Algorithmus auf SHA256 festgelegt werden.
Umgehung TME-Verschlüsselung
Ermöglicht die Umgehung von Intel Total Memory Encryption.
Speicherverschlüsselung
Aktiviert oder deaktiviert Intel Total Memory Encryption und Multi-Tenant (Intel TME-MT).
Mehrere Schlüssel | Das BIOS aktiviert die TME-MT-Technologie. |
Einzelner Schlüssel | Das BIOS aktiviert die TME-Technologie. |
Deaktivieren | Das BIOS deaktiviert sowohl TME- als auch TME-MT-Technologie. |
Intel(R) SGX
Aktiviert bzw. deaktiviert die Intel SGX-Technology (Software Guard Extension). Um Intel SGX zu aktivieren, müssen bestimmte Plattformanforderungen erfüllt sein. Die CPU muss SGX-fähig sein. SGX unterstützt nur RDIMM-Speicherkonfigurationen. SGX unterstützt nur ECC-DIMMs. Die Speicherbestückung muss kompatibel sein. (Mindestkonfiguration: 8x identisches DIMM1 bis DIMM8 pro CPU-Sockel. Die DIMM-Anzahl kann je nach Plattformdesign variieren). SGX unterstützt nur den gleichen Typ von Speicherkonfiguration für alle CPUs. SGX unterstützt nur den gleichen Interleaving-Modus für alle CPUs. Die Option Speichereinstellungen > Node-Interleaving muss deaktiviert sein. Die Option Speichereinstellungen > Speicher-Betriebsmodus muss auf Optimierungsmodus eingestellt sein. Die Option Systemsicherheit > Speicherverschlüsselung muss aktiviert sein, wenn TME-Bypass für SGX nicht unterstützt wird.
Aus | Das BIOS deaktiviert die SGX-Technologie. |
Ein | Das BIOS aktiviert die SGX-Technologie. |
Software (falls verfügbar) | Ermöglicht die Aktivierung der SGX-Technologie durch die Anwendung. |
Netzstromwiederherstellung
Legt fest, wie das System reagiert, nachdem die Stromversorgung des Systems wiederhergestellt wurde. Dies ist besonders nützlich, wenn Systeme mit einer Steckdosenleiste ausgeschaltet werden.
Letzter | Das System wird hochgefahren, wenn es beim Stromausfall eingeschaltet war. Das System bleibt ausgeschaltet, wenn es beim Stromausfall ausgeschaltet war. |
Ein | Das System wird nach Wiederherstellung der Stromversorgung eingeschaltet. |
Aus | Das System bleibt nach Wiederherstellung der Stromversorgung ausgeschaltet. |
Verzögerung bei Netzstromwiederherstellung
Legt fest, wie das System die Verzögerungen des Hochfahrens unterstützt, nachdem die Stromversorgung des Systems wiederhergestellt wurde.
Sofort | Das Hochfahren erfolgt ohne Verzögerung. |
Zufällig | Das System erstellt eine zufällige zeitliche Verzögerung für das Hochfahren. |
Nutzerdefiniert | Das System verzögert das Hochfahren um den nutzerdefinierten Zeitraum. Dabei unterstützt das System Zeiträume von 60 bis 600 Sekunden. |
Benutzerdefinierte Verzögerung (60 bis 600 s)
Steuert die Dauer, für die der Einschaltvorgang verzögert wird, nachdem die Netzstromversorgung wiederhergestellt wurde. Der Wert ist nur wirksam, wenn die Verzögerung bei der Netzstromwiederherstellung auf Benutzerdefiniert festgelegt ist. Der zulässige Bereich liegt zwischen 60 und 600 s.
Variabler UEFI-Zugriff
Der variable UEFI-Zugriff bietet einen unterschiedlichen Grad der Absicherung von UEFI-Variablen.
Standard (Vorgabeeinstellung) | Es kann der UEFI-Spezifikation gemäß auf die UEFI-Variablen im Betriebssystem zugegriffen werden. |
Gesteuert | Der UEFI-Variablen werden in der Betriebssystemumgebung geschützt, und neue UEFI-Starteinträge werden gezwungenermaßen an das Ende der aktuellen Startreihenfolge gelegt. |
In-Band Benutzeroberfläche
Wenn die Option auf Deaktiviert gesetzt ist, verbirgt diese Einstellung die HECI-Geräte der Management Engine (ME) und die IPMI-Geräte des Systems vor dem Betriebssystem. Dadurch wird verhindert, dass der Betriebssystem vom Ändern des ME Power Capping Einstellungen und blockiert den Zugriff auf alle In-Band -Management Tools. Alle Managementfunktionen müssen über Out-of-Band verwaltet werden.
ANMERKUNG: BIOS-Update erfordert HECI Geräte in Betrieb sein und DUP Aktualisierungen erfordern IPMI-Schnittstelle in Betrieb sein. Diese Einstellung muss auf Aktiviert gesetzt sein, um Aktualisierungsfehler zu vermeiden. |
SMM Security Mitigation
Die Option aktiviert oder deaktiviert zusätzliche Schutzmaßnahmen von UEFI SMM Security Mitigation. Diese Option steht nur im Startmodus UEFI zur Verfügung. Das Betriebssystem kann mithilfe dieser Funktion durch auf Virtualisierung basierende Sicherheit erstellte sichere Umgebungen schützen. Das Aktivieren dieser Funktion bietet zusätzliche Schutzmaßnahmen von UEFI SMM Security Mitigation. Diese Funktion kann jedoch zu Kompatibilitätsproblemen oder zum Verlust von Funktionalität bei einigen Legacy-Tools und Legacy-Anwendungen führen.
Secure Boot
Ermöglicht die Aktivierung von Secure Boot, wobei das BIOS jede Komponente authentifiziert, die während des Startvorgangs mithilfe der Zertifikate in der Secure Boot-Policy ausgeführt wird. Die folgenden Komponenten werden beim Startprozess validiert:
- UEFI-Treiber, die von PCIe-Karten geladen werden
- UEFI-Treiber und ausführbare Dateien von Massenspeichergeräten
- Bootloader des Betriebssystems
ANMERKUNG: Secure Boot ist nur verfügbar, wenn der Startmodus (im Menü „Starteinstellungen“) auf UEFI eingestellt ist. |
ANMERKUNG: Secure Boot ist nur verfügbar, wenn die Einstellung Legacy Video Option-ROM laden (im Menü Verschiedene Einstellungen) auf Deaktiviert gesetzt ist. |
ANMERKUNG: Erstellen Sie ein Setup-Kennwort, wenn Sie Secure Boot aktivieren. |
Secure Boot Mode
Legt fest, wie das BIOS die Regel für sicheren Start Objekte (PK, KEK, db, dbx). Im Setup-Modus und Audit-Modus ist PK nicht vorhanden und das BIOS authentifiziert keine programmgesteuerten Aktualisierungen der Richtlinienobjekte. Im Benutzermodus und Bereitstellungsmodus ist PK vorhanden und das BIOS führt eine Signaturüberprüfung bei programmgesteuerten Versuchen durch, Policy-Objekte zu aktualisieren. Modus Bereitgestellt ist die sicherste Modus. Verwenden Sie den Setup-, Audit- oder Benutzermodus, wenn Sie das System bereitstellen, und verwenden Sie dann den Bereitstellungsmodus für den normalen Betrieb. Die verfügbaren Modusübergänge hängen vom aktuellen Modus und dem Vorhandensein des PK ab.
Audit Modus eignet sich für programmgesteuert zur Festlegung einer arbeiten Satz von Richtlinie Objekte. Im Audit-Modus führt das BIOS eine Signaturprüfung der Pre-Boot-Images durch und protokolliert die Ergebnisse in der Image-Ausführungs-Informationstabelle, führt die Images aber unabhängig davon aus, ob sie die Prüfung bestehen oder nicht. Weitere Informationen zu Übergängen zwischen den vier Modi finden Sie unter Secure Boot-Modi in der UEFI-Spezifikation.
Richtlinie für sicheren Start
Legt die Richtlinie für Secure Boot fest.
Standard | Wenn die Option auf Standard eingestellt ist, authentifiziert das BIOS die Pre-Boot-Images mithilfe des Schlüssels und der Zertifikate des Systemherstellers. |
Nutzerdefiniert | Wenn die Option auf Benutzerdefiniert eingestellt ist, verwendet das BIOS benutzerdefinierte Schlüssel und Zertifikate.
|
Autorisieren der Gerätefirmware
Wenn die Option auf Aktiviert gesetzt ist, fügt dieses Feld den SHA-256-Hash jeder Gerätefirmware eines Drittanbieters zur Secure Boot Authorized Signature-Datenbank hinzu. Nachdem die Hashes hinzugefügt wurden, wird das Feld automatisch auf Deaktiviertzurückgesetzt.
ANMERKUNG: Dieses Feld ist schreibgeschützt, es sei denn, Secure Boot ist aktiviert und die Secure Boot-Policy ist benutzerdefiniert. Dieses Feld ist nur in sicheren Systemmanagement-Konsolen verfügbar. |
BIOS-Aktualisierungssteuerung
Ermöglicht oder verhindert die BIOS-Aktualisierung mithilfe von Flash-Dienstprogrammen auf Basis von DOS- oder UEFI-Shells. Für Umgebungen, die keine lokalen BIOS-Aktualisierungen benötigen, wird empfohlen, dieses Feld auf Deaktiviert einzustellen.
ANMERKUNG: BIOS-Aktualisierungen über Update Package bleiben von dieser Setup-Option unberührt. |
Freigegeben | Ermöglicht alle BIOS-Aktualisierungen. | ||
Eingeschränkt | Verhindert lokale BIOS-Aktualisierungen mithilfe von DOS oder UEFI Shell-basierten Flash-Dienstprogrammen oder von der Lifecycle Controller-Benutzerschnittstelle.
|