Publicité
Tableau 50. Détails de Sécurité des systèmes (suite)
Option
Description
Délai de
Définit le délai de mise sous tension du système après la restauration de l'alimentation secteur sur le système.
récupération de
Par défaut, cette option est définie sur Immédiat. Lorsque l'option est définie sur :
l'alimentation
● Immédiat, il n'y a aucun délai pour la mise sous tension.
secteur
● Aléatoire, le système crée un délai aléatoire pour la mise sous tension.
● Défini par l'utilisateur, le délai de mise sous tension du système est entré manuellement.
Délai défini par
Définit l'option Délai défini par l'utilisateur lorsque l'option Défini par l'utilisateur pour Délai de
l'utilisateur (120 s
récupération de l'alimentation secteur est sélectionnée. Le délai de reprise CA ajoute environ
à 600 s)
50 secondes au temps racine de confiance de l'iDRAC.
Accès variable
Cette option fournit différents degrés de sécurisation des variables UEFI. Lorsqu'elle est définie sur :
UEFI
● Standard (valeur par défaut), les variables UEFI sont accessibles dans le système d'exploitation
● Contrôlé, les variables UEFI sélectionnées sont protégées dans l'environnement. Les nouvelles entrées
Interface de
Lorsqu'elle est définie sur Désactivé, elle masque le moteur de gestion (ME), les périphériques HECI et les
facilité de gestion
périphériques IPMI du système pour le système d'exploitation. Cela empêche le système d'exploitation de
intrabande
modifier les paramètres de plafonnement de l'alimentation ME et bloque l'accès à tous les outils de gestion
intrabande. Toutes les opérations de gestion doivent être gérées hors bande. Par défaut, cette option est
définie sur Activé.
Migration de la
Active ou désactive les protections de migration de sécurité SMM UEFI. Par défaut, cette option est définie
sécurité SMM
sur Désactivé.
Secure Boot
Active Secure Boot, où le BIOS authentifie chaque image de prédémarrage à l'aide des certificats de la
stratégie Secure Boot. Par défaut, Secure Boot est défini sur Désactivé.
Politique Secure
Lorsque la stratégie Secure Boot est définie sur :
Boot
● Standard, le BIOS utilise la clé et les certificats du fabricant du système pour authentifier les images de
● Personnalisé, le BIOS utilise la clé et les certificats définis par l'utilisateur.
Par défaut, la stratégie Secure Boot est définie sur Standard.
Mode Secure Boot
Configure la façon dont le BIOS utilise les objets de stratégie Secure Boot (PK, KEK, db, dbx).
Si le mode actuel est défini sur :
● Mode déployé, les options disponibles sont : Mode utilisateur et Mode déployé.
● Mode utilisateur, les options disponibles sont : Mode utilisateur, Mode audit et Mode déployé.
La liste suivante détaille les différents modes de démarrage disponibles dans l'option Mode Secure Boot :
● Mode utilisateur : en Mode utilisateur, PK doit être installé et le BIOS exécute la vérification de la
● Mode Audit : en mode Audit, PK n'est pas présent. Le BIOS n'authentifie pas la mise à jour
● Mode déployé : Le Mode déployé est le mode le plus sécurisé. En Mode déployé, PK doit être installé
Récapitulatif de la
Spécifie la liste des certificats et des hachages que Secure Boot utilise pour authentifier les images.
stratégie Secure
Boot
conformément à la spécification UEFI.
de démarrage UEFI sont placées à la fin de l'ordre de démarrage actuel.
REMARQUE :
La mise à jour du BIOS nécessite que les périphériques HECI soient opérationnels et les
mises à jour DUP nécessitent que l'interface IPMI soit opérationnelle. Définissez ce paramètre sur Activé
pour éviter les erreurs de mise à jour.
prédémarrage.
signature sur les tentatives programmatiques de mise à jour des objets de stratégie. Le BIOS permet des
transitions programmatiques non authentifiées entre les modes.
programmatique des objets de stratégie et les transitions entre les modes. Le BIOS effectue une
vérification de signature sur les images de prédémarrage. Les résultats sont consignés dans le tableau
d'informations d'exécution de l'image, mais exécutent les images, qu'elles réussissent ou échouent à la
vérification. Le mode Audit est utile pour la détermination programmatique d'un ensemble d'objets de
stratégie en fonctionnement.
et le BIOS exécute la vérification de la signature sur les tentatives programmatiques de mise à jour des
objets de stratégie. Le Mode déployé limite les transitions de mode programmatique.
Applications de gestion présystème d'exploitation
45
Publicité
