Systemsicherheit

Verwenden Sie dieses Fenster zur Steuerung der Sicherheitsfunktionen des Systems.

ANMERKUNG: Die Hilfeseite enthält möglicherweise Informationen über Funktionen und Werte, die von Ihrem System nicht unterstützt werden. In Server Administrator werden nur die von Ihrem System unterstützten Funktionen und Werte angezeigt.

Nutzerberechtigungen

Tabelle 1. Nutzerberechtigungen
Auswahl Ansicht Managen
Systemsicherheit Administrator, erhöhter Administrator (nur Linux) Administrator, erhöhter Administrator (nur Linux)
ANMERKUNG: Weitere Einzelheiten zu Berechtigungsebenen für Nutzer finden Sie unter Berechtigungsebenen in der Server Administrator-GUI.
ANMERKUNG: Je nach verfügbarer Hardware können Abhängigkeiten zwischen den verschiedenen Attributen für Einstellungen bestehen. So kann beispielsweise die Einstellung eines Attributwertes den Zustand der abhängigen Attribute u. U. zu nicht-editierbar bzw. editierbar ändern. Z. B. kann man nach dem Ändern der Einstellung Kennwortstatus in Gesperrt das Systemkennwort nicht konfigurieren.
ANMERKUNG: Je nach Systemprozessortyp stehen die Optionen TPM und TCM zur Verfügung.

CPU AES-NI

Zeigt den Status der Prozessor-AES-NI-Funktion an. AES-NI verbessert die Geschwindigkeit von Anwendungen, indem es die Ver- und Entschlüsselung mit dem Advanced Encryption Standard Instruction Set durchführt.

Systemkennwort

Das Systemkennwort ist das eingegebene Kennwort, über das das System ein Betriebssystem starten kann. Änderungen am Systemkennwort werden sofort wirksam. Wenn der Kennwort-Jumper (PWRD_EN) nicht im System installiert ist, ist das Kennwort schreibgeschützt.

ANMERKUNG: Großbuchstaben sind auf den PowerEdge-Servern der 13. Generation oder später zulässig.

Setup-Kennwort

Das Setup-Kennwort ist das Kennwort, das eingegeben wird, um Änderungen an den BIOS-Einstellungen vorzunehmen. Das Systemkennwort kann jedoch ohne Eingabe des richtigen Setup-Kennworts geändert werden, wenn der Kennwortstatus auf Nicht gesperrt eingestellt ist. Änderungen am Setup-Kennwort werden sofort wirksam. Wenn der Kennwort-Jumper (PWRD_EN) nicht im System installiert ist, ist das Kennwort schreibgeschützt.

ANMERKUNG: Großbuchstaben sind auf den PowerEdge-Servern der 13. Generation oder später zulässig.

Kennwortstatus

Freigegeben Wenn die Option auf Entsperrt gesetzt ist, kann das Systemkennwort ohne Eingabe des Setup-Kennworts geändert werden. Auf diese Weise kann ein Administrator ein Setup-Kennwort beibehalten, um vor unbefugten BIOS-Setup-Änderungen zu schützen, während ein Nutzer das Systemkennwort frei ändern kann.
Gesperrt Wenn die Option auf Gesperrt gesetzt ist, muss das Setup-Kennwort eingegeben werden, um das Systemkennwort zu ändern. Um zu verhindern, dass das Kennwort des Systems ohne Angabe des Kennworts für die Einrichtung geändert wird, setzen Sie diese Option auf Gesperrt und aktivieren Sie das Setup-Kennwort.
ANMERKUNG: Anweisungen: Um ein Systemkennwort zu sperren, starten Sie das System neu und klicken Sie unter dem Attribut Kennwortstatus auf Gesperrt.

TPM-Informationen

Zeigt den Typ des Trusted Platform Module an, falls vorhanden.

Intel(R) AES-NI

Zeigt den Status der Funktion „Intel(R)- Prozessor-AES-NI“ an.

TPM-Sicherheit

Steuert die Meldungen des TPM (Trusted Platform Module) des Systems.

Aus (Standardeinstellung) Die Anwesenheit des TPM wird dem Betriebssystem nicht gemeldet.
Ein mit Vorstartmessungen Das BIOS speichert dem TCG entsprechende Messungen während POST im TPM.
Ein ohne Vorstartmessungen Das BIOS umgeht Vorstartmessungen.
ANMERKUNG: Für diese TPM-Sicherheitseinstellung wird ein Kennwort für das System bzw. das Setup empfohlen.

TPM Firmware

Zeigt die Firmware-Version des TPM an.

TPM-Hierarchie

Ermöglicht das Aktivieren, Deaktivieren oder Löschen von Speicher- und Endorsement Key-Hierarchien. Wenn die Option auf Aktiviert gesetzt ist, werden die Speicher- und Endorsement-Hierarchien aktiviert, wenn diese deaktiviert sind und die Speicher- und Bestätigungshierarchien nicht verwendet werden können. Wenn festgelegt ist, dass die Speicher-und Bestätigungswerte gelöscht werden, wenn vorhanden.

TPM Activation

Ermöglicht es dem Nutzer, den Betriebszustand des Trusted Platform Module (TPM) zu ändern. Dieses Feld ist schreibgeschützt, wenn "TPM-Sicherheit" auf Aus eingestellt ist.

Aktivieren Das TPM ist aktiviert.
Ausschalten Das TPM ist deaktiviert.
Keine Änderung Der Betriebszustand des TPM bleibt unverändert.
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar.

TPM-Status

Zeigt den Status des TPM an.

TPM löschen

VORSICHT: Durch das Löschen des TPM gehen alle Schlüssel im TPM verloren. Dies könnte sich auf den Start des Betriebssystems auswirken.

Bei der Einstellung Ja wird der gesamte Inhalt des TPM gelöscht. Dieses Feld ist schreibgeschützt, wenn "TPM-Sicherheit" auf Aus eingestellt ist.

ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar.

TCM-Sicherheit

Steuert die Meldungen des TCM (Trusted Cryptography Module) des Systems.

Aus (Standardeinstellung) Die Anwesenheit des TCM wird dem Betriebssystem nicht gemeldet.
Ein Die Anwesenheit des TCM wird dem Betriebssystem gemeldet.
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar.

TCM-Aktivierung

Ermöglicht es dem Nutzer, den Betriebszustand des Trusted Cryptography Module (TCM) zu ändern. Dieses Feld ist schreibgeschützt, wenn "TCM-Sicherheit" auf "Aus" eingestellt ist.

Aktivieren Das TCM ist aktiviert.
Ausschalten Das TCM ist deaktiviert.
Keine Änderung Der Betriebszustand des TCM bleibt unverändert.
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar.

TCM löschen

VORSICHT: Durch das Löschen des TCM gehen alle Schlüssel im TCM verloren. Dies könnte sich auf den Start des Betriebssystems auswirken.

Bei der Einstellung Ja wird der gesamte Inhalt des TCM gelöscht. Dieses Feld ist schreibgeschützt, wenn "TCM-Sicherheit" auf Aus eingestellt ist.

ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar.

TPM-Befehl

Ermöglicht es dem Nutzer, das Trusted Platform Module (TPM) zu steuern. Dieses Feld ist schreibgeschützt, wenn "TPM-Sicherheit" auf "Aus" eingestellt ist. Diese Aktion erfordert einen zusätzlichen Neustart, bevor sie wirksam wird.

Aktivieren Das TPM ist aktiviert.
Ausschalten Das TPM ist deaktiviert.
Keine Wenn der Wert auf „Keine“ eingestellt ist, wird kein Befehl an das TPM gesendet.
Löschen Wenn der Wert auf „Löschen“ eingestellt ist, werden alle Inhalte des TPM gelöscht.
VORSICHT: Durch das Löschen des TPM gehen alle Schlüssel im TPM verloren. Dies könnte sich auf den Start des Betriebssystems auswirken.
ANMERKUNG: Diese Funktion ist für Plattformen der 13. Generation oder höher nicht verfügbar.

Intel(R) TXT

Aktiviert oder deaktiviert Trusted Execution Technology. Um Intel TXT zu aktivieren, muss die Virtualisierungstechnologie aktiviertsein, TPM-Sicherheit muss aktiviert mit Maßnahmen vor dem Start sein und der TPM-Status auf Aktiviert gesetzt sein. Wenn TPM2 verwendet wird, muss der Hash-Algorithmus auf SHA256 festgelegt werden.

Speicherverschlüsselung

Aktiviert oder deaktiviert Intel Total Memory Encryption und Multi-Tenant (Intel TME-MT).

Mehrere Schlüssel Das BIOS aktiviert die TME-MT-Technologie.
Einzelner Schlüssel Das BIOS aktiviert die TME-Technologie.
Deaktivieren Das BIOS deaktiviert sowohl TME- als auch TME-MT-Technologie.

Intel(R) SGX

Aktiviert bzw. deaktiviert die Intel SGX-Technology (Software Guard Extension). Um Intel SGX zu aktivieren, müssen bestimmte Plattformanforderungen erfüllt sein. Die CPU muss SGX-fähig sein. SGX unterstützt nur RDIMM-Speicherkonfigurationen. SGX unterstützt nur ECC-DIMMs. Die Speicherbestückung muss kompatibel sein. (Mindestkonfiguration: 8x identisches DIMM1 bis DIMM8 pro CPU-Sockel. Die DIMM-Anzahl kann je nach Plattformdesign variieren). SGX unterstützt nur den gleichen Typ von Speicherkonfiguration für alle CPUs. SGX unterstützt nur den gleichen Interleaving-Modus für alle CPUs. Die Option Speichereinstellungen > Node-Interleaving muss deaktiviert sein. Die Option Speichereinstellungen > Speicher-Betriebsmodus muss auf Optimierungsmodus eingestellt sein. Die Option Systemsicherheit > Speicherverschlüsselung muss aktiviert sein, wenn TME-Bypass für SGX nicht unterstützt wird.

Aus Das BIOS deaktiviert die SGX-Technologie.
Ein Das BIOS aktiviert die SGX-Technologie.
Software (falls verfügbar) Ermöglicht die Aktivierung der SGX-Technologie durch die Anwendung.

Netzstromwiederherstellung

Legt fest, wie das System reagiert, nachdem die Stromversorgung des Systems wiederhergestellt wurde. Dies ist besonders nützlich, wenn Systeme mit einer Steckdosenleiste ausgeschaltet werden.

Letzter Das System wird hochgefahren, wenn es beim Stromausfall eingeschaltet war. Das System bleibt ausgeschaltet, wenn es beim Stromausfall ausgeschaltet war.
Ein Das System wird nach Wiederherstellung der Stromversorgung eingeschaltet.
Aus Das System bleibt nach Wiederherstellung der Stromversorgung ausgeschaltet.

Verzögerung bei Netzstromwiederherstellung

Legt fest, wie das System die Verzögerungen des Hochfahrens unterstützt, nachdem die Stromversorgung des Systems wiederhergestellt wurde.

Sofort Das Hochfahren erfolgt ohne Verzögerung.
Zufällig Das System erstellt eine zufällige zeitliche Verzögerung für das Hochfahren.
Nutzerdefiniert Das System verzögert das Hochfahren um den nutzerdefinierten Zeitraum. Dabei unterstützt das System Zeiträume von 60 bis 600 Sekunden.

Benutzerdefinierte Verzögerung (60 bis 600 s)

Steuert die Dauer, für die der Einschaltvorgang verzögert wird, nachdem die Netzstromversorgung wiederhergestellt wurde. Der Wert ist nur wirksam, wenn die Verzögerung bei der Netzstromwiederherstellung auf Benutzerdefiniert festgelegt ist. Der zulässige Bereich liegt zwischen 60 und 600 s.

Variabler UEFI-Zugriff

Der variable UEFI-Zugriff bietet einen unterschiedlichen Grad der Absicherung von UEFI-Variablen.

Standard (Vorgabeeinstellung) Es kann der UEFI-Spezifikation gemäß auf die UEFI-Variablen im Betriebssystem zugegriffen werden.
Gesteuert Der UEFI-Variablen werden in der Betriebssystemumgebung geschützt, und neue UEFI-Starteinträge werden gezwungenermaßen an das Ende der aktuellen Startreihenfolge gelegt.

In-Band Benutzeroberfläche

Wenn die Option auf Deaktiviert gesetzt ist, verbirgt diese Einstellung die HECI-Geräte der Management Engine (ME) und die IPMI-Geräte des Systems vor dem Betriebssystem. Dadurch wird verhindert, dass der Betriebssystem vom Ändern des ME Power Capping Einstellungen und blockiert den Zugriff auf alle In-Band -Management Tools. Alle Managementfunktionen müssen über Out-of-Band verwaltet werden.

ANMERKUNG: BIOS-Update erfordert HECI Geräte in Betrieb sein und DUP Aktualisierungen erfordern IPMI-Schnittstelle in Betrieb sein. Diese Einstellung muss auf Aktiviert gesetzt sein, um Aktualisierungsfehler zu vermeiden.

Secure Boot

Ermöglicht die Aktivierung von Secure Boot, wobei das BIOS jede Komponente authentifiziert, die während des Startvorgangs mithilfe der Zertifikate in der Secure Boot-Policy ausgeführt wird. Die folgenden Komponenten werden beim Startprozess validiert:

  • UEFI-Treiber, die von PCIe-Karten geladen werden
  • UEFI-Treiber und ausführbare Dateien von Massenspeichergeräten
  • Bootloader des Betriebssystems
ANMERKUNG: Secure Boot ist nur verfügbar, wenn der Startmodus (im Menü „Starteinstellungen“) auf UEFI eingestellt ist.
ANMERKUNG: Secure Boot ist nur verfügbar, wenn die Einstellung Legacy Video Option-ROM laden (im Menü Verschiedene Einstellungen) auf Deaktiviert gesetzt ist.
ANMERKUNG: Erstellen Sie ein Setup-Kennwort, wenn Sie Secure Boot aktivieren.

Secure Boot Mode

Legt fest, wie das BIOS die Regel für sicheren Start Objekte (PK, KEK, db, dbx). Im Setup-Modus und Audit-Modus ist PK nicht vorhanden und das BIOS authentifiziert keine programmgesteuerten Aktualisierungen der Richtlinienobjekte. Im Benutzermodus und Bereitstellungsmodus ist PK vorhanden und das BIOS führt eine Signaturüberprüfung bei programmgesteuerten Versuchen durch, Policy-Objekte zu aktualisieren. Modus Bereitgestellt ist die sicherste Modus. Verwenden Sie den Setup-, Audit- oder Benutzermodus, wenn Sie das System bereitstellen, und verwenden Sie dann den Bereitstellungsmodus für den normalen Betrieb. Die verfügbaren Modusübergänge hängen vom aktuellen Modus und dem Vorhandensein des PK ab.

Audit Modus eignet sich für programmgesteuert zur Festlegung einer arbeiten Satz von Richtlinie Objekte. Im Audit-Modus führt das BIOS eine Signaturprüfung der Pre-Boot-Images durch und protokolliert die Ergebnisse in der Image-Ausführungs-Informationstabelle, führt die Images aber unabhängig davon aus, ob sie die Prüfung bestehen oder nicht. Weitere Informationen zu Übergängen zwischen den vier Modi finden Sie unter Secure Boot-Modi in der UEFI-Spezifikation.

Richtlinie für sicheren Start

Legt die Richtlinie für Secure Boot fest.

Standard Wenn die Option auf Standard eingestellt ist, authentifiziert das BIOS die Pre-Boot-Images mithilfe des Schlüssels und der Zertifikate des Systemherstellers.
Nutzerdefiniert Wenn die Option auf Benutzerdefiniert eingestellt ist, verwendet das BIOS benutzerdefinierte Schlüssel und Zertifikate.
ANMERKUNG: Wenn der benutzerdefinierte Modus ausgewählt ist, wird das Menü Einstellungen für die Secure Boot-Policy angezeigt.
ANMERKUNG: Das Ändern der Standardsicherheitszertifikate kann dazu führen, dass das System bei bestimmten Startoptionen nicht mehr startet.

Autorisieren der Gerätefirmware

Wenn die Option auf Aktiviert gesetzt ist, fügt dieses Feld den SHA-256-Hash jeder Gerätefirmware eines Drittanbieters zur Secure Boot Authorized Signature-Datenbank hinzu. Nachdem die Hashes hinzugefügt wurden, wird das Feld automatisch auf Deaktiviertzurückgesetzt.

ANMERKUNG: Dieses Feld ist schreibgeschützt, es sei denn, Secure Boot ist aktiviert und die Secure Boot-Policy ist benutzerdefiniert. Dieses Feld ist nur in sicheren Systemmanagement-Konsolen verfügbar.

BIOS-Aktualisierungssteuerung

Ermöglicht oder verhindert die BIOS-Aktualisierung mithilfe von Flash-Dienstprogrammen auf Basis von DOS- oder UEFI-Shells. Für Umgebungen, die keine lokalen BIOS-Aktualisierungen benötigen, wird empfohlen, dieses Feld auf Deaktiviert einzustellen.

ANMERKUNG: BIOS-Aktualisierungen über Update Package bleiben von dieser Setup-Option unberührt.
Freigegeben Ermöglicht alle BIOS-Aktualisierungen.
Eingeschränkt Verhindert lokale BIOS-Aktualisierungen mithilfe von DOS oder UEFI Shell-basierten Flash-Dienstprogrammen oder von der Lifecycle Controller-Benutzerschnittstelle.
ANMERKUNG: Die Option "Eingeschränkt" ist für Umgebungen empfohlen, die keine lokalen BIOS-Aktualisierungen erfordern. Diese Umgebungen umfassen Remote-Aktivierung-Aktualisierungen oder die Ausführung eines Aktualisierungspakets vom Betriebssystem.
Weitere Informationen zu den anderen Schaltflächen auf den Maßnahmen-Seiten des Server Administrators finden Sie unter Fensterschaltflächen des Server Administrators.