Publicité
Tableau 54. Détails de l'écran Sécurité des systèmes (suite)
Option
Champ d'application du certificat
d'autorité de certification UEFI
Intel Trust Domain Extension
(TDX)
Répartition des clés entre TME-
MT et TDX définie sur une valeur
différente de zéro
Désactiver l'exclusion des régions
de mémoire inférieures à 1 Mo
dans CMR
Chargeur de mode SEAM
(Secure Arbitration Mode) de TDX
Intel(R) In-Field Scan
Création d'un mot de passe système et de configuration
Prérequis
Assurez-vous que le cavalier de mot de passe est activé. Le cavalier de mot de passe active ou désactive les fonctions de mot de passe
pour le système et la configuration. Pour plus d'informations, voir la section Paramétrage des cavaliers de la carte Système.
REMARQUE :
Si le paramètre du cavalier du mot de passe est désactivé, le mot de passe du système et le mot de passe de
configuration existants sont supprimés et vous n'avez pas besoin de fournir un mot de passe du système pour ouvrir une session.
Étapes
1. Pour accéder à la Configuration du système, appuyez sur la touche F2 immédiatement après le démarrage ou le redémarrage de votre
système.
2. Dans l'écran Menu principal de configuration du système, cliquez sur BIOS du système > Sécurité du système.
3. Dans l'écran Sécurité du système, vérifiez que l'État du mot de passe est Déverrouillé.
56
Applications de gestion pré-système d'exploitation
Description
Ce champ indique comment Secure Boot utilise le certificat d'autorité de certification UEFI
dans la base de données des signatures autorisées (db). Lorsque ce champ est défini sur
Système d'exploitation et firmware de l'appareil, Secure Boot applique le certificat d'autorité
de certification UEFI à toutes les images, y compris le firmware de l'appareil, les chargeurs du
système d'exploitation et les applications UEFI. Lorsque ce champ est défini sur « Firmware de
l'appareil », Secure Boot applique le certificat d'autorité de certification UEFI uniquement au
firmware de démarrage de l'appareil, tel que les pilotes UEFI pour les appareils RAID ou NIC.
Dans ce cas, les chargeurs du système d'exploitation et les applications UEFI ne s'exécutent
pas s'ils sont signés uniquement par la clé d'autorité de certification UEFI, même si le certificat
d'autorité de certification UEFI se trouve dans db. Ce champ est configurable uniquement
lorsque la politique Secure Boot est définie sur Personnalisation. Dans le cas contraire, la
valeur de ce champ est sélectionnée automatiquement en fonction du paramètre de la politique
Secure Boot.
Intel Trust Domain Extension (TDX) est un environnement d'exécution de confiance basé
sur une solution matérielle. Il est conçu pour protéger les données et applications sensibles
présentes dans un domaine de confiance (TD) ou sur une machine virtuelle (VM) contre tout
accès non autorisé. L'option Chiffrement de la mémoire doit être définie sur Plusieurs clés
pour que le TDX soit activé. Par défaut, le TDX est désactivé.
REMARQUE :
Pour activer l'option TDX, le processeur doit être compatible à TDX, le
remplissage de la mémoire doit être compatible en tant que paramètre SGX (minimum
x8 DIMM1 identiques à DIMM8 par socket de processeur, pas prise en charge sur la
configuration de la mémoire permanente)
Lorsque l'option Répartition des clés entre TME-MT et TDX définie sur une valeur différente
de zéro est définie sur 1, 2, 3, 4, 5 ou 6, elle désigne le nombre de bits destinés à l'utilisation de
TDX, tandis que le reste sera utilisé par TME-MT. Par défaut, cette option est définie sur 1.
La fonctionnalité CMR (Convertible Memory Range) est programmée pour définir les régions
de mémoire convertibles entre l'utilisation d'Intel SGX et d'Intel TDX. Cette option permet au
système d'inclure les régions de mémoire inférieures à 1 Mo dans CMR. Par défaut, cette option
est définie sur Désactivé.
Ce module logiciel s'exécute dans un nouveau mode SEAM (Secure Arbitration Mode) de
processeur en tant que Virtual Machine Manager (VMM) homologue. Ce module SEAM prend
en charge l'entrée et la sortie des domaines de confiance à l'aide de l'infrastructure de
virtualisation existante. Par défaut, cette option est définie sur Désactivé.
La fonctionnalité Intel(R) In-Field Scan permet au logiciel d'analyser les cœurs de processeur
afin d'identifier d'éventuelles défaillances latentes. L'analyse peut être effectuée sur le terrain
après le déploiement du serveur. Lorsque cette option est activée, le BIOS configure tous les
processeurs pour répondre aux demandes d'analyse du logiciel. Lorsqu'elle est désactivée, les
processeurs ne répondent pas aux demandes d'analyse du logiciel. Par défaut, cette option est
définie sur Désactivé.
Publicité
