- 注意、小心和警告
- 版权
- iDRAC 概览
- 登录 iDRAC
- 强制更改密码 (FCP)
- 使用 OpenID Connect 登录 iDRAC
- 以本地用户、Active Directory 用户或 LDAP 用户身份登录 iDRAC
- 使用智能卡作为本地用户登录 iDRAC
- 使用单一登录登录 iDRAC
- 使用远程 RACADM 访问 iDRAC
- 使用本地 RACADM 访问 iDRAC
- 使用固件 RACADM 访问 iDRAC
- 简单的双重身份验证(简单 2FA)
- RSA SecurID 2FA
- 查看系统运行状况
- 使用公共密钥验证登录 iDRAC
- 多个 iDRAC 会话
- 安全默认密码
- 更改默认登录密码
- 启用或禁用默认密码警告消息
- 密码强度策略
- IP 阻止
- 使用 Web 界面启用或禁用 OS 到 iDRAC 直通
- 使用 RACADM 启用或禁用警报
- 设置受管系统
- 设置 iDRAC IP 地址
- 修改本地管理员帐户设置
- 设置受管系统位置
- 优化系统性能和功耗
- 设置管理站
- 配置支持的 Web 浏览器
- 更新设备固件
- 查看和管理分阶段更新
- 回滚设备固件
- 使用其他系统管理工具监测 iDRAC
- 支持服务器配置配置文件 — 导入和导出
- BIOS 设置或 F2 中的安全引导配置
- BIOS 恢复
- 配置 iDRAC
- 使用 OAuth 2.0 的委派授权
- 查看 iDRAC 和受管系统信息
- 设置 iDRAC 通信
- 配置用户帐户和权限
- 系统配置锁定模式
- 配置 iDRAC 以进行单一登录或智能卡登录
- 配置 iDRAC 以发送警报
- iDRAC 9 Group Manager
- 管理日志
- 在 iDRAC 中监测和管理电源
- iDRAC 直接更新
- 对网络设备执行资源清册、监测和配置操作
- 管理存储设备
- BIOS 设置
- 配置并使用虚拟控制台
- 使用 iDRAC 服务模块
- 使用 USB 端口进行服务器管理
- 使用 Quick Sync 2
- 管理虚拟介质
- 管理 vFlash SD 卡
- 使用 SMCLP
- 部署操作系统
- 使用 iDRAC 排除受管系统故障
- iDRAC 中的 SupportAssist 集成
- 常见问题
- 使用案例场景
Integrated Dell Remote Access Controller 9 User's Guide
BIOS 设置或 F2 中的安全引导配置
UEFI Secure Boot 是一项技术,可消除在 UEFI 固件和 UEFI 操作系统 (OS) 交接期间可能出现的重大安全失效。在 UEFI Secure Boot 中,链中的每个组件需先针对特定证书进行验证和授权,然后才允许加载或运行。Secure Boot 可消除威胁,并在引导的每个步骤中提供软件身份检查 - 平台固件、选件卡和操作系统引导加载程序。
统一可扩展固件接口 (UEFI) 论坛 - 一家开发预引导软件标准的行业机构,他们在 UEFI 规范中定义了 Secure Boot。计算机系统供应商、扩展卡供应商和操作系统提供商就此规范进行协作以促进互操作性。作为 UEFI 规范的一部分,Secure Boot 代表了预引导环境中的安全行业标准。
启用时,UEFI Secure Boot 会阻止加载未签名的 UEFI 设备驱动程序,显示错误消息并且不允许设备运行。您必须禁用 Secure Boot 才能加载未签名的设备驱动程序。
在 Dell 第 14 代和更高版本的 PowerEdge 服务器上,您可以使用不同的界面(RACADM、WSMAN、REDFISH, 和 LC-UI)来启用或禁用 Secure Boot 功能。
可接受的文件格式
Secure Boot 策略在 PK 中仅包含一个密钥,但可能有多个密钥位于 KEK 中。在理想情况下,平台制造商或平台拥有者维护与公用 PK 对应的私钥。第三方(例如操作系统提供商和设备提供商)维护与 KEK 中的公共密钥对应的私钥。这样一来,平台所有者或第三方可在特定系统的 db 或 dbx 中添加或移除条目。Secure Boot 策略使用 db 和 dbx 授权预引导映像文件执行。为了使某个映像文件可以执行,它必须与 db 中的密钥或散列值关联,而不是与 dbx 中的密钥或散列值关联。更新 db 或 dbx的内容的任何尝试都必须通过专用 PK 或 KEK 签名。更新 PK 或 KEK 内容的任何尝试都必须通过专用 PK 签名。
| 策略组件 | 可接受的文件格式 | 可接受的文件扩展名 | 允许的最大记录 |
|---|---|---|---|
| PK | X.509证书(仅限二进制 DER 格式) |
|
一声 |
| KEK | X.509证书(仅限二进制 DER 格式) 公共密钥库 |
|
多个 |
| DB 和 DBX | X.509证书(仅限二进制 DER 格式) EFI 映像(系统 BIOS 将计算并导入映像摘要) |
|
多个 |
- 默认情况下,禁用安全引导,并且将安全引导策略设置为标准。要配置安全引导策略,您必须启用安全引导。
- 当安全引导模式设置为标准,它表示系统具有出厂时加载的默认证书和映像摘要或散列值。此项迎合标准固件、驱动程序、选件 ROM 和引导加载程序的安全性。
- 要在服务器上支持新的驱动程序或固件,必须在 Secure Boot 证书存储区的 DB 中注册各自的证书。因此,必须将“Secure Boot 策略”配置为“自定义”。
将“Secure Boot 策略”配置为“自定义”时,它会继承默认情况下系统中加载的标准证书和映像(您可以修改这些标准证书和映像)。将“Secure Boot 策略”配置为“自定义”允许您执行诸如以下的操作:查看、导出、导入、删除、全部删除、重置和全部重置。使用这些操作,您可以配置“Secure Boot 策略”。
将“Secure Boot 策略”配置为“自定义”会启用一些选项,以允许在 PK、KEK、DB 和 DBX 上通过使用诸如以下的各种操作管理证书存储区:导出、导入、删除、全部删除、重置和全部重置。您可以通过单击相应的链接选择要更改并执行适当操作的策略 (PK / KEK / DB / DBX)。每个部分都将具有用于执行导入、导出、删除和重置操作的链接。链接基于适用项目启用,而适用项目取决于当时的配置。“全部删除”和“全部重置”是具有对所有策略都有影响的操作。“全部删除”会删除“自定义”策略中的所有证书和映像摘要,“全部重置”会还原“标准”或“默认”证书存储区中的所有证书和映像摘要。
请提供评级(1-5星)。
请提供评级(1-5星)。
请提供评级(1-5星)。
请选择这篇文章是否有帮助。
注释中不得包含以下特殊字符:<>()\