Publicité
Tableau 21. Informations de Sécurité des systèmes (suite)
Option
Restauration de l'alimentation
secteur
Délai de restauration de
l'alimentation secteur
Délai défini par l'utilisateur (120 s
à 600 s)
Accès aux variables UEFI
Interface de facilité de gestion
intrabande
Réduction des risques de sécurité
SMM
Secure Boot
Politique de Secure Boot
Mode Secure Boot
36
Applications de gestion du pré-système d'exploitation
Description :
Permet de définir le comportement du système une fois qu'a été rétablie son alimentation
secteur. Par défaut, l'option est réglée sur Dernier.
REMARQUE :
Le système hôte ne se met pas sous tension tant que la fonction iDRAC
Root of Trust (RoT) n'est pas terminée. La mise sous tension de l'hôte est alors retardée
d'au moins 90 secondes après l'application d'une alimentation secteur.
Permet de définir au bout de combien de temps le système se met sous tension une fois
qu'a été rétablie son alimentation secteur. Par défaut, cette option est réglée sur Immédiat.
Lorsque cette option est définie sur Immédiat, il n'existe aucun délai avant la mise sous
tension. Lorsque cette option est définie sur Aléatoire, il existe un délai aléatoire avant la mise
sous tension. Lorsque cette option est définie sur Défini par l'utilisateur, le délai aléatoire
avant la mise sous tension est défini manuellement.
Permet de régler le paramètre Délai défini par l'utilisateur lorsque l'option Défini par
l'utilisateur pour Délai de reprise de l'alimentation secteur est sélectionnée. Le délai
réel de restauration de l'alimentation secteur doit ajouter le délai iDRAC Root of Trust (RoT)
(environ 50 s).
Fournit différents degrés de protection des variables UEFI. Si l'option est définie sur
Standard (par défaut), les variables UEFI sont accessibles dans le système d'exploitation
selon la spécification UEFI. Lorsque cette option est définie sur Contrôlé, les variables UEFI
sélectionnées sont protégées dans l'environnement et de nouvelles entrées d'amorçage UEFI
sont obligées d'être placées à la fin de l'ordre d'amorçage.
Lorsqu'il est défini sur Désactivé, ce paramètre masque le moteur de gestion, les
périphériques HECI et les périphériques IPMI du système dans le système d'exploitation. Le fait
de masquer ces périphériques empêche le système d'exploitation de modifier les paramètres de
plafonnement de la puissance du moteur de gestion et bloque l'accès à tous les outils de gestion
intrabande. Toutes les fonctions de gestion doivent être gérées hors bande. Cette option est
définie sur Activé par défaut.
REMARQUE :
Pour la mise à jour du BIOS, les périphériques HECI doivent être
opérationnels, et pour les mises à jour DUP, c'est l'interface IPMI qui doit être
opérationnelle. Ce paramètre doit être défini sur Activé pour éviter les erreurs de mise
à jour.
Active ou désactive les protections de sécurité UEFI SMM. La valeur par défaut est définie sur
Désactivé.
Permet d'activer Secure Boot, où le BIOS authentifie chaque image préamorçage à l'aide des
certificats de la politique de Secure Boot. Secure Boot est défini sur Désactivé par défaut.
Lorsque la politique Secure Boot est définie sur Standard, le BIOS utilise des clés et des
certificats du fabricant du système pour authentifier les images de préamorçage. Lorsque la
politique Secure Boot est définie sur Personnalisé, le BIOS utilise des clés et des certificats
définis par l'utilisateur. Par défaut, la politique Secure Boot est définie sur Standard.
Configure la façon dont le BIOS utilise les objets de politique de Secure Boot (PK, KEK, db,
dbx).
Si le mode actuel est défini sur Mode déployé, les options disponibles sont Mode utilisateur
et Mode déployé. Si le mode actuel est défini sur Mode utilisateur, les options disponibles
sont Mode utilisateur, Mode d'audit et Mode déployé.
Vous trouverez ci-dessous des informations détaillées sur les différents modes de démarrage
disponibles dans l'option Mode Secure Boot.
Mode utilisateur
En Mode utilisateur, PK doit être installé, et le BIOS effectue une
vérification de la signature lors des tentatives de programmation de
mise à jour des objets de politique. Le BIOS permet des transitions
programmatiques non authentifiées entre les modes.
Mode d'audit
En Mode d'audit, PK est absent. Le BIOS n'authentifie pas les mises
à jour programmatiques des objets de stratégie et les transitions
Publicité
