- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载 (1.35 MB)
目 录
读者对象
本文档主要适用于以下工程师:
l 技术支持工程师
l 维护工程师
符号约定
在本文中可能出现下列标志,它们所代表的含义如下。
|
符号 |
说明 |
|
|
表示如不避免则将会导致死亡或严重伤害的具有高等级风险的危害。 |
|
|
表示如不避免则可能导致死亡或严重伤害的具有中等级风险的危害。 |
|
|
表示如不避免则可能导致轻微或中度伤害的具有低等级风险的危害。 |
|
|
用于传递设备或环境安全警示信息。如不避免则可能会导致设备损坏、数据丢失、设备性能降低或其它不可预知的结果。 “须知”不涉及人身伤害。 |
|
|
对正文中重点信息的补充说明。 “说明”不是安全警示信息,不涉及人身、设备及环境伤害信息。 |
描述约定
鲲鹏服务器中,BMC、iBMC、HDM-KP含义相同,在不同界面中显示有所不同,本文档中统一描述为iBMC。
为提供更加安全和稳定的运行环境,需要完善系统安全配置,提高系统抗攻击能力。
针对H3C UniServer R4960 G5服务器需要提供安全配置项,给出配置加固建议,通过iBMC或者BIOS的配置功能而进行加固配置。
无。
无。
加固目的
服务器带外管理软件iBMC支持CLI、SNMP、Web、IPMI、Redfish等管理接口,并提供了统一的用户管理功能。最多支持16个用户,支持增加、修改和删除用户。支持帐号安全管理功能,通过帐号的安全配置,可以降低帐号口令被破解的风险,提升帐号安全性。
加固项说明
通过iBMC WEB页面登录,在“用户&安全 > 安全配置 > 安全增强”中进行密码安全配置。
|
参数 |
描述 |
|
业务侧用户管理使能 |
建议关闭业务侧用户管理功能,否则业务侧可以对iBMC用户进行管理,产生安全隐患。 关闭业务侧用户管理功能时,业务侧发送过来的用户管理相关的IPMI命令无效,例如用户添加/删除、权限设置、密码设置等IPMI命令。 默认为开启状态。 |
|
密码检查 |
是否开启针对每个用户的密码复杂度检查功能。 系统默认启用密码检查功能。该选项同时适用于:本地用户密码、Trap团体名、SNMPv1/v2c团体名、SNMPv3加密密码、VNC密码的复杂度检查,本地用户密码和SNMPv3加密密码的最小长度检查。其检查规则分别为: l 本地用户密码检查原则 l Trap团体名检查原则 l SNMP v1/v2c只读团体名检查原则 l SNMP v1/v2c读写团体名检查原则 l SNMPv3加密密码检查原则 l VNC密码检查原则 说明 禁用密码检查功能会降低系统安全性,请尽量启用此功能。 |
|
SSH密码认证 |
是否开启SSH密码认证功能。 取值范围: l 关闭:通过SSH登录iBMC时,只能使用公钥认证。 l 启用:通过SSH登录iBMC时,可使用密码认证,可以使用公钥认证。 默认为开启状态。 |
|
TLS版本 |
TLS版本。 取值范围:TLS1.0、TLS1.1、TLS1.2和TLS1.3。 说明 TLS1.2默认不可配置。 |
|
密码有效期(天) |
用户密码的使用期限。 取值范围为0~365,单位为天,取值为0时表示密码为无限期。 默认值:0 说明 为保障系统安全性,建议设置合适的密码有效期,并定期更新密码。 |
|
密码最短使用期(天) |
设置一个密码后,要使用的最短时间。在此时间内不能修改密码。 取值范围为0~365,单位为天,取值为0时表示密码最短使用期无限期。 默认值:0 说明 密码最短使用期必须比密码有效期小10天以上。 l 如果密码有效期设置为≤10天,密码最短使用期则只能设置为0。 l 如果密码最短使用期设置为≥354天,则密码有效期只能设置为0。 |
|
不活动期限(天) |
超过设定期限内未活动的用户会被禁用。 取值范围0或者30~365,单位为天,取值为0时表示不限制,用户不会因为长时间不活动而被禁止。 默认值:0 |
|
紧急登录用户 |
不受密码有效期、登录规则和登录接口限制的用户,用于紧急情况下登录iBMC。 设置方法:在下拉列表框中选择。 说明 仅管理员用户可以被设置为“紧急登录用户”。 |
|
禁用历史密码 |
用户修改密码时,禁止使用设置次数内的历史密码。 取值范围为0~5,表示不能和前N(1~5)次密码重复,取值为0时,表示不限制使用历史密码。 默认值:0 |
|
登录失败锁定 |
可设置用户触发登录失败锁定的登录失败次数以及锁定的时长。 l 登录失败次数取值范围为1~6以及无限期(即关闭登录失败锁定功能),默认值为5。 l 登录失败锁定时长取值范围为1~30,单位为分钟,默认值为5。 用户被锁定后,在锁定时长内不能继续登录。 l 关闭登录失败锁定功能会降低系统安全性,请尽量启用此功能。 l 紧急情况下需要解锁时,可在命令行下执行unlock命令。详情请参考各服务器的iBMC用户指南。 |
|
证书过期提前告警时间(天) |
证书过期之前,提前告警的天数。 取值范围:7~180(天)。 默认值:90。 |
加固目的
iBMC支持基于场景的登录限制,基于时间段、IP、MAC的访问控制策略。通过配置登入时间段、登入IP网段、登入MAC地址白名单,只允许满足白名单要求的用户通过管理通道访问系统,对系统进行管理和配置,将服务器管理接口访问控制在最小范围。
加固项说明
通过iBMC WEB页面登录,在“用户&安全 > 安全配置 > 登录规则”中配置登录规则。
|
参数 |
描述 |
|
时间段 |
规则允许用户登录服务器的时间段。支持如下三种格式: l YYYY-MM-DD:规则允许用户登录的起始日期和结束日期,例如起始日期为2013-08-30,结束日期为2013-12-30。 l HH:MM:规则允许用户每日登录的时间段,例如起始时间为08:30,结束时间为20:30。 l YYYY-MM-DD HH:MM:规则允许用户登录的具体时间段,例如起始时间为2013-08-30 08:30,结束时间为2013-12-30 20:30。其中“YYYY”为年份,取值范围为1970~2050。 |
|
IP段 |
规则允许的用户的具体IP地址或IP网段。支持如下两种格式: l xxx.xxx.xxx.xxx:允许登录服务器的单个用户的IP地址。 l xxx.xxx.xxx.xxx/mask:允许登录服务器的用户IP网段,其中“mask”为子网掩码长度,取值范围为1~32。 |
|
MAC段 |
规则允许的用户的具体MAC地址或MAC地址头。支持如下两种格式: l xx:xx:xx:xx:xx:xx:允许登录服务器的单个用户的MAC地址。 l xx:xx:xx:允许登录服务器的用户MAC地址头,且只能是MAC地址的前三段。 |
加固目的
iBMC中提供了用户权限管理配置,可以通过配置用户的权限,限制访问自定的资源。
加固项说明
通过iBMC WEB页面登录,在“用户&安全 > 安全配置 > 权限管理”中配置管理权限。
|
参数 |
描述 |
|
角色名称 |
l 管理员 l 操作员 l 普通用户 l 自定义用户:共四个自定义用户。 |
|
角色权限 |
l 用户配置 l 常规设置 l 远程控制 l 远程媒体 l 安全配置 l 电源控制 l 调试诊断 l 查询功能 l 配置自身 管理员、操作员、普通用户权限不可更改。四个自定义用户可以更改权限。 |
加固目的
iBMC中提供了登录安全性信息配置功能,可以通过配置安全警示信息,明示设备用途,警示非法登录和使用。
加固项说明
通过iBMC WEB页面登录,在“用户&安全 > 安全配置 > 安全公告”中配置警示信息。
|
参数 |
描述 |
|
安全公告使能 |
是否开启安全公告。 将开关状态设置为开启后,此处设置的安全警示信息将显示在登录界面的“安全公告”区域。 默认为开启状态。 |
|
安全公告消息 |
显示在登录界面的具体信息。 取值范围:最大1024字节的字符串。 |
加固目的
iBMC中提供了多种对外管理的接口和服务,支持SSH、HTTPS、SNMP、RMCP等多种标准协议,支持服务使能配置及端口配置;关闭不使用的服务,修改服务的默认端口,能降低攻击面,提升系统安全性。
加固项说明
通过iBMC WEB页面登录,在“服务管理 > 端口服务”中配置服务加固信息。
|
参数 |
描述 |
|
服务 |
iBMC中支持的系统服务包括: l “SSH”:安全外壳(SSH,Secure Shell)是允许在本地计算机和远程计算机之间建立安全渠道的一套标准和网络协议。 l “SNMP Agent”:SNMP代理服务是用于翻译和传递管理设备和被管设备之间的请求。 l “KVM”:从远端控制服务器时需要用到的KVM(keyboard,video,and mouse)服务,开启后可用本地鼠标、键盘对服务器进行操作,可用本地显示器查看服务器。 l “VMM”:从远端控制服务器时需要用到的VMM(virtual machine manager)服务,开启后可使用虚拟光驱、虚拟软驱等功能。 同一时间只允许1个用户使用。 l “Video”:从远端控制服务器时需要用到的Video服务,开启后可使用录像回放功能。 l “VNC”:从远端控制服务器时需要用到的VNC(Virtual Network Console)服务,开启后可用本地鼠标、键盘对服务器进行操作,可用本地显示器查看服务器。 最多允许5个用户同时使用。 l “Web Server(HTTP)”:提供网上信息浏览服务的服务器,可以解析超文本传输协议(HTTP,Hypertext Transfer Protocol)。系统默认启用该服务是为了支持输入IP默认跳转的功能,建立连接后将默认跳转到HTTPS这个安全协议。 l “Web Server(HTTPS)”:提供网上信息浏览服务的服务器,可以解析安全超文本传输协议(HTTPS,Hypertext Transfer Protocol over Secure Socket Layer)及Redfish协议。 l “IPMI LAN(RMCP)”:基于局域网(LAN,Local Area Network)方式的IPMI,支持远程管理控制协议 (RMCP,Remote Management Control Protocol)。该服务由于自身机制而存在安全隐患,请尽量避免使用。建议使用IPMI LAN(RMCP+)服务代替IPMI LAN(RMCP)服务。系统默认禁用该服务。 l “IPMI LAN(RMCP+)”:基于局域网(LAN,Local Area Network)方式的IPMI,支持远程管理控制协议。 说明 RMCP+由于协议自身的漏洞(CVE-2013-4786),存在安全隐患,建议参考下面的风险规避措施进行处理。 l 如果不需要使用IPMI协议访问iBMC: l 请在此界面中关闭IPMI服务。 l 开启密码复杂度检查功能,设置符合密码复杂度要求的密码。 l 如果需要使用IPMI协议访问iBMC: l 将iBMC管理网口所在网络设置为独立的局域网。 l 开启密码复杂度检查功能,设置符合密码复杂度要求的密码。 |
|
端口号 |
系统服务占用的端口号。 取值范围:1~65535之间的数字。 默认取值: l SSH:“22” l SNMP Agent:“161” l KVM:“2198” l VMM:“8208” l Video:“2199” l VNC:“5900” l Web Server(HTTP):“80” l Web Server(HTTPS):“443” l IPMI LAN(RMCP):Port 1为主用端口,默认“623”;Port2为备用端口,默认“664”。 l IPMI LAN(RMCP+):RMCP+和RMCP端口共用,设置RMCP端口时RMCP+也使用相同的端口。 说明 l Web Server(HTTP)/Web Server(HTTPS)端口修改为非浏览器默认端口时,Chrome、Firefox浏览器无法通过该端口建立会话。此时需要在浏览器中设置允许非默认端口建立会话。 l 同时关闭SSH、HTTPS、RMCP、RMCP+服务会导致无法连接系统。如果这些服务全部关闭,用户需要通过串口连接服务器来开启Web服务。 |
加固目的
使用SSL证书通过在客户端浏览器和Web服务器之间建立一条SSL安全通道(访问方式为HTTPS),实现数据信息在客户端和服务器之间的加密传输,可以防止数据信息的泄露。SSL保证了双方传递信息的安全性,而且用户可以通过服务器证书验证他所访问的网站是否是真实可靠。产品支持SSL证书替换功能,为提高安全性,建议替换成自己的证书和公私钥对,并及时更新证书,保证证书的有效性。
加固项说明
通过iBMC WEB页面登录,在“服务管理 > Web服务 > SSL证书”页面,自定义证书。
选择生成CSR文件或导入服务器证书。
自定义服务器证书信息并导入
1. 在“SSL证书”区域单击“自定义”。
显示“自定义证书”窗口
2. 选择“生成CSR文件”,输入自定义的证书请求信息,并单击“生成”。
SSL证书的签发者信息,包括:
l CN:签发者的名称,支持字母、数字、连字符、下划线、句点和空格,最大长度64个字符,必选项。
l OU:签发者所在部门,支持字母、数字、连字符、下划线、句点和空格,最大长度64个字符,可选项。
l O:签发者所在的公司,支持字母、数字、连字符、下划线、句点和空格,最大长度64个字符,可选项。
l L:签发者所在的城市,支持字母、数字、连字符、下划线、句点和空格,最大长度128个字符,可选项。
l S:签发者所在的省份,支持字母、数字、连字符、下划线、句点和空格,最大长度128个字符,可选项。
l C:签发者所在的国家,支持字母格式,长度2个字符,必选项。比如中国,输入:CN。
导入现有SSL证书
1. 在“SSL证书”区域单击“自定义”。
显示“自定义证书”窗口
2. 选择“导入服务器证书”。
3. 单击复选框后的
,选择现有的SSL证书文件。
支持导入证书文件的格式为.crt、.cer、.pem、.pfx和.p12。其中,.crt、.cer或.pem格式的证书文件不得大于1MB,.pfx或 .p12格式的证书文件不得大于100KB。
1. 单击“打开”。
2. 在“证书密码”编辑框输入证书密码。
l 如果导入的证书是.pfx和.p12格式时,弹出“证书密码”复选框,在“证书密码”下面的文本框中输入传输过程中采用的密码,保证证书传输的安全性。
l 如果证书受密码保护,此处必须填写所需的密码,否则无法上传。
l .crt、.cer和.pem三种格式的证书不涉及。
1. 单击“确定”。
证书导入成功后,立即生效。
加固目的
服务器在BIOS setup界面中可以支持对于管理员账户的加密管理。可支持账户的密码设置,密码清除,密码锁定次数的功能。密码长度可达16位,包含复杂密码设置,保护账号的安全,通过密码加密算法可以降低账号口令被破解的风险,提升账号安全性。
加固项说明
通过BIOS SETUP界面中的“安全”进行设置。
通过“安全”界面,用户可以设置管理员密码。“安全”界面如图4-1或图4-2所示。参数说明如表4-1所示。
根据主板型号或BIOS版本的不同,“安全”界面会有所不同,具体差异请参见表4-1。
|
参数名称 |
功能说明 |
默认值 |
|
密码状态 |
显示密码是否生效。 |
Installed |
|
设置管理员密码 |
修改密码。 说明 密码长度必须在8~16位之间,至少包含特殊字符(包括空格)、大写字母、小写字母及数字这四种字符中的三种,其中必须包含特殊字符。 |
BIOS的默认密码为“Admin@9000”。 说明 若使用的是支持first login密码功能(即BIOS默认无密码,第一次进Setup界面时,必须设置新密码)的BIOS版本,不支持默认密码。 |
|
清除管理员密码 |
清除密码。 说明 若使用的是支持first login密码功能(即BIOS默认无密码,第一次进Setup界面时,必须设置新密码)的BIOS版本,不支持此参数。 |
- |
|
设置加密长度 |
密码加密算法相关配置,有效范围32~48。 |
32 |
|
保存历史密码次数 |
保存历史密码的次数,有效范围3~6。 |
5 |
|
设置锁定次数 |
错误密码次数大于锁定次数将会锁定设备,有效范围1~5。 |
3 |
|
设置锁定时间 |
锁定时间超时后解锁设备,有效范围1~5分钟。 |
5 |
|
设置密码长度最小值 |
设置密码长度最小值。有效值为8~16,如果设置的值有效并且大于当前值,必须重新设置密码。 说明 仅以下鲲鹏服务器主板支持此参数: l S920X00/S920X01/S920S00(BIOS V175及以上版本) l S920X00K/S920X01K/S920S00K(BIOS V175K及以上版本) l S920X05/S920X05K/S920S03/S920X02/S920X02K |
8 |
|
安全启动 |
启用或停用安全启动,菜单选项为: l 停用 l 启用 |
停用 |
|
带外配置 |
启用或停用Redfish带外配置功能,菜单选项为: l 停用 l 启用 说明 l 该参数仅支持带内配置。 l 仅以下鲲鹏服务器主板支持此参数: l S920X05/S920X05K(3.16及以上版本BIOS) l S920X00/S920X01/S920S00(BIOS V175及以上版本) l S920X00K/S920X01K/S920S00K(BIOS V175K及以上版本) l S920S03/S920X02/S920X02K l 当停用Redfish带外配置功能时,以下安全相关的参数选项仅支持带内配置。 l 安全启动 l TPM Availability l TPM2 Operation l Clear TPM |
停用 说明 当由不支持该参数的BIOS版本升级为支持该参数的BIOS版本时,默认值为“启用”。 |
|
密码超期策略 |
打开或关闭密码超期策略。菜单选项为: l 停用 l 启用 说明 l 该参数仅支持带内配置。 l 打开密码超期策略后,如果登录BIOS Setup界面的密码已超期180天,必须修改密码后才能登录进入BIOS Setup界面。 l 仅以下鲲鹏服务器主板支持此参数: l S920X00/S920X01/S920S00(BIOS V175及以上版本) l S920X00K/S920X01K/S920S00K(BIOS V175K及以上版本) |
停用 |
|
安全启动证书配置 |
安全启动证书配置菜单。 说明 仅以下鲲鹏服务器主板支持此配置菜单: l S920X05/S920X05K/S920S03 l S920X00/S920X01/S920S00(V168及以上版本BIOS) l S920X00K/S920X01K/S920S00K(V168K及以上版本BIOS) l S920X02/S920X02K |
- |
加固目的
启动服务器RAS功能,可实现服务器可靠性的能力,实现服务器的自我纠错能力的提升,可以让服务器有更高的安全性。
加固项说明
通过BIOS SETUP界面中的“高级设置”中的RAS配置项进行设置。
图4-3 “RAS配置”界面
表4-2 “RAS配置”界面参数说明
|
参数名称 |
功能说明 |
默认值 |
|
RAS支持 |
支持内存/PCIe/CPU RAS功能。菜单选项为: l 启用 l 停用 |
启用 |
|
支持FDM |
支持内存/PCIe/CPU FDM功能。菜单选项为: l 启用 l 停用 |
启用 |
|
RAS内存配置 |
内存RAS配置菜单。 说明 当“RAS支持”选项设置为“启用”时,显示此菜单。 |
- |
|
PCIe RAS配置 |
PCIe RAS配置菜单。 说明 当“RAS支持”选项设置为“启用”时,显示此菜单。 |
- |
分别可以实现对于内存,PCIE等的RAS能力的设置,有默认值可以实现最基本的RAS能力开启。
“RAS内存配置”界面如图4-4所示。参数说明如表4-3所示。
|
参数名称 |
功能说明 |
默认值 |
|
损坏 |
启用或停用标识符。菜单选项为: l 启用 l 停用 说明 当“检查算法”选项设置为“ECC”或“SDEC”时,可编辑。 |
启用 |
|
激活巡检 |
启用或停用巡检。菜单选项为: l 启用 l 停用 说明 当“检查算法”选项设置为“ECC”或“SDEC”时,可编辑。 |
启用 |
|
巡检周期 |
设置巡检周期。取值范围为0~24,单位为小时。 0表示自动巡检。 说明 当“检查算法”选项设置为“ECC”或“SDEC”时,可编辑。 |
24 |
|
消极巡检 |
启用或停用消极巡检。菜单选项为: l 启用 l 停用 说明 当“检查算法”选项设置为“ECC”或“SDEC”时,可编辑。 |
启用 |
|
校正错误操作 |
可校正的错误配置。 说明 当“检查算法”选项设置为“SDEC”时,显示此菜单。 |
- |
“校正错误操作”界面如图4-5所示。参数说明如表4-4所示。
|
参数名称 |
功能说明 |
默认值 |
|
校正错误值 |
可纠正错误阈值设置。取值范围为0~8000。 |
6000 |
|
漏斗周期(分钟) |
设置漏斗函数时间。菜单选项为: l 停用 l 启用 |
启用 |
|
推进设备校正 |
配置校正错误阈值警告操作解决方案。菜单选项为: l 停用 l SR l MR 说明 l 当“校正错误值”设置为0时,此参数不可见。 l SR:bank替换。 l MR:bank两次替换。 |
停用 |
“PCIe RAS配置”界面如图4-6所示。参数说明如表4-5所示。
|
参数名称 |
功能说明 |
默认值 |
|
ECRC需求 |
启用或停用ECRC查验需求,菜单选项为: l 启用 l 停用 |
停用 |
|
热插拔 |
启用或停用PCIe热插拔,菜单选项为: l 启用 l 停用 说明 以下鲲鹏服务器主板不支持此参数: l S920X01(BIOS V172及以上版本) l S920X01K(BIOS V172K及以上版本) l S920S03 |
启用 |
加固目的
服务器在支持TPM卡的情况,可以通过针对TPM的配置实现可信的配置,完成服务器的进一步安全功能,实现可信。
加固项说明
通过BIOS SETUP界面中的Advanced进行设置。
通过该界面,技术支持工程师和系统维护工程师可以对TPM的相关特性进行设置。“TPM Config”界面如图4-7或图4-8所示。具体参数说明如表4-6或表4-7所示。
根据主板型号、BIOS版本或TPM卡的不同,“TCG2 Configuration”界面会有所不同,请以实际为准。
表4-6 TCG2 Configuration界面1参数说明
|
参数名称 |
功能说明以及菜单选项 |
显示示例 |
|
Current TPM Device |
当前TPM设备类型。 |
TPM 2.0 |
|
HID from TPM2 ACPI Table |
TPM2 ACPI表的HID。 |
- |
|
Current Rev of TPM2 ACPI Table |
当前TPM2 ACPI表的版本。 |
Rev 4 |
|
Current TPM Device Interface |
当前TPM设备接口。 |
TIS 说明 此参数值与实际所接的TPM芯片接口相关,请以实际为准。 |
|
PTP TPM Device Interface Capability |
PTP TPM设备接口兼容性。 |
TIS 说明 此参数值与实际所接的TPM芯片接口相关,请以实际为准。 |
|
TPM2 Active PCR Hash Algorithm |
已激活的TPM PCR哈希算法。 |
SHA1,SHA256 说明 此参数值与实际所接的TPM芯片接口相关,请以实际为准。 |
|
TPM2 Hardware Supported Hash Algorithm |
TPM硬件支持哈希算法。 |
SHA1,SHA256,SM3_256 说明 此参数值与实际所接的TPM芯片接口相关,请以实际为准。 |
|
BIOS Supported Hash Algorithm |
BIOS支持哈希算法。 |
SHA1,SHA256,SHA384,SHA512,SM3_256 |
|
TPM2 Physical Presence Operation |
TPM2物理在位操作。 |
- |
|
Current PPI Version |
当前PPI版本。 |
1.3 |
|
Attempt PPI Version |
设置PPI版本,菜单选项为: l 1.2 l 1.3 |
1.3 |
|
TPM2 Operation |
TPM2操作菜单,菜单选项为: l No Action l TPM2 HierarchyControl (TPM_RH_OWNER YES, TPM_RH_ENDORSEMENT YES) l TPM2 HierarchyControl (TPM_RH_OWNER NO, TPM_RH_ENDORSEMENT NO) l TPM2 ClearControl(NO) + Clear l TPM2 PCR_Allocate(Algorithm IDs) l TPM2 ChangeEPS l TCG2 LogAllDigests l TPM2 HierarchyControl (TPM_RH_OWNER NO, TPM_RH_ENDORSEMENT YES) |
No Action |
|
TPM2 Operation Parameter |
TPM2操作参数。 |
0 |
|
TCG2 Protocol Configuration |
TCG2协议配置。 |
- |
|
Supported Event Log Format |
支持的事件日志形式。 |
TCG_1_2,TCG_2 |
|
Hash Algorithm Bitmaps |
哈希算法bit映射。 |
SHA1,SHA256,SM3_256 说明 此参数值与实际所接的TPM芯片接口相关,请以实际为准。 |
|
Number of PCR Banks |
PCR Bank的数量。 |
3 说明 此参数值与实际所接的TPM芯片接口相关,请以实际为准。 |
|
Active PCR Banks |
已激活的PCR Bank。 |
SHA1,SHA256,SM3_256 说明 此参数值与实际所接的TPM芯片接口相关,请以实际为准。 |
表4-7 TCG2 Configuration界面2参数说明
|
参数名称 |
功能说明以及菜单选项 |
显示示例 |
|
Current TPM Device |
显示当前TPM设备类型。 |
TPM 2.0 |
|
TPM2 Hardware Supported Hash Algorithm |
显示TPM硬件支持的哈希算法。 |
SHA1,SHA256 说明 此参数值与实际所接的TPM芯片接口相关,请以实际为准。 |
|
Active PCR Banks |
显示已激活的PCR Bank。 |
SHA1,SHA256 说明 此参数值与实际所接的TPM芯片接口相关,请以实际为准。 |
|
TPM Availability |
设置TPM使用状态,菜单选项为: l Hidden l Available 说明 当该参数设置为“Hidden”时,TPM设备在OS下不可见,且不可在BIOS Setup界面更新TPM设备状态。 |
Available |
|
TPM2 Operation |
TPM2操作菜单,菜单选项为: l No Action l Enable l Disable 说明 当此参数值设置为“No Action”之外的选项时,相应的选项操作执行完成之后,参数值会恢复为“No Action”。 |
No Action |
|
Clear TPM |
此参数值为Checkbox类型,默认不勾选(不清除TPM配置信息),按“Enter”可进行勾选和不勾选的转换,勾选时(清除TPM配置信息),复选框中显示X字样。 说明 清除TPM配置信息操作执行完成之后,该参数会恢复为不勾选状态。 |
- |
当服务器未接入TPM时,显示以下界面,如图4-9或图4-10所示,具体参数说明如表4-8所示。
|
参数名称 |
功能说明 |
默认值 |
|
TPM设备 |
当前TPM设备类型。 |
未侦测到 |
|
TPM可用性 |
设置TPM使用状态,菜单选项为: l 隐蔽 l 可用 |
可用 |
加固方案说明:
可通过整机硬件增加TPM模块,实现安全特性的加固,针对TPM内的配置建议采用默认配置实施。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
