Publicité
Tableau 58. Détails de l'écran Sécurité des systèmes (suite)
Option
Répartition des clés entre TME-
MT et TDX définie sur une valeur
différente de zéro
Chargeur de mode SEAM
(Secure Arbitration Mode) de TDX
Intel(R) SGX
Bouton d'alimentation
Restauration de l'alimentation
secteur
Délai de restauration de
l'alimentation secteur
Délai défini par l'utilisateur (120 s
à 600 s)
Accès aux variables UEFI
Interface de facilité de gestion
intrabande
Réduction des risques de
sécurité SMM
Intel (R) In-Field Scan
56
Applications de gestion pré-système d'exploitation
Description
Lorsque l'option Répartition des clés entre TME-MT et TDX définie sur une valeur différente
de zéro est définie sur 1, 2, 3, 4, 5 ou 6, elle désigne le nombre de bits destinés à l'utilisation de
TDX, tandis que le reste sera utilisé par TME-MT. Par défaut, cette option est définie sur 1.
Ce module logiciel s'exécute dans un nouveau mode SEAM (Secure Arbitration Mode) de
processeur en tant que Virtual Machine Manager (VMM) homologue. Ce module SEAM prend
en charge l'entrée et la sortie des domaines de confiance à l'aide de l'infrastructure de
virtualisation existante. Par défaut, cette option est définie sur Désactivé.
Permet d'activer ou de désactiver l'option Intel Software Guard Extension (SGX). Pour activer
l'option Intel SGX, le processeur doit être doté d'une prise en charge de la fonction SGX. La
population de la mémoire doit être compatible (au minimum 8 x DIMM1 identiques à DIMM8
par socket d'UC, pas de prise en charge avec la configuration de mémoire permanente). Le
mode de fonctionnement de la mémoire doit être défini en mode optimiseur. Le chiffrement de
mémoire doit être activé et l'entrelacement de nœuds doit être désactivé. Par défaut, cette
option est définie sur Désactivé. Lorsque cette option est définie sur Désactivé, le BIOS
désactive la technologie SGX. Lorsque cette option est définie sur Activé, le BIOS active la
technologie SGX.
Vous permet d'activer ou de désactiver le bouton d'alimentation sur l'avant du système. Par
défaut, cette option est définie sur Activé.
Vous permet de définir le temps de réaction du système une fois l'alimentation secteur
restaurée dans le système. Par défaut, l'option est définie sur Dernier.
REMARQUE :
L'hôte ne se met pas sous tension tant que l'iDRAC n'a pas effectué la
vérification cryptographique du BIOS afin de garantir la sécurité de la plateforme. La mise
sous tension de l'hôte est retardée de quelques minutes après l'alimentation secteur.
Permet de définir au bout de combien de temps le système se met sous tension une fois qu'a
été rétablie son alimentation secteur. Par défaut, l'option est réglée sur système. Par défaut,
l'option est définie sur Immédiatement. Lorsque cette option est définie sur Immédiatement,
il n'existe aucun délai avant la mise sous tension. Lorsque cette option est définie sur Aléatoire,
il existe un délai aléatoire avant la mise sous tension. Lorsque cette option est définie sur Défini
par l'utilisateur, le délai aléatoire avant la mise sous tension est défini manuellement.
Permet de régler le paramètre Délai défini par l'utilisateur lorsque l'option Défini par
l'utilisateur pour Délai de récupération de l'alimentation secteur est sélectionnée. Le
délai de reprise du CA réel doit ajouter la vérification cryptographique de l'iDRAC de l'heure du
BIOS.
Fournit différents degrés de protection des variables UEFI. Lorsqu'elle est définie sur Standard
(par défaut), les variables UEFI sont accessibles dans le système d'exploitation selon la
spécification UEFI. Lorsque l'option est définie sur contrôlé, les variables UEFI sélectionnées
sont protégées dans l'environnement et de nouvelles entrées de démarrage UEFI sont obligées
d'être à la fin de l'ordre de démarrage.
Lorsqu'il est défini sur Désactivé, ce paramètre cache le système Management Engine (ME),
les appareils HECI et les appareils IPMI du système d'exploitation. Cela empêche le système
d'exploitation de modifier les paramètres de plafonnement de l'alimentation ME, et bloque
l'accès à tous les outils de gestion intrabande. Toutes les fonctions de gestion doivent être
gérées par hors bande. Par défaut, cette option est définie sur Activé.
REMARQUE :
Une mise à jour du BIOS nécessite des appareils HECI opérationnels et les
mises à jour DUP une interface IPMI opérationnelle. Ce paramètre doit être défini sur Activé
mise à jour afin d'éviter les erreurs.
Active ou de désactive les protections de la migration de la sécurité UEFI SMM. Par défaut,
cette option est définie sur Désactivé.
La fonctionnalité Intel(R) In-Field Scan permet au logiciel d'analyser les cœurs de processeur
afin d'identifier d'éventuelles défaillances latentes. L'analyse peut être effectuée sur le terrain
après le déploiement du serveur. Lorsque cette option est activée, le BIOS configure tous les
processeurs pour répondre aux demandes d'analyse du logiciel. Lorsqu'elle est désactivée, les
processeurs ne répondent pas aux demandes d'analyse du logiciel.
Publicité
