Publicité
Tableau 62. Détails de l'écran Sécurité des systèmes (suite)
Option
Réduction des risques de
sécurité SMM
Secure Boot
Politique Secure Boot
Mode Secure Boot
Résumé de la politique Secure
Boot
Paramètres de la politique Secure
Boot personnalisée
Intel Trust Domain Extension
(TDX)
Description
Active ou de désactive les protections de la migration de la sécurité UEFI SMM. Par défaut,
cette option est définie sur Désactivé.
Permet d'activer Secure Boot, où le BIOS authentifie chaque image de préamorçage à l'aide
des certificats de la politique Secure Boot. Par défaut, la politique Secure Boot est définie sur
Désactivé (par défaut).
REMARQUE :
La configuration XE9680 - MI300X ne prend pas en charge la fonction
Secure Boot activé, car AMD MI300X ne dispose pas d'une IFWI compatible UEFI et le
pilote amdgpu ne prend pas en charge le démarrage sécurisé UEFI.
Permet de sélectionner la politique Secure Boot. Lorsqu'elle est définie sur Standard, le BIOS
utilise la clé et les certificats du fabricant du système pour authentifier les images préalables
au démarrage. Lorsqu'elle est définie sur Personnalisation, le BIOS utilise la clé et les
certificats définis par l'utilisateur. Lorsqu'elle est définie sur Démarrage Linux(R), Démarrage
VMware(R) ou Démarrage Microsoft(R), la politique Secure Boot inclut uniquement les
certificats nécessaires pour le système d'exploitation correspondant.
Par défaut, la politique Secure Boot est définie sur Standard.
REMARQUE :
Si le mode Personnalisation est sélectionné, le menu de Paramètres de
politique personnalisée Secure Boot.
REMARQUE :
La modification des certificats de sécurité par défaut peut entraîner l'échec
du démarrage du système à partir de certaines options de démarrage.
Configure la façon dont le BIOS utilise les objets de politique Secure Boot (PK, KEK, db, dbx).
Si le mode actuel est défini sur mode déployé, les options disponibles sont Mode d'utilisateur
et mode déployé. Si le mode actuel est défini sur mode utilisateur, les options disponibles
sont User Mode, Mode d'audit, et mode déployé.
Ci-dessous figurent des informations détaillées sur les différents modes de démarrage
disponibles dans l'option Mode Secure Boot.
User Mode
En mode utilisateur, PK doit être installé, et le BIOS effectue
vérification de signature sur objets de stratégie programmatique tente
de les mettre à jour. Le BIOS système permet secteur incompatible lien
logique entre les transitions entre les modes.
Mode d'audit
En Mode d'audit, PK n'est pas présent. Le BIOS n'authentifie pas la
mise à jour programmatique des objets de stratégie et les transitions
entre modes. Le BIOS effectue une vérification de signature sur les
images de prédémarrage et consigne les résultats dans le tableau
d'informations sur l'exécution. Il exécute toutefois les images, que
leur vérification ait réussi ou échoué. Mode d'audit est utile pour
programmer un ensemble d'objets de politique.
Deployed Mode
Mode déployé est le plus mode sécurisé. En mode déployé, PK doit
être installé et le BIOS effectue vérification de signature sur objets de
stratégie programmatique tente de les mettre à jour. Mode déployé
limite les transitions de mode programmé.
Spécifie la liste des certificats et des hachages qu'utilise Secure Boot pour authentifier des
images.
Configure la politique personnalisée Secure Boot. Pour activer cette option, définissez la
politique Secure Boot sur option personnalisée.
Intel Trust Domain Extension (TDX) est un environnement d'exécution de confiance basé
sur une solution matérielle. Il est conçu pour protéger les données et applications sensibles
présentes dans un domaine de confiance (TD) ou sur une machine virtuelle (VM) contre tout
accès non autorisé. L'option Chiffrement de la mémoire doit être définie sur Plusieurs clés
pour que le module TDX soit activé. Par défaut, le module TDX est désactivé.
Applications de gestion pré-système d'exploitation
65
Publicité
