เทคโนโลยี

การกำหนดค่าความปลอดภัย BIOS ของเซิร์ฟเวอร์ PowerEdge สำหรับเซิร์ฟเวอร์ PowerEdge ที่ใช้ Intel

คู่มือแนวทางปฏิบัติที่ดีที่สุด (BPG)
ความปลอดภัยของ BIOS เซิร์ฟเวอร์ Dell PowerEdge
คู่มือการกำหนดค่า (SCG) สำหรับ Intel
เซิร์ฟเวอร์ PowerEdge
สำหรับเซิร์ฟเวอร์ PowerEdge ที่ใช้ Intel 16G
เชิงนามธรรม
คู่มือแนวทางปฏิบัติที่ดีที่สุด (BPG) ของ Dell PowerEdge นี้อธิบายคุณลักษณะด้านความปลอดภัยของ BIOS ที่คุณสามารถใช้เพื่อจัดการและปรับแต่งเซิร์ฟเวอร์ Dell PowerEdge ของคุณ นอกจากนี้ยังกำหนดฟิลด์ที่ใช้ในการกำหนดค่าคุณลักษณะเหล่านี้และแนวทางปฏิบัติที่ดีที่สุดในการกำหนดค่าในแต่ละฟิลด์ตามความเหมาะสม สิงหาคม 2023
การแก้ไข

วันที่	เวอร์ชัน	ผู้เขียน	คำอธิบาย
12 เมษายน 2023	วี0.1.0	เซซิล เซิง	ร่างเริ่มต้นอิงตามเวอร์ชัน 15G
20 เมษายน 2023	วี0.2.0	เซซิล เซิง	จัดระเบียบระดับส่วนของบทที่ 2 ใหม่ เพิ่มส่วนสำหรับการกำหนดค่า OS/VM ที่ปลอดภัย
วันที่ 21 สิงหาคม 2023	วี1.0.0	เซซิล เซิง	รุ่นแรกอย่างเป็นทางการ

ผู้เขียน
Cecil Sheng—วิศวกรหลักอาวุโสด้านเฟิร์มแวร์
Ivy Yang—วิศวกรอาวุโสด้านเฟิร์มแวร์
ฝ่ายสนับสนุน—Kartik Sarvi (การออกแบบและพัฒนาข้อมูล)
ข้อมูลในเอกสารเผยแพร่ฉบับนี้จัดทำขึ้นตามที่เป็นอยู่ Dell Inc. ไม่รับรองหรือรับประกันใดๆ ทั้งสิ้นเกี่ยวกับข้อมูลในเอกสารเผยแพร่ฉบับนี้ และปฏิเสธการรับประกันโดยปริยายว่าเป็นไปตามเงื่อนไขของการค้าหรือเหมาะสมสำหรับวัตถุประสงค์เฉพาะ
การใช้ การคัดลอก และการแจกจ่ายซอฟต์แวร์ใดๆ ที่อธิบายไว้ในเอกสารเผยแพร่นี้จำเป็นต้องมีใบอนุญาตซอฟต์แวร์ที่ใช้ได้
ลิขสิทธิ์ © 2023 Dell Inc. หรือบริษัทในเครือ สงวนลิขสิทธิ์. Dell Technologies, Dell, EMC, Dell และเครื่องหมายการค้าอื่นๆ เป็นเครื่องหมายการค้าของ Dell Inc. หรือบริษัทในเครือ เครื่องหมายการค้าอื่นๆ อาจเป็นเครื่องหมายการค้าของเจ้าของที่เกี่ยวข้อง [8/21/2023] [แนวทางปฏิบัติที่ดีที่สุด] [572] คู่มือการกำหนดค่าความปลอดภัย BIOS เซิร์ฟเวอร์ Dell PowerEdge (SCG) สำหรับเซิร์ฟเวอร์ PowerEdge ที่ใช้ Intel | 572
วงจรการพัฒนาความปลอดภัย

คำนำ

ในฐานะที่เป็นส่วนหนึ่งของความพยายามในการปรับปรุง จะมีการเผยแพร่การแก้ไขซอฟต์แวร์และฮาร์ดแวร์เป็นระยะๆ ฟังก์ชั่นบางอย่างที่อธิบายไว้ใน SCG นี้ไม่รองรับซอฟต์แวร์หรือฮาร์ดแวร์ทุกเวอร์ชันที่ใช้งานอยู่ในปัจจุบัน บันทึกประจำรุ่นของผลิตภัณฑ์ให้ข้อมูลล่าสุดเกี่ยวกับคุณลักษณะของผลิตภัณฑ์ ติดต่อผู้ให้บริการของคุณหากผลิตภัณฑ์ทำงานไม่ถูกต้องหรือไม่ทำงานตามที่อธิบายไว้ในเอสซีจีนี้
จะขอความช่วยเหลือได้จากที่ไหน?
ข้อมูลการสนับสนุน ผลิตภัณฑ์ และใบอนุญาตมีอยู่ในแหล่งต่างๆ เช่น:

• ข้อมูลผลิตภัณฑ์—สำหรับเอกสารประกอบผลิตภัณฑ์และฟีเจอร์หรือบันทึกประจำรุ่น ให้ไปที่หน้าเอกสารประกอบผลิตภัณฑ์ที่เกี่ยวข้องใน https://www.dell.com/poweredgemanuals.
• การแก้ไขปัญหา—สำหรับข้อมูลเกี่ยวกับผลิตภัณฑ์ การอัปเดตซอฟต์แวร์ ใบอนุญาต และบริการ โปรดไปที่ https://www.dell.com/support และค้นหาหน้าสนับสนุนผลิตภัณฑ์ที่เหมาะสม
• การสนับสนุนด้านเทคนิค—สำหรับการสนับสนุนด้านเทคนิคและการร้องขอบริการ โปรดไปที่ https://www.dell.com/support และไปที่หน้าคำขอบริการ หากต้องการเปิดคำขอบริการ คุณต้องมีข้อตกลงการสนับสนุนที่ถูกต้อง ติดต่อตัวแทนฝ่ายขายของคุณเพื่อขอข้อมูลเกี่ยวกับการได้รับข้อตกลงการสนับสนุนที่ถูกต้องหรือเพื่อตอบคำถามใด ๆ เกี่ยวกับบัญชีของคุณ

เกินview คู่มือการกำหนดค่าความปลอดภัย BIOS เซิร์ฟเวอร์ Dell 16G สำหรับแพลตฟอร์มที่ใช้ Intel
เซิร์ฟเวอร์ Dell PowerEdge มีระบบรักษาความปลอดภัยที่แข็งแกร่งมาหลายรุ่น รวมถึงนวัตกรรมการใช้ความปลอดภัยของข้อมูลที่ใช้ซิลิคอน เริ่มต้นจาก 15G เราได้แนะนำ iDRAC Root-of-Trust เพื่อตรวจสอบสิทธิ์ BIOS ในระดับความปลอดภัยที่สูงขึ้น ทีมผลิตภัณฑ์ของ Dell พิจารณาข้อกำหนดหลักหลายประการในระหว่างการออกแบบเซิร์ฟเวอร์ PowerEdge รุ่นที่ 16 เพื่อตอบสนองต่อภัยคุกคามด้านความปลอดภัยที่เผชิญในสภาพแวดล้อมไอทีสมัยใหม่:

• ปกป้อง—ปกป้องเซิร์ฟเวอร์ตลอดวงจรชีวิตทุกด้าน รวมถึง BIOS เฟิร์มแวร์ ข้อมูล และฮาร์ดแวร์กายภาพ
• ตรวจจับ—ตรวจจับการโจมตีทางไซเบอร์ที่เป็นอันตรายและการเปลี่ยนแปลงที่ไม่ได้รับอนุมัติ มีส่วนร่วมกับผู้ดูแลระบบไอทีในเชิงรุก
• การกู้คืน—กู้คืน BIOS เฟิร์มแวร์ และระบบปฏิบัติการให้เป็นสถานะที่ทราบ เลิกใช้หรือเปลี่ยนวัตถุประสงค์เซิร์ฟเวอร์อย่างปลอดภัย เซิร์ฟเวอร์ Dell PowerEdge เป็นไปตามมาตรฐานอุตสาหกรรมที่สำคัญในด้านการเข้ารหัสและการรักษาความปลอดภัย ตามที่อธิบายไว้ในเอกสารนี้ และดำเนินการติดตามและจัดการช่องโหว่ใหม่ๆ อย่างต่อเนื่อง กลุ่มเป้าหมายสำหรับเอกสารนี้รวมถึงผู้ดูแลระบบที่รับผิดชอบในการบำรุงรักษาและปรับใช้เซิร์ฟเวอร์ และรับรองว่ามีการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยของเครือข่ายและโครงสร้างพื้นฐาน
  หมายเหตุ—THE ข้อมูลในเอกสารนี้จัดทำขึ้น "ตามที่เป็น" DELL ไม่รับรองหรือรับประกันใดๆ ที่เกี่ยวข้องกับข้อมูลในเอกสารนี้ และปฏิเสธการรับประกันโดยนัยถึงความสามารถเชิงพาณิชย์หรือความเหมาะสมสำหรับวัตถุประสงค์เฉพาะโดยเฉพาะ ไม่ว่าในกรณีใด Dell Technologies บริษัทในเครือหรือซัพพลายเออร์ จะไม่รับผิดชอบต่อความเสียหายใดๆ ที่เกิดขึ้นจากหรือเกี่ยวข้องกับข้อมูลที่มีอยู่ในที่นี้หรือการกระทำที่คุณตัดสินใจที่จะดำเนินการตามนั้น รวมถึงการสูญเสียธุรกิจโดยตรง โดยอ้อม เป็นผลสืบเนื่อง การสูญเสียทางธุรกิจ ผลกำไรหรือความเสียหายพิเศษ แม้ว่า Dell Technologies บริษัทในเครือหรือซัพพลายเออร์จะได้รับคำแนะนำถึงความเป็นไปได้ของความเสียหายดังกล่าวก็ตาม

เอสซีจีนี้เป็นเอกสารอ้างอิง คำแนะนำนี้จัดทำขึ้นตามชุดระบบที่ติดตั้งที่หลากหลาย และอาจไม่แสดงถึงความเสี่ยง/คำแนะนำที่แท้จริงสำหรับการติดตั้งในพื้นที่และสภาพแวดล้อมส่วนบุคคลของคุณ ขอแนะนำให้คุณพิจารณาการบังคับใช้ข้อมูลนี้กับสภาพแวดล้อมส่วนบุคคลของคุณและดำเนินการตามความเหมาะสม ทุกแง่มุมของคู่มือการกำหนดค่าความปลอดภัย (SCG) นี้อาจเปลี่ยนแปลงได้โดยไม่ต้องแจ้งให้ทราบล่วงหน้าและเป็นรายกรณี การใช้ข้อมูลที่มีอยู่ในเอกสารนี้หรือเนื้อหาที่เชื่อมโยงในที่นี้ถือเป็นความเสี่ยงของคุณเอง Dell ขอสงวนสิทธิ์ในการเปลี่ยนแปลงหรืออัปเดตเอกสารนี้ตามดุลยพินิจของตนแต่เพียงผู้เดียวโดยไม่ต้องแจ้งให้ทราบเมื่อใดก็ได้
1.1 วงจรการพัฒนาความปลอดภัย
Dell ได้ใช้กระบวนการวงจรการพัฒนาความปลอดภัยโดยมีการรักษาความปลอดภัยเป็นองค์ประกอบสำคัญในทุกแง่มุมของการพัฒนา การจัดซื้อ การผลิต การจัดส่ง และการสนับสนุน ซึ่งส่งผลให้เกิดสถาปัตยกรรม Cyber ​​Resilient ในเซิร์ฟเวอร์ 16G PowerEdge
1.2 ภัยคุกคามในปัจจุบันและโซลูชัน BIOS เซิร์ฟเวอร์ของ Dell
ตารางที่ 1 : เวกเตอร์ภัยคุกคามและโซลูชันที่เกี่ยวข้องในเซิร์ฟเวอร์ Dell PowerEdge

เลเยอร์แพลตฟอร์มเซิร์ฟเวอร์
ชั้นความปลอดภัย	ภัยคุกคามเวกเตอร์	โซลูชันของเดลล์
เซิร์ฟเวอร์ทางกายภาพ	เซิร์ฟเวอร์ทีampการเอิร์น	สิ่งกีดขวางทางกายภาพ
เฟิร์มแวร์และซอฟต์แวร์	เฟิร์มแวร์เสียหาย การแทรกมัลแวร์	• iDRAC รากฐานแห่งความไว้วางใจ • รากฐานแห่งความไว้วางใจที่ใช้ซิลิคอน •การ์ดป้องกันรองเท้า Intel •เฟิร์มแวร์ที่ลงนามและตรวจสอบการเข้ารหัสแบบเข้ารหัส
คุณสมบัติการรับรองความน่าเชื่อถือ	การปลอมแปลงข้อมูลประจำตัวของเซิร์ฟเวอร์	•ทีพีเอ็ม •TXT •สายโซ่แห่งความไว้วางใจ •เดอะ •SGX
การจัดการเซิร์ฟเวอร์	การกำหนดค่าและการอัปเดตอันธพาล การโจมตีพอร์ตเปิดโดยไม่ได้รับอนุญาต ข้อมูลรั่วไหล และความเสียหาย	•iDRAC9 •ข้อความรหัสผ่านหน่วยความจำถาวร

ปกป้องเซิร์ฟเวอร์ PowerEdge โดยใช้ BIOS

2.1 การบูตที่เชื่อถือได้ที่ตรวจสอบโดยการเข้ารหัส
2.1.1 iDRAC Root-of-Trust (RoT) และ Root-of-Trust บนซิลิคอน
เริ่มต้นจาก 14G เซิร์ฟเวอร์ PowerEdge ใช้ Root-of-Trust ที่ใช้ซิลิคอนซึ่งไม่เปลี่ยนรูปเพื่อรับรองความสมบูรณ์ของ BIOS และเฟิร์มแวร์ iDRAC ด้วยการเข้ารหัส คุณลักษณะ Root-of-trust นี้ใช้คีย์สาธารณะที่ตั้งโปรแกรมได้เพียงครั้งเดียว อ่านอย่างเดียว ซึ่งให้การป้องกันมัลแวร์ampering
กระบวนการบูต BIOS ใช้ประโยชน์จากเทคโนโลยี AMD Platform Secure Boot (PSB) ซึ่งตรวจสอบว่าลายเซ็นดิจิทัลของแฮชที่เข้ารหัสลับของอิมเมจสำหรับบูตนั้นตรงกับลายเซ็นที่ Dell ในโรงงานเก็บไว้ในซิลิคอน ความล้มเหลวในการตรวจสอบผลลัพธ์เซิร์ฟเวอร์การปิดระบบ การแจ้งเตือนผู้ใช้ในบันทึกตัวควบคุมวงจรการใช้งาน และกระบวนการกู้คืน BIOS ก็สามารถเริ่มต้นได้โดยผู้ใช้ หาก Boot Guard ตรวจสอบได้สำเร็จ โมดูล BIOS ที่เหลือจะได้รับการตรวจสอบโดยใช้ขั้นตอนความน่าเชื่อถือจนกว่าการควบคุมจะถูกส่งไปยังระบบปฏิบัติการหรือไฮเปอร์ไวเซอร์
เริ่มต้นจาก 15G เซิร์ฟเวอร์ PowerEdge มอบระดับความปลอดภัยที่สูงขึ้นด้วยการแนะนำ iDRAC Root-of-Trust iDRAC Root-of-Trust มอบจุดยึดที่เชื่อถือได้ที่สำคัญสำหรับการตรวจสอบลายเซ็นของแพ็คเกจการอัปเดตเฟิร์มแวร์ (DUP) ของ Dell รวมถึงการอัพเดตเฟิร์มแวร์ BIOS
ให้เราดูรายละเอียดเพิ่มเติมเกี่ยวกับห่วงโซ่แห่งความไว้วางใจ iDRAC Root-of-Trust จะตรวจสอบความถูกต้องของพื้นที่เฉพาะของอิมเมจ BIOS ก่อนที่จะบู๊ตระบบและเริ่มรันโค้ดจากโมดูล BIOS แต่ละโมดูล BIOS มีแฮชของโมดูลถัดไปในห่วงโซ่ โมดูลหลักใน BIOS ได้แก่ SEC (ความปลอดภัย), PEI (การกำหนดค่าเริ่มต้นล่วงหน้า EFI), DXE (สภาพแวดล้อมการดำเนินการไดรเวอร์) และ BDS (การเลือกอุปกรณ์บู๊ต) AMD PSB ตรวจสอบความถูกต้องของโมดูล SEC จากนั้น SEC จะตรวจสอบความถูกต้องของโมดูล PEI ก่อนที่จะมอบการควบคุมให้กับมัน โมดูล PEI จะตรวจสอบโมดูล DXE+BDS เพิ่มเติม ณ จุดนี้ การควบคุมจะถูกส่งไปยัง UEFI Secure Boot ตามที่อธิบายไว้ในส่วนถัดไป
2.1.2 รองรับการบูตอย่างปลอดภัยของ UEFI
เซิร์ฟเวอร์ PowerEdge ยังรองรับ UEFI Secure Boot มาตรฐานอุตสาหกรรม ซึ่งจะตรวจสอบลายเซ็นการเข้ารหัสของไดรเวอร์ UEFI และโค้ดอื่นๆ ที่โหลดก่อนที่ระบบปฏิบัติการจะทำงาน Secure Boot แสดงถึงมาตรฐานอุตสาหกรรมด้านความปลอดภัยในสภาพแวดล้อมก่อนบูต ผู้จำหน่ายระบบคอมพิวเตอร์ ผู้จำหน่ายการ์ดเอ็กซ์แพนชัน และผู้ให้บริการระบบปฏิบัติการร่วมมือกันเกี่ยวกับข้อกำหนดนี้เพื่อส่งเสริมการทำงานร่วมกัน เมื่อเปิดใช้งาน UEFI Secure Boot จะป้องกันไม่ให้โหลดไดรเวอร์อุปกรณ์ UEFI ที่ไม่ได้ลงชื่อ (นั่นคือ ไม่น่าเชื่อถือ) แสดงข้อความแสดงข้อผิดพลาด และไม่อนุญาตให้อุปกรณ์ทำงาน คุณต้องปิดการใช้งาน Secure Boot เพื่อโหลดไดรเวอร์อุปกรณ์ที่ไม่ได้ลงชื่อ
นอกจากนี้ เซิร์ฟเวอร์ PowerEdge ยังมอบความยืดหยุ่นที่เป็นเอกลักษณ์ให้กับลูกค้าในการใช้ใบรับรองบูตโหลดเดอร์แบบกำหนดเองที่ไม่ได้ลงนามโดย Microsoft นี่เป็นคุณสมบัติหลักสำหรับผู้ดูแลระบบสภาพแวดล้อม Linux ที่ต้องการลงนามบูตโหลดเดอร์ระบบปฏิบัติการของตนเอง สามารถอัปโหลดใบรับรองที่กำหนดเองได้โดยใช้ iDRAC API ที่ต้องการเพื่อตรวจสอบสิทธิ์บูตโหลดเดอร์ระบบปฏิบัติการเฉพาะของลูกค้า
การกำหนดค่าเริ่มต้นสำหรับ Secure Boot ถูกปิดใช้งาน หากต้องการเปิดใช้งาน Secure Boot ให้เปิดระบบ กด F2 และคลิกเมนูหลักการตั้งค่าระบบ → System BIOS → System Security ตั้งค่าคุณสมบัติ Secure Boot เป็น Enable

ตัวเลือก	คำอธิบาย
การบูตที่ปลอดภัย	เปิดใช้งาน Secure Boot โดยที่ BIOS จะตรวจสอบอิมเมจพรีบูตแต่ละอิมเมจ file โดยใช้ใบรับรองใน Secure Boot Policy ตามค่าเริ่มต้น ปลอดภัย บูตถูกตั้งค่าเป็น พิการ.
นโยบายการบูตที่ปลอดภัย	เมื่อตั้งค่านโยบาย Secure Boot เป็น มาตรฐานไบออสใช้คีย์และใบรับรองของผู้ผลิตระบบเพื่อตรวจสอบสิทธิ์อิมเมจก่อนบูต เมื่อตั้งค่านโยบาย Secure Boot เป็น กำหนดเอง, BIOS ใช้คีย์และใบรับรองที่ผู้ใช้กำหนด ตามค่าเริ่มต้น นโยบาย Secure Boot จะถูกตั้งค่าเป็น มาตรฐาน.
โหมดการบูตที่ปลอดภัย	กำหนดค่าวิธีที่ BIOS ใช้ Secure Boot Policy Objects (PK, KEK, db หรือ dbx)   · หากโหมดปัจจุบันถูกตั้งค่าเป็น โหมดปรับใช้, ตัวเลือกที่ใช้ได้คือ โหมดผู้ใช้ และ โหมดปรับใช้.   · หากโหมดปัจจุบันถูกตั้งค่าเป็น โหมดผู้ใช้, ตัวเลือกที่ใช้ได้คือ โหมดผู้ใช้, โหมดการตรวจสอบ, และ โหมดปรับใช้.   โหมดการบูตที่ปลอดภัย
		ตัวเลือก	คำอธิบาย
		โหมดผู้ใช้	In โหมดผู้ใช้จะต้องติดตั้ง PK และ BIOS ดำเนินการตรวจสอบลายเซ็นเมื่อพยายามทางโปรแกรมเพื่ออัปเดตออบเจ็กต์นโยบาย BIOS อนุญาตให้มีการเปลี่ยนโปรแกรมระหว่างโหมดต่างๆ โดยไม่ได้รับอนุญาต
		โหมดการตรวจสอบ	In โหมดการตรวจสอบ, PK ไม่ปรากฏ BIOS ไม่รับรองความถูกต้องของการอัพเดตทางโปรแกรมกับออบเจ็กต์นโยบายและการเปลี่ยนระหว่างโหมด BIOS ดำเนินการตรวจสอบลายเซ็นบนอิมเมจพรีบูตและบันทึกผลลัพธ์ในตารางข้อมูลการดำเนินการอิมเมจ แต่จะรันอิมเมจไม่ว่าจะผ่านหรือไม่ผ่านการตรวจสอบ โหมดตรวจสอบมีประโยชน์สำหรับการพิจารณางานโดยทางโปรแกรม ชุดของวัตถุนโยบาย
		โหมดปรับใช้	โหมดปรับใช้ เป็นโหมดที่ปลอดภัยที่สุด ใน โหมดปรับใช้จะต้องติดตั้ง PK และ BIOS จะทำการตรวจสอบลายเซ็นเมื่อพยายามทางโปรแกรมเพื่ออัปเดตออบเจ็กต์นโยบาย โหมดปรับใช้จะจำกัดการเปลี่ยนโหมดทางโปรแกรม
สรุปนโยบายการบูตที่ปลอดภัย	ระบุรายการใบรับรองและแฮชที่ Secure Boot ใช้เพื่อตรวจสอบสิทธิ์รูปภาพ
การตั้งค่านโยบายแบบกำหนดเองของ Secure Boot	กำหนดค่านโยบายแบบกำหนดเองของ Secure Boot หากต้องการเปิดใช้งานตัวเลือกนี้ ให้ตั้งค่า Secure Boot Policy เป็น กำหนดเอง.
ตัวเลือก	คำอธิบาย
การบูตที่ปลอดภัย	เปิดใช้งาน Secure Boot โดยที่ BIOS จะตรวจสอบอิมเมจพรีบูตแต่ละอิมเมจ file โดยใช้ใบรับรองใน Secure Boot Policy ตามค่าเริ่มต้น Secure Boot จะถูกตั้งค่าเป็น พิการ.

นโยบายการบูตที่ปลอดภัย	เมื่อตั้งค่านโยบาย Secure Boot เป็น มาตรฐานBIOS จะใช้คีย์ของผู้ผลิตระบบและใบรับรองในการตรวจสอบอิมเมจพรีบูต เมื่อไร นโยบาย Secure Boot ถูกตั้งค่าเป็น กำหนดเอง, BIOS ใช้คีย์และใบรับรองที่ผู้ใช้กำหนด ตามค่าเริ่มต้น นโยบาย Secure Boot จะถูกตั้งค่าเป็น มาตรฐาน.
โหมดการบูตที่ปลอดภัย	กำหนดค่าวิธีที่ BIOS ใช้ Secure Boot Policy Objects (PK, KEK, db หรือ dbx)   · หากโหมดปัจจุบันถูกตั้งค่าเป็น โหมดปรับใช้, ตัวเลือกที่ใช้ได้คือ โหมดผู้ใช้ และ โหมดปรับใช้.   · หากโหมดปัจจุบันถูกตั้งค่าเป็น โหมดผู้ใช้, ตัวเลือกที่ใช้ได้คือ โหมดผู้ใช้, โหมดการตรวจสอบ, และ โหมดปรับใช้.   โหมดการบูตที่ปลอดภัย
		ตัวเลือก	คำอธิบาย
		โหมดผู้ใช้	In โหมดผู้ใช้จะต้องติดตั้ง PK และ BIOS ดำเนินการตรวจสอบลายเซ็นเมื่อพยายามทางโปรแกรมเพื่ออัปเดตออบเจ็กต์นโยบาย BIOS อนุญาตให้มีการเปลี่ยนโปรแกรมระหว่างโหมดต่างๆ โดยไม่ได้รับอนุญาต
		โหมดการตรวจสอบ	In โหมดการตรวจสอบ, PK ไม่ปรากฏ BIOS ไม่รับรองความถูกต้องของการอัพเดตทางโปรแกรมกับออบเจ็กต์นโยบายและการเปลี่ยนระหว่างโหมด BIOS ดำเนินการตรวจสอบลายเซ็นบนอิมเมจพรีบูตและบันทึกผลลัพธ์ในตารางข้อมูลการดำเนินการอิมเมจ แต่จะรันอิมเมจไม่ว่าจะผ่านหรือไม่ผ่านการตรวจสอบ โหมดการตรวจสอบคือ มีประโยชน์สำหรับการกำหนดชุดการทำงานของออบเจ็กต์นโยบายโดยทางโปรแกรม
		โหมดปรับใช้	โหมดปรับใช้ เป็นโหมดที่ปลอดภัยที่สุด ใน โหมดปรับใช้จะต้องติดตั้ง PK และ BIOS จะทำการตรวจสอบลายเซ็นเมื่อพยายามทางโปรแกรมเพื่ออัปเดตออบเจ็กต์นโยบาย โหมดปรับใช้จะจำกัดการเปลี่ยนโหมดทางโปรแกรม
สรุปนโยบายการบูตที่ปลอดภัย	ระบุรายการใบรับรองและแฮชที่ Secure Boot ใช้เพื่อตรวจสอบสิทธิ์รูปภาพ
การตั้งค่านโยบายแบบกำหนดเองของ Secure Boot	กำหนดค่านโยบายแบบกำหนดเองของ Secure Boot หากต้องการเปิดใช้งานตัวเลือกนี้ ให้ตั้งค่า Secure Boot Policy เป็น กำหนดเอง.

2.1.3 การสนับสนุน TPM
เซิร์ฟเวอร์ PowerEdge รองรับ TPM สามเวอร์ชัน:
✓ TPM 1.2 FIPS + เกณฑ์ทั่วไป + ได้รับการรับรอง TCG (Nuvoton)
✓ TPM 2.0 FIPS + เกณฑ์ทั่วไป + ได้รับการรับรอง TCG (Nuvoton)
TPM สามารถใช้เพื่อดำเนินการฟังก์ชันการเข้ารหัสคีย์สาธารณะ คำนวณฟังก์ชันแฮช สร้าง จัดการ และจัดเก็บคีย์อย่างปลอดภัย และดำเนินการรับรอง TPM สามารถใช้เพื่อเปิดใช้งานคุณสมบัติการเข้ารหัสฮาร์ดไดรฟ์ BitLocker™ ใน Windows Server 2012 และเวอร์ชันที่ใหม่กว่า TPM เข้ากันได้กับโซลูชัน HyTrust CloudControl การรับรองระยะไกล โซลูชันการรับรองและการรับรองระยะไกลสามารถใช้ TPM เพื่อทำการวัด ณ เวลาบูตของฮาร์ดแวร์, ไฮเปอร์ไวเซอร์, BIOS และ OS ของเซิร์ฟเวอร์ และเปรียบเทียบในลักษณะที่ปลอดภัยด้วยการเข้ารหัสลับกับการวัดพื้นฐานที่จัดเก็บไว้ใน TPM หากไม่เหมือนกัน ข้อมูลระบุตัวตนของเซิร์ฟเวอร์อาจถูกบุกรุก และผู้ดูแลระบบสามารถปิดใช้งานและยกเลิกการเชื่อมต่อเซิร์ฟเวอร์ได้ทั้งภายในเครื่องหรือจากระยะไกล
TPM ถูกเปิดใช้งานผ่านตัวเลือก BIOS นำเสนอเป็นโซลูชันโมดูลปลั๊กอิน โดยระนาบมีตัวเชื่อมต่อสำหรับโมดูลปลั๊กอินนี้ อย่างไรก็ตาม หลังจากเปิดใช้งานโมดูล TPM บนเซิร์ฟเวอร์ Dell PowerEdge 13G ใดๆ (หรือใหม่กว่า) ชิปฟิสิคัลนั้นจะเชื่อมโยงกับเซิร์ฟเวอร์นั้นอย่างถาวร และไม่สามารถย้ายไปยังระบบอื่นได้ การเชื่อมโยงทางกายภาพและการเข้ารหัสนี้ช่วยให้แน่ใจว่าความสมบูรณ์ของแพลตฟอร์มจะไม่ถูกละเมิด หรือไม่สามารถย้ายข้อมูลไปยังแพลตฟอร์มอื่นพร้อมกับ TPM ได้
หากต้องการเปิดใช้งาน TPM:

1. เปิดระบบ
2.  กด F2 และคลิกเมนูหลักการตั้งค่าระบบ → BIOS ระบบ → ความปลอดภัยของระบบ
3. ตั้งค่าความปลอดภัย TPM จากปิดเป็นสถานะที่ต้องการ สำหรับ TPM 1.2 ตรวจสอบให้แน่ใจว่าเปิดใช้งาน TPM แล้ว
   ตารางที่ 2 TPM 1.2 ข้อมูลตัวเลือกการตั้งค่า

   ตัวเลือก	คำอธิบาย
   ทีพีเอ็ม ซีเคียวริตี้	บันทึก: เมนู TPM ใช้ได้เฉพาะเมื่อมีการติดตั้งโมดูล TPM เท่านั้น   ช่วยให้คุณควบคุมโหมดการรายงานของ TPM ดิ ทีพีเอ็ม ซีเคียวริตี้ ตัวเลือกถูกตั้งค่าเป็น ปิด โดยค่าเริ่มต้น. คุณสามารถแก้ไขสถานะ TPM และการเปิดใช้งาน TPM ได้ก็ต่อเมื่อ สถานะ TPM ฟิลด์ถูกตั้งค่าเป็นทั้ง เปิดด้วยการวัดก่อนบูต or เปิดโดยไม่มีการวัดค่าก่อนบูต.   เมื่อติดตั้ง TPM 1.2 แล้ว ทีพีเอ็ม ซีเคียวริตี้ ตัวเลือกถูกตั้งค่าเป็น ปิด, เปิดด้วยการวัดก่อนบูต, หรือ เปิดโดยไม่มีการวัดค่าก่อนบูต.
   ข้อมูล TPM	เปลี่ยนสถานะการทำงานของ TPM ตัวเลือกนี้ถูกตั้งค่าเป็น ไม่มีการเปลี่ยนแปลง โดยค่าเริ่มต้น
   เฟิร์มแวร์ TPM	ระบุเวอร์ชันเฟิร์มแวร์ของ TPM
   สถานะ TPM	ระบุสถานะ TPM
   คำสั่ง ทีพีเอ็ม	ควบคุม Trusted Platform Module (TPM) เมื่อตั้งค่าเป็น ไม่มีไม่มีการส่งคำสั่งไปยัง TPM เมื่อตั้งค่าเป็น เปิดใช้งานเปิดใช้งานและเปิดใช้งาน TPM เมื่อตั้งค่าเป็น ปิดการใช้งาน, TPM ถูกปิดใช้งานและปิดใช้งาน เมื่อตั้งค่าเป็น ชัดเจนเนื้อหาทั้งหมดของ TPM จะถูกล้าง ตัวเลือกนี้ถูกตั้งค่าเป็น ไม่มี โดยค่าเริ่มต้น

   2.1.4 ข้อมูลความปลอดภัย TPM 2.0
   ตารางที่ 3 ข้อมูลความปลอดภัย TPM 2.0 ในเซิร์ฟเวอร์ PowerEdge

   ตัวเลือก	คำอธิบาย
   ทีพีเอ็ม ซีเคียวริตี้	บันทึก—เมนู TPM ใช้ได้เฉพาะเมื่อมีการติดตั้งโมดูล TPM เท่านั้น   · ช่วยให้คุณควบคุมโหมดการรายงานของ TPM · ทีพีเอ็ม ซีเคียวริตี้ ตัวเลือกถูกตั้งค่าเป็น ปิด โดยค่าเริ่มต้น. คุณสามารถแก้ไขได้เฉพาะสถานะ TPM และการเปิดใช้งาน TPM หากเป็นเช่นนั้น สถานะ TPM ฟิลด์ถูกตั้งค่าเป็น บน. · เมื่อติดตั้ง TPM 2.0 แล้ว ทีพีเอ็ม ซีเคียวริตี้ ตัวเลือกถูกตั้งค่าเป็น ปิด or On. ตัวเลือกนี้ตั้งค่าเป็นปิดตามค่าเริ่มต้น
   ข้อมูล TPM	เปลี่ยนสถานะการทำงานของ TPM ตัวเลือกนี้ถูกตั้งค่าเป็น ไม่มีการเปลี่ยนแปลง โดยค่าเริ่มต้น
   เฟิร์มแวร์ TPM	ระบุเวอร์ชันเฟิร์มแวร์ของ TPM
   ลำดับชั้นของ TPM	· เปิดใช้งาน ปิดใช้งาน หรือล้างลำดับชั้นการจัดเก็บและการรับรอง · เมื่อตั้งค่าเป็น เปิดใช้งานแล้วสามารถใช้ลำดับชั้นการจัดเก็บและการรับรองได้ · เมื่อตั้งค่าเป็น พิการไม่สามารถใช้ลำดับชั้นการจัดเก็บและการรับรองได้ · เมื่อตั้งค่าเป็น ชัดเจน, ลำดับชั้นการจัดเก็บและการรับรองจะถูกล้างด้วยค่าใดๆ แล้วรีเซ็ตเป็น เปิดใช้งานแล้ว.
   ทีพีเอ็มขั้นสูง การตั้งค่า	ระบุการตั้งค่าขั้นสูง TPM

   2.1.5 รองรับอินเทล TXT
   Intel TXT จัดเตรียมพื้นฐานฮาร์ดแวร์สำหรับแพลตฟอร์มเพื่อตรวจสอบความน่าเชื่อถือของแพลตฟอร์มในระหว่างการบูต ช่วยให้สามารถตรวจสอบความสมบูรณ์ของ BIOS ตัวโหลดระบบปฏิบัติการ และไฮเปอร์ไวเซอร์ได้
   ข้อกำหนดเบื้องต้น
   หากต้องการเปิดใช้งานตัวเลือก Intel TXT ต้องตั้งค่าเทคโนโลยีการจำลองเสมือนเป็นเปิด นอกจากนี้ ต้องตั้งค่าความปลอดภัย TPM เป็นเปิดด้วยการวัดก่อนบูตสำหรับ TPM1.2 และต้องตั้งค่าความปลอดภัย TPM เป็นเปิดสำหรับ TPM2.0
   ขั้นตอนในการเปิดใช้งาน TXT

   1. หากต้องการเข้าสู่การตั้งค่าระบบ ให้กด F2 ทันทีหลังจากเปิดเครื่องหรือรีบูตเซิร์ฟเวอร์
   2. ในหน้าจอเมนูหลักของการตั้งค่าระบบ คลิก System BIOS → System Security
   3. ในหน้าจอ System Security ให้ตั้งค่าตัวเลือก Intel TXT เป็น On
   4. บันทึกการตั้งค่าและปิดการตั้งค่า รีสตาร์ทเซิร์ฟเวอร์ทำให้การเปลี่ยนแปลงมีผล
      

      ตัวเลือก	คำอธิบาย
      อินเทล(R) TXT	ช่วยให้คุณสามารถตั้งค่าตัวเลือก Intel Trusted Execution Technology (TXT) หากต้องการเปิดใช้งานตัวเลือก Intel TXT ต้องเปิดใช้งานเทคโนโลยีการจำลองเสมือนและความปลอดภัย TPM ด้วยการวัดก่อนบูต ตัวเลือกนี้ตั้งค่าเป็นปิดตามค่าเริ่มต้น

      2.1.6 อัพเดตเฟิร์มแวร์ที่ลงนาม
      เซิร์ฟเวอร์ PowerEdge ใช้ลายเซ็นดิจิทัลในการอัพเดตเฟิร์มแวร์มาหลายรุ่นเพื่อให้มั่นใจว่ามีเพียงเฟิร์มแวร์ของแท้เท่านั้นที่ทำงานบนแพลตฟอร์มเซิร์ฟเวอร์ เราลงนามแพ็คเกจเฟิร์มแวร์ทั้งหมดของเราแบบดิจิทัลโดยใช้อัลกอริธึมการเข้ารหัสที่ได้รับการตรวจสอบแล้ว เฟิร์มแวร์ BIOS ได้รับการปกป้องโดยการแฮช SHA-256 ที่ลงนามโดยคีย์ส่วนตัว 3072-bitRSA iDRAC จะสแกนการอัปเดตเฟิร์มแวร์และเปรียบเทียบลายเซ็นกับสิ่งที่คาดหวังโดยใช้ Root-of-Trust ที่ใช้ซิลิคอน แพคเกจเฟิร์มแวร์ใด ๆ ที่ไม่ผ่านการตรวจสอบจะถูกยกเลิก และข้อความแสดงข้อผิดพลาดจะถูกบันทึกไว้ในบันทึกวงจรการใช้งาน (LCL) เพื่อแจ้งเตือนผู้ดูแลระบบไอที
      การรับรองความถูกต้องของเฟิร์มแวร์ที่ได้รับการปรับปรุงจะฝังอยู่ในอุปกรณ์ของบริษัทอื่นจำนวนมากซึ่งมีการตรวจสอบลายเซ็นโดยใช้กลไก Root-of-Trust ของตนเอง วิธีนี้จะป้องกันไม่ให้มีการใช้เครื่องมืออัปเดตของบุคคลที่สามที่ถูกบุกรุกเพื่อโหลดเฟิร์มแวร์ที่เป็นอันตราย เช่นampไฟล์, NIC หรือไดรฟ์จัดเก็บข้อมูล (และข้ามการใช้แพ็คเกจการอัปเดตของ Dell ที่ลงนามแล้ว) PCIe และอุปกรณ์จัดเก็บข้อมูลของบริษัทอื่นจำนวนมากที่มาพร้อมกับเซิร์ฟเวอร์ PowerEdge ใช้ฮาร์ดแวร์ Root-of-Trust เพื่อตรวจสอบการอัปเดตเฟิร์มแวร์ที่เกี่ยวข้อง
      หากสงสัยว่าเฟิร์มแวร์ใดในอุปกรณ์ใดเป็นอันตรายampในกรณีนี้ ผู้ดูแลระบบไอทีสามารถย้อนกลับอิมเมจเฟิร์มแวร์แพลตฟอร์มจำนวนมากไปเป็นเวอร์ชันก่อนหน้าที่เชื่อถือได้ซึ่งจัดเก็บไว้ใน iDRAC เราเก็บเฟิร์มแวร์อุปกรณ์ไว้ 2 เวอร์ชันบนเซิร์ฟเวอร์ ได้แก่ เวอร์ชันที่ใช้งานจริง (“N”) และเวอร์ชันก่อนหน้าที่เชื่อถือได้ (“N-1”) นอกจากนี้ ไม่อนุญาตให้อัพเดตอิมเมจที่ไม่ได้ลงนามจากอิมเมจ BIOS ระดับการผลิต
      หากต้องการอัปเดต System BIOS คุณสามารถดาวน์โหลดอิมเมจ DUP หรือ EFI ได้ files จาก Dell webเว็บไซต์ เพื่อให้มั่นใจถึงความสมบูรณ์ของรูปภาพ ผู้ใช้ควรตรวจสอบผลรวมของรูปภาพที่ดาวน์โหลด Checksum สามารถพบได้ในหน้าดาวน์โหลด สำหรับเช่นampต่อไปนี้คือเช็คซัมของ BIOS DUP file มีรายการตามที่แสดงในภาพหน้าจอด้านล่าง2.2 ปิดการใช้งานพอร์ต USB
      พอร์ต USB บนระบบ PowerEdge สามารถปิดใช้งานได้อย่างสมบูรณ์เพื่อเพิ่มความปลอดภัยให้กับระบบ ขอบเขตของการปิดใช้งานพอร์ต USB อาจเป็นพอร์ตทั้งหมดหรือเฉพาะพอร์ตด้านหน้าเท่านั้น สำหรับเช่นampอย่างไรก็ตาม การตั้งค่าพอร์ต USB เป็นปิดพอร์ตทั้งหมด (ไดนามิก) สามารถป้องกันระบบที่รันงานการผลิตได้ พอร์ต USB สามารถเปิดใช้งานได้ชั่วคราวเพื่อการบริการเมื่อจำเป็น
      ตารางที่ 4 ตัวเลือกในการกำหนดค่าพอร์ต USB

      ตัวเลือก	คำอธิบาย
      ผู้ใช้ พอร์ต USB ที่สามารถเข้าถึงได้	· กำหนดค่าพอร์ต USB ที่ผู้ใช้สามารถเข้าถึงได้ · การเลือก Only Back Ports On จะปิดการทำงานของพอร์ต USB ด้านหน้า · การเลือก ปิดพอร์ตทั้งหมด ปิดการใช้งานพอร์ต USB ทั้งด้านหน้าและด้านหลังทั้งหมด · การเลือก ปิดพอร์ตทั้งหมด (ไดนามิก) ปิดการใช้งานพอร์ต USB ด้านหน้าและด้านหลังทั้งหมดระหว่าง POST และพอร์ตด้านหน้าสามารถเปิดหรือปิดใช้งานแบบไดนามิกโดยผู้ใช้ที่ได้รับอนุญาตโดยไม่ต้องรีเซ็ตระบบ · ตัวเลือกนี้ถูกตั้งค่าเป็น เปิดพอร์ตทั้งหมด โดยค่าเริ่มต้น
      	· เมื่อตั้งค่าพอร์ต USB ที่ผู้ใช้สามารถเข้าถึงได้ ปิดพอร์ตทั้งหมด (ไดนามิก) เดอะ เปิดใช้งานพอร์ตด้านหน้าเท่านั้น เปิดใช้งานตัวเลือก

      	·         เปิดใช้งานพอร์ตด้านหน้าเท่านั้น: เปิดหรือปิดใช้งานพอร์ต USB ด้านหน้าในระหว่างรันไทม์ของระบบปฏิบัติการ
      	แป้นพิมพ์และเมาส์ USB ยังคงทำงานอยู่ในพอร์ต USB บางพอร์ตระหว่างกระบวนการบูต ทั้งนี้ขึ้นอยู่กับการเลือก หลังจากกระบวนการบู๊ตเสร็จสิ้น พอร์ต USB จะถูกเปิดใช้งานหรือปิดใช้งานตามการตั้งค่า
      พอร์ต iDRAC Direct USB	· พอร์ต iDRAC Direct USB ได้รับการจัดการโดย iDRAC โดยเฉพาะ โดยไม่มีการมองเห็นโฮสต์ ตัวเลือกนี้ตั้งเป็นเปิดหรือปิด เมื่อตั้งค่าเป็นปิด iDRAC จะตรวจไม่พบอุปกรณ์ USB ใด ๆ ที่ติดตั้งในพอร์ตที่ได้รับการจัดการนี้ · ตามค่าเริ่มต้น ตัวเลือกนี้จะถูกตั้งค่าเป็นเปิด

      2.3 สร้างรหัสผ่านการตั้งค่าโดยใช้ BIOS
      หลังจากที่คุณได้รับเซิร์ฟเวอร์ PowerEdge สิ่งแรกที่คุณต้องทำคือสร้างรหัสผ่านการตั้งค่า BIOS เพื่อปกป้องการกำหนดค่า BIOS หากต้องการสร้างรหัสผ่าน ให้ทำดังต่อไปนี้:
      ข้อกำหนดเบื้องต้น
      จัมเปอร์รหัสผ่านเปิดใช้งานหรือปิดใช้งานรหัสผ่านระบบและคุณสมบัติรหัสผ่านการตั้งค่า มันถูกเปิดใช้งานตามค่าเริ่มต้น ตรวจสอบให้แน่ใจว่าจัมเปอร์รหัสผ่านถูกเปิดใช้งานเพื่อให้รหัสผ่านมีผล สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีใช้จัมเปอร์รหัสผ่านบนระบบของคุณ โปรดดูส่วน “การตั้งค่าจัมเปอร์ของบอร์ดระบบ” ในคู่มือการติดตั้งและบริการรายการใดรายการหนึ่งใน AppendixC
      หมายเหตุ—หาก จัมเปอร์รหัสผ่านถูกตั้งค่าเป็นปิดใช้งาน รหัสผ่านระบบที่มีอยู่และรหัสผ่านการตั้งค่าจะถูกลบ และคุณไม่จำเป็นต้องระบุรหัสผ่านระบบเพื่อบูตระบบ ต้องเปิดเคสเซิร์ฟเวอร์เพื่อเข้าถึงจัมเปอร์รหัสผ่าน ซึ่งจะถูกบันทึกเป็นเหตุการณ์การบุกรุก
   5. View หน้าการตั้งค่าระบบโดยการกด F2 ระหว่าง POST หลังจากเปิดเครื่องหรือรีสตาร์ทเซิร์ฟเวอร์
   6. ในหน้าจอเมนูหลักของการตั้งค่าระบบ คลิก System BIOS → System Security
   7.  ในหน้าจอ System Security ตรวจสอบให้แน่ใจว่าสถานะรหัสผ่านถูกตั้งค่าเป็น Unlocked
   8. ในกล่องรหัสผ่านการตั้งค่า พิมพ์รหัสผ่านระบบของคุณ แล้วกด Enter หรือ Tab ใช้แนวทางต่อไปนี้เพื่อกำหนดรหัสผ่านระบบ:
      • รหัสผ่านสามารถมีอักขระได้สูงสุด 32 ตัว
      • รหัสผ่านอาจเป็นการผสมผสานระหว่างตัวอักษร ตัวเลข และสัญลักษณ์
      ข้อความแจ้งให้คุณป้อนรหัสผ่านระบบอีกครั้ง
   9. ป้อนรหัสผ่านการตั้งค่าอีกครั้งแล้วคลิกตกลง
   10.  กด Esc เพื่อกลับไปที่หน้าจอ System BIOS กด Esc อีกครั้ง
       ข้อความแจ้งให้คุณบันทึกการเปลี่ยนแปลง

หมายเหตุ—The คุณสมบัติการป้องกันด้วยรหัสผ่านจะไม่มีผลจนกว่าเซิร์ฟเวอร์จะรีสตาร์ท
2.4 การทำงานโดยเปิดใช้งานรหัสผ่านการตั้งค่า
หากรหัสผ่านการตั้งค่าถูกตั้งค่าเป็น Enabled ให้ป้อนรหัสผ่านการตั้งค่าที่ถูกต้องก่อนที่จะแก้ไขตัวเลือกการตั้งค่าระบบ หากคุณไม่ป้อนรหัสผ่านที่ถูกต้องในสามครั้ง ระบบจะแสดงข้อความต่อไปนี้:
รหัสผ่านไม่ถูกต้อง! จำนวนครั้งในการป้อนรหัสผ่านที่ไม่สำเร็จ: ระบบหยุดทำงาน! ต้องปิดเครื่อง
แม้ว่าคุณจะปิดเครื่องและรีสตาร์ทเซิร์ฟเวอร์แล้ว ข้อความก็จะปรากฏขึ้นจนกว่าจะป้อนรหัสผ่านที่ถูกต้อง ตัวเลือกต่อไปนี้เป็นข้อยกเว้น:

• หากรหัสผ่านระบบไม่ได้ตั้งค่าเป็น Enabled และไม่ได้ล็อคผ่านตัวเลือกสถานะรหัสผ่าน คุณสามารถกำหนดรหัสผ่านระบบได้
• คุณไม่สามารถปิดใช้งานหรือเปลี่ยนรหัสผ่านระบบที่มีอยู่ได้
  หมายเหตุ—คุณ สามารถใช้ตัวเลือกสถานะรหัสผ่านพร้อมกับตัวเลือกรหัสผ่านการตั้งค่าเพื่อป้องกันรหัสผ่านระบบจากการเปลี่ยนแปลงที่ไม่ได้รับอนุญาต

2.5 การใช้รหัสผ่านระบบของคุณเพื่อรักษาความปลอดภัยระบบของคุณ
หากมีการกำหนดรหัสผ่านระบบ ในระหว่างการบู๊ตทุกครั้ง จะต้องป้อนรหัสผ่านเพื่อทำการบู๊ตต่อ ระบบยอมรับรหัสผ่านการตั้งค่าของคุณเป็นรหัสผ่านระบบสำรอง ในการกำหนดค่ารหัสผ่านระบบ ให้ทำดังต่อไปนี้
ขั้นตอน

1. เปิดหรือรีสตาร์ทเซิร์ฟเวอร์
2. ป้อนรหัสผ่านเซิร์ฟเวอร์แล้วกด Enter
   ขั้นตอนต่อไป
   เมื่อสถานะรหัสผ่านถูกตั้งค่าเป็น Locked ให้ป้อนรหัสผ่านเซิร์ฟเวอร์แล้วกด Enter เมื่อได้รับแจ้งระหว่างรีสตาร์ท
   หมายเหตุ—หากป้อนรหัสผ่านระบบไม่ถูกต้อง ระบบจะแสดงข้อความและแจ้งให้คุณป้อนรหัสผ่านอีกครั้ง คุณจะต้องพยายามพิมพ์รหัสผ่านที่ถูกต้องสามครั้ง หลังจากพยายามไม่สำเร็จครั้งที่สาม เซิร์ฟเวอร์จะแสดงข้อความว่าเซิร์ฟเวอร์หยุดทำงานและต้องปิดเครื่อง
   ในระหว่างการดำเนินการรีสตาร์ทครั้งถัดไป ยังคงต้องใช้รหัสผ่านที่ถูกต้องเพื่อดำเนินกระบวนการบูตต่อ

2.6 ลบหรือเปลี่ยนระบบและรหัสผ่านการตั้งค่า
หมายเหตุ—คุณ ไม่สามารถลบหรือเปลี่ยนระบบที่มีอยู่หรือรหัสผ่านการตั้งค่าได้หากสถานะรหัสผ่านถูกตั้งค่าเป็นล็อค

1. กด F2 ระหว่าง POST หลังจากเปิดเครื่องหรือรีสตาร์ทเซิร์ฟเวอร์
2. ในหน้าการตั้งค่าระบบ บนหน้าจอเมนูหลักของการตั้งค่าระบบ คลิก System BIOS → System Security
3.  ในหน้าจอ System Security ตรวจสอบให้แน่ใจว่าสถานะรหัสผ่านถูกตั้งค่าเป็น Unlocked
4.  เลือกรหัสผ่านที่คุณต้องการเปลี่ยนหรือปิดใช้งาน จากนั้นกด Enter หากต้องการลบรหัสผ่าน ให้เว้นช่องนี้ว่างไว้
   • หากคุณเปลี่ยนรหัสผ่าน ข้อความจะแจ้งให้คุณป้อนรหัสผ่านใหม่อีกครั้ง
   • หากคุณลบรหัสผ่าน ข้อความจะแจ้งให้คุณยืนยันการลบ
5. กด Esc เพื่อกลับไปที่หน้าจอ System BIOS
6. กด Esc อีกครั้ง และข้อความแจ้งให้คุณบันทึกการเปลี่ยนแปลง

2.6.1 ล็อคหรือปลดล็อครหัสผ่านการตั้งค่าเซิร์ฟเวอร์
สถานะรหัสผ่านช่วยให้ผู้ดูแลระบบสามารถรักษารหัสผ่านการตั้งค่าเพื่อป้องกันการเปลี่ยนแปลงการตั้งค่า BIOS โดยไม่ได้รับอนุญาต ในขณะที่ผู้ใช้สามารถเปลี่ยนรหัสผ่านระบบได้อย่างอิสระ
ตารางที่ 5 ล็อคหรือปลดล็อครหัสผ่านการตั้งค่าเซิร์ฟเวอร์

ตัวเลือก	คำอธิบาย
สถานะรหัสผ่าน	เมื่อตั้งค่าเป็น ปลดล็อคแล้วสามารถเปลี่ยนรหัสผ่านระบบได้โดยไม่ต้องป้อนรหัสผ่านการตั้งค่า
	เมื่อตั้งค่าเป็น ล็อคต้องป้อนรหัสผ่านการตั้งค่าเพื่อเปลี่ยนรหัสผ่านระบบ เพื่อป้องกันรหัสผ่านของระบบ จากการแก้ไขโดยไม่ต้องระบุรหัสผ่านการตั้งค่า ให้ตั้งค่าตัวเลือกนี้เป็นล็อค และเปิดใช้งานรหัสผ่านการตั้งค่า

2.7 ข้อความรหัสผ่านหน่วยความจำถาวร
วัตถุประสงค์ของการรักษาความปลอดภัย AEP คือการปกป้องข้อมูลที่อยู่ในขอบเขตหน่วยความจำถาวรของ AEP DIMM ข้อมูลมีความปลอดภัย (ไม่มีการเข้าถึงเพื่ออ่านหรือเขียน) หากผู้ใช้/ผู้ดูแลระบบตั้งค่าข้อความรหัสผ่านใน DIMM ข้อความรหัสผ่านจะถูกจัดเก็บแบบเข้ารหัส หลังจากรีเซ็ตระบบ ข้อมูลจะไม่สามารถเข้าถึงได้จนกว่าหรือเว้นแต่ไดรเวอร์ Dell AEP Security จะปลดล็อก DIMM ด้วยข้อความรหัสผ่านที่ถูกต้อง โปรดทราบว่าผู้ใช้ไม่จำเป็นต้องป้อนข้อความรหัสผ่านอีกครั้งในตอนนี้ DIMM จะถูกปลดล็อคโดยอัตโนมัติโดย BIOS หากข้อความรหัสผ่านถูกต้อง โมเดลภัยคุกคามที่ข้อความรหัสผ่าน AEP ป้องกันคือการถอด AEP DIMM ออกจากระบบเป้าหมาย ติดตั้ง DIMM เหล่านั้นลงในระบบอื่น และเข้าถึงข้อมูลหน่วยความจำถาวร
โปรดทราบว่าข้อความรหัสผ่านหน่วยความจำถาวรจะต้องได้รับการปกป้อง และข้อมูลทั้งหมดที่จัดเก็บไว้ใน DIMM หน่วยความจำถาวรจะได้รับการสำรองข้อมูล หาก DIMM หน่วยความจำถาวรถูกย้ายจากบอร์ดระบบหนึ่งไปยังอีกบอร์ดหนึ่ง ผู้ใช้จะต้องป้อนข้อความรหัสผ่านหน่วยความจำถาวรอีกครั้งในการตั้งค่า BIOS มิฉะนั้น เนื้อหาของ DIMM หน่วยความจำถาวรทั้งหมดจะหายไป
คุณสมบัติ Dell AEP Security BIOS มีฟังก์ชันการทำงานดังต่อไปนี้:

• ตัวเลือกการตั้งค่า “วลีรหัสผ่านหน่วยความจำถาวร” เพื่อตั้งค่า/เปลี่ยนแปลง/ลบ AEP
• หยุด AEP DIMM ทั้งหมดก่อนที่จะบูตระบบปฏิบัติการ
  ส่วนต่อไปนี้จะอธิบายวิธีการใช้ข้อความรหัสผ่านหน่วยความจำถาวร
  ตัวเลือกการตั้งค่าอนุญาตให้ผู้ใช้สามารถตั้งค่า เปลี่ยนแปลง หรือลบข้อความรหัสผ่าน AEP ผู้ใช้ป้อนสตริงรหัสผ่าน AEP (สูงสุด 32 อักขระ) โปรดทราบว่า Persistent Memory DIMM ทั้งหมดที่มีและไม่มีขอบเขตหน่วยความจำถาวรจะได้รับผลกระทบ หากมีการแก้ไขข้อความรหัสผ่าน การป้อนข้อความรหัสผ่านที่ว่างเปล่าจะลบข้อความรหัสผ่านและปิดใช้งานการรักษาความปลอดภัยใน AEP DIMM
  ข้อกำหนดเบื้องต้น
  ช่องตัวเลือกการตั้งค่า “Persistent Memory Passphrase” จะใช้งานได้ก็ต่อเมื่อมี AEP DIMM อย่างน้อยหนึ่งรายการใน ACPI NFIT

ขั้นตอน

1. หากต้องการเข้าสู่การตั้งค่าระบบ ให้กด F2 ทันทีหลังจากเปิดเครื่องหรือรีสตาร์ทเซิร์ฟเวอร์
2. บนหน้าจอเมนูหลักของการตั้งค่าระบบ คลิก System BIOS > Memory Settings > Persistent Memory > Intel Persistent Memory
3. ในตัวเลือก Persistent Memory Passphrase ให้ตั้งค่า เปลี่ยนแปลง หรือลบข้อความรหัสผ่าน AEP ข้อความรหัสผ่านสามารถมีอักขระได้สูงสุด 32 ตัว ข้อความรหัสผ่านอาจเป็นการผสมผสานระหว่างตัวอักษร ตัวเลข และสัญลักษณ์
4. บันทึกการตั้งค่าและออกจากการตั้งค่า รีสตาร์ทเซิร์ฟเวอร์เพื่อให้การเปลี่ยนแปลงมีผล
   หาก AEP DIMM ที่มีการรักษาความปลอดภัยล้มเหลวในการปลดล็อค BIOS จะแสดงข้อความแสดงข้อผิดพลาด บันทึกลงในข้อมูลบันทึก และหยุดการทำงานชั่วคราวที่พร้อมท์ F1 หรือ F2 ข้อความต่อไปนี้และการดำเนินการตอบกลับที่แนะนำจะปรากฏขึ้น:
   ข้อความ
   ข้อมูลใน Persistent Memory DIMM อยู่ในสล็อตหน่วยความจำ ไม่สามารถเข้าถึงได้เนื่องจาก DIMM ถูกล็อค และข้อความรหัสผ่านไม่ถูกต้อง
   การดำเนินการตอบสนองที่แนะนำ
   อัปเดต Persistent Memory Passphrase ให้เป็นข้อความรหัสผ่านที่ถูกต้อง หรือดำเนินการ Secure Erase บน Dual In-line Memory Module (DIMM) การลบอย่างปลอดภัยจะลบข้อมูลถาวรทั้งหมด

2.8 การเข้าถึงตัวแปร UEFI
ตัวแปร UEFI คือที่เก็บการกำหนดค่าระบบต่างๆ ตัวแปรบางตัวมีความสำคัญและสำคัญต่อความปลอดภัยของระบบ การจำกัดการเข้าถึง (ป้องกันการเขียน) เป็นคุณสมบัติ PowerEdge ที่ปกป้องตัวแปร UEFI เหล่านั้นจากการเปลี่ยนแปลงที่เป็นอันตราย
รายการการตั้งค่า BIOS “การเข้าถึงตัวแปร UEFI” ควบคุมการเข้าถึงตัวแปร UEFI ที่จำเป็น:

• “มาตรฐาน” คือการตั้งค่าเริ่มต้น การเข้าถึงตัวแปร UEFI ทั้งหมดเป็นไปตามข้อกำหนด UEFI อย่างเป็นทางการ
• “ควบคุม” ช่วยให้สามารถป้องกันการเขียนได้ ตัวแปร UEFI ที่แสดงด้านล่างไม่สามารถแก้ไขได้ในระบบปฏิบัติการ
  หมายเหตุ—ตัวแปร EFI ต่อไปนี้จะได้รับการป้องกันการเขียนเมื่อแอตทริบิวต์ BIOS UefiVariableAccess ถูกตั้งค่าเป็นโหมดควบคุม
  ตารางที่ 6 ป้องกันตัวแปร UEFI

ชื่อตัวแปร EFI	GUID ตัวแปร EFI
L”BootNext”	EFI_GLOBAL_VARIABLE
L”คำสั่งไดรเวอร์”	EFI_GLOBAL_VARIABLE
แอล”คอนอิน”	EFI_GLOBAL_VARIABLE
แอล”คอนเอาท์”	EFI_GLOBAL_VARIABLE
L” BootState”	EFI_GLOBAL_VARIABLE
L”ReserveMemFlag”	EFI_GLOBAL_VARIABLE
L” UefiOptimizedBoot”	{0x356471b1, 0xb483, 0x42ae, 0xb6, 0xe7, 0x3b, 0x2e, 0xba, 0xb1, 0x4e, 0x15}

หมายเหตุ—การตั้งค่าการเข้าถึงตัวแปร UEFI เป็น “ควบคุม” อาจทำให้ Linux DUP เสียหาย หาก Linux DUP พยายามเขียนไปยังตัวแปร เช่น “BootNext” DUP จะไม่ทำงาน นี่เป็นพฤติกรรมที่คาดหวังเนื่องจากคุณเลือกใช้การป้องกันเพิ่มเติม คุณยังคงสามารถอัปโหลด Linux DUP ไปยัง iDRAC เพื่ออัปเดตเฟิร์มแวร์ได้
2.9 เปิดใช้งานการควบคุมการเข้าถึงตัวแปร UEFI

1. กด F2 ระหว่าง POST หลังจากเปิดเครื่องหรือรีสตาร์ทเซิร์ฟเวอร์
2. ในหน้าจอเมนูหลักของการตั้งค่าระบบ คลิก System BIOS → System Security
3. เปิดใช้งานการเข้าถึงตัวแปร UEFI โดยตั้งค่าเป็นควบคุม
4. บันทึกการตั้งค่าและปิดหน้าการตั้งค่า BIOS ตรวจสอบให้แน่ใจว่าคุณรีสตาร์ทเซิร์ฟเวอร์เพื่อให้การเปลี่ยนแปลงมีผล

2.10 Intel Total Memory Encryption และ Multi-Tenant
การเข้ารหัสหน่วยความจำ Intel Total (TME) ช่วยให้สามารถเข้ารหัสเพจหน่วยความจำทั่วทั้งระบบได้ เมื่อใช้กับคีย์เดียว ไม่จำเป็นต้องแก้ไขโค้ดซอฟต์แวร์ ใช้อัลกอริทึม AES-XTS มาตรฐาน NIST พร้อมด้วยคีย์ 128 บิต หรือคีย์ 256 บิต ขึ้นอยู่กับความพร้อมใช้งานและการเลือกอัลกอริทึม กุญแจสำคัญสำหรับการเข้ารหัสหน่วยความจำกายภาพหน่วยความจำทั้งหมดของระบบมาจากตัวสร้างตัวเลขสุ่มของฮาร์ดแวร์ใน Intel SoC นอกจากนี้ยังมั่นใจได้ว่าคีย์ไม่สามารถเข้าถึงได้โดยซอฟต์แวร์หรือใช้อินเทอร์เฟซภายนอกกับ Intel SoC TME-MT ใช้สถาปัตยกรรมฮาร์ดแวร์เดียวกันกับ TME ข้อแตกต่างคืออนุญาตให้ใช้หลายคีย์ได้
ข้อกำหนดเบื้องต้น
แพลตฟอร์มต้องเป็นไปตามข้อกำหนดบางประการก่อนจึงจะสามารถเปิดใช้งานการเข้ารหัสหน่วยความจำทั้งหมดได้:

• โปรเซสเซอร์จะต้องมีความสามารถในการเข้ารหัสหน่วยความจำทั้งหมด

ขั้นตอนในการเปิดใช้งานการเข้ารหัสหน่วยความจำ

1. หากต้องการเข้าสู่การตั้งค่าระบบ ให้กด F2 ทันทีหลังจากเปิดเครื่องหรือรีสตาร์ทเซิร์ฟเวอร์
2. บนหน้าจอเมนูหลักของการตั้งค่าระบบ ให้คลิก System BIOS > System Security
3. เปิดใช้งาน "การเข้ารหัสหน่วยความจำ" โดยตั้งค่าเป็น "คีย์เดียว" หรือ "หลายคีย์"
4. บันทึกการตั้งค่าและออกจากการตั้งค่า รีสตาร์ทเซิร์ฟเวอร์เพื่อให้การเปลี่ยนแปลงมีผล
   ตารางที่ 7 ตัวเลือกการตั้งค่าการเข้ารหัสหน่วยความจำ

ตัวเลือก	คำอธิบาย
การเข้ารหัสหน่วยความจำ Intel®	เปิดหรือปิดใช้งาน Intel Total Memory Encryption (TME และ TME-MT) เมื่อตั้งค่าตัวเลือกเป็น Disabled BIOS จะปิดใช้งานทั้งเทคโนโลยี TME และ TME-MT เมื่อตั้งค่าตัวเลือกเป็นปุ่มเดียว BIOS จะเปิดใช้งานเทคโนโลยี TME เมื่อตั้งค่าเป็นหลายคีย์ BIOS จะเปิดใช้งานเทคโนโลยี TME-MT ตัวเลือกนี้ถูกตั้งค่าเป็นปิดใช้งานตามค่าเริ่มต้น

2.10.1 ส่วนขยาย Intel Software Guard
เซิร์ฟเวอร์ Dell PowerEdge รองรับคำสั่ง CPU Inte® Software Guard Extensions (Intel® SGX) และการปรับปรุงแพลตฟอร์ม ช่วยให้ซอฟต์แวร์สามารถปกป้องข้อมูลที่ละเอียดอ่อนโดยการสร้างเครือข่ายที่ปลอดภัย
ด้วยฐานการประมวลผลที่เชื่อถือได้ที่เล็กลงอย่างมาก ข้อมูลที่ละเอียดอ่อนของซอฟต์แวร์ได้รับการปกป้องจากการโจมตีด้วยฮาร์ดแวร์หรือซอฟต์แวร์ แม้ว่า OS ring0 และ BIOS/SMM จะถูกบุกรุกก็ตาม นอกจากนี้ยังช่วยป้องกันการสอดแนมหน่วยความจำด้วยการรักษาขอบเขตที่ปลอดภัยให้กับขอบเขตแพ็คเกจ CPU กล่าวอีกนัยหนึ่ง รหัสและข้อมูลจะถูกเข้ารหัสภายนอกแพ็คเกจ CPU ดังนั้นหน่วยความจำภายนอกที่อ่านจะเห็นเฉพาะรหัสและข้อมูลที่เข้ารหัสเท่านั้น ในระหว่างขั้นตอนการบูต Initial Platform Setting BIOS จะตรวจสอบคีย์ blobs สำหรับแต่ละแพ็คเกจ CPU
ตรวจสอบว่าพวกเขาทั้งหมดสอดคล้องกันและแพลตฟอร์ม ไมโครโค้ดเห็นว่าไม่มีคีย์ blobs ให้มา และสร้างคีย์แพลตฟอร์มใหม่ คีย์แพลตฟอร์มใหม่จะถูกสร้างขึ้นแบบสุ่มสำหรับอินสแตนซ์แพลตฟอร์มนี้ แต่ละแพ็คเกจ CPU จะใช้คีย์ HW เพื่อเข้ารหัสคีย์แพลตฟอร์มที่ใช้ร่วมกันและสร้างคีย์หยด
BIOS จะจัดเก็บคีย์ blobs ไว้ในแฟลชสำหรับการบู๊ตในอนาคต ไมโครโค้ดยังสร้างรายการแพลตฟอร์มใหม่สำหรับอินสแตนซ์แพลตฟอร์มใหม่ BIOS จัดเตรียมรายการแพลตฟอร์มใหม่ให้กับซอฟต์แวร์ผ่านทางตัวแปร SGXRegistrationServerRequest UEFI และระบุว่าจำเป็นต้องมีขั้นตอนการลงทะเบียนโดยใช้ตัวแปร SGXRegistrationStatus UEFI บริการหน่วยงานการลงทะเบียนจะต้องประเมินรายการแพลตฟอร์มใหม่ก่อนจึงจะสามารถสร้างใบรับรอง PCK สำหรับแพลตฟอร์มใหม่ได้
ข้อกำหนดเบื้องต้น
แพลตฟอร์มต้องเป็นไปตามข้อกำหนดบางประการก่อนจึงจะสามารถเปิดใช้งาน SGX ได้:

• โปรเซสเซอร์จะต้องมีความสามารถ SGX
• ประชากรหน่วยความจำต้องเข้ากันได้ การกำหนดค่าขั้นต่ำคือ 8 DIMM ที่เหมือนกันต่อซ็อกเก็ต CPU (DIMM1 ถึง DIMM8) ดูตารางต่อไปนี้
• ต้องตั้งค่าโหมดการทำงานของหน่วยความจำเป็นโหมดเพิ่มประสิทธิภาพ
• ต้องเปิดใช้งานการเข้ารหัสหน่วยความจำ
• ต้องปิดใช้งานการแทรกแซงโหนด

บันทึก: แผนภาพนี้ใช้สำหรับแพลตฟอร์มที่มี DIMM สองตัวต่อช่องสัญญาณ บางแพลตฟอร์มอาจมี DIMM เพียงตัวเดียวต่อแชนเนล ในกรณีนั้น การกำหนดค่าที่รองรับ SGX จะถูกเติมข้อมูลโดยสมบูรณ์
ขั้นตอนในการเปิดใช้งาน SGX

1. หากต้องการเข้าสู่การตั้งค่าระบบ ให้กด F2 ทันทีหลังจากเปิดเครื่องหรือรีสตาร์ทเซิร์ฟเวอร์
2. บนหน้าจอเมนูหลักของการตั้งค่าระบบ ให้คลิก System BIOS > System Security
3. เปิดใช้งาน “Intel SGX” โดยตั้งค่าเป็น “เปิด”
4. ตั้งค่า “ขนาด PMRRR” เป็นขนาดที่ต้องการ หลังจากการบูตครั้งถัดไป BIOS จะพยายามจัดสรร PRMRR หนึ่งรายการด้วย "ขนาด PMRRR" ที่เลือกต่อโดเมน NUMA/Sub NUMA
5. บันทึกการตั้งค่าและออกจากการตั้งค่า รีสตาร์ทเซิร์ฟเวอร์เพื่อให้การเปลี่ยนแปลงมีผล

ตารางที่ 8 ตัวเลือกการตั้งค่า SGX

ตัวเลือก	คำอธิบาย
Intel® SGX	ช่วยให้คุณสามารถตั้งค่าตัวเลือก Intel Software Guard Extension (SGX) ตัวเลือกนี้ถูกตั้งค่าเป็น ปิด โดยค่าเริ่มต้น. เมื่อตัวเลือกนี้คือ ปิด, BIOS ปิดการใช้งานเทคโนโลยี SGX เมื่อตัวเลือกนี้คือ On, BIOS เปิดใช้งานเทคโนโลยี SGX
ข้อมูลแพ็คเกจ SGX การเข้าถึงแบบ In-Band	ช่วยให้คุณสามารถเข้าถึง ข้อมูลแพ็คเกจ Intel Software Guard Extension (SGX) ในกลุ่ม ตัวเลือก. ตัวเลือกนี้ถูกตั้งค่าเป็น ปิด โดยค่าเริ่มต้น   แต่ละแพ็คเกจ CPU บนแพลตฟอร์มจะมีคีย์หยดเมื่อเปิดใช้งาน SGX บนแพลตฟอร์มแบบหลายแพ็คเกจ   BIOS มีกลไกในการดึงข้อมูลคีย์ blobs เจ้าของแพลตฟอร์มอาจต้องการเก็บสำเนาของคีย์ blobs ในกรณีที่จำเป็นต้องกู้คืนหลังจากที่ถูกลบออกจากที่จัดเก็บถาวรของ BIOS (เช่น FLASH ถูกลบหรือ SGX ถูกรีเซ็ต) ที่ SgrRegistrationPackageInfo ตัวแปร UEFI จัดเตรียมคีย์ blobs   ตามค่าเริ่มต้น BIOS จะไม่แสดงคีย์ blobs ไปยังซอฟต์แวร์ เจ้าของแพลตฟอร์มจำเป็นต้อง 'เลือก' โดยเปิดใช้งานตัวเลือกนี้ก่อน BIOS ให้หยดที่สำคัญ
ขนาด PPMRR	ตั้งค่า ขนาด PPMRR.   PRMRR ย่อมาจาก Register Reserved Memory Region Registers โดยจะกำหนดขนาดแคชเพจ Enclave สำหรับการดำเนินการแอปพลิเคชัน SGX BIOS ระบบจะพยายามจัดสรร PRMRR การจัดสรรจะขึ้นอยู่กับแผนผังหน่วยความจำปัจจุบัน จำนวนหน่วยความจำ DIMM และการจัดสรร PRMRR กฎ. ในการกำหนดค่าบางอย่าง BIOS อาจไม่สามารถจัดสรร PRMRR หรือ PRMRR อาจน้อยกว่าที่คาดไว้
SGX QoS	เปิดหรือปิดใช้งานคุณภาพบริการ SGX   เมื่อไร Intel® SGX QoS เปิดใช้งานแล้ว โปรเซสเซอร์จะสงวนแคช LLC สำหรับ EPC เพื่อเพิ่มประสิทธิภาพเครือข่ายที่ปลอดภัยโดยแลกกับภาระงานอื่นๆ ผลงาน.
เลือกประเภทอินพุต Owner EPOCH	ช่วยให้คุณสามารถเลือกเปลี่ยนเป็น EPOCH เจ้าของแบบสุ่มใหม่ หรือ EPOCH เจ้าของที่กำหนดโดยผู้ใช้ด้วยตนเอง แต่ละ EPOCH เป็นแบบ 64 บิต หลังจากสร้าง EPOCH ใหม่โดยการเลือก Change to New Random Owner EPOCHs การเลือกจะเปลี่ยนกลับไปเป็น EPOCHs ของเจ้าของที่กำหนดโดยผู้ใช้ด้วยตนเอง
	Software Guard Extensions ยุค n: ตั้งค่า Software Guard Extensions Epoch
เปิดใช้งานการเขียนไปยัง SGXLEPUBKEYHASH[3:0] จากระบบปฏิบัติการ/SW	เปิดใช้งานหรือปิดใช้งาน เปิดใช้งานการเขียนไปยัง SGXLEPUBKEYHASH[3:0] จาก OS/SW
	คีย์สาธารณะ SGX LE Hash0: ตั้งค่าไบต์จาก 0-7 สำหรับ SGX Launch Enclave Public Key Hash
	คีย์สาธารณะ SGX LE Hash1: ตั้งค่าไบต์จาก 8-15 สำหรับ SGX Launch Enclave Public Key Hash
	คีย์สาธารณะ SGX LE Hash2: ตั้งค่าไบต์จาก 16-23 สำหรับ SGX Launch Enclave Public Key Hash
	คีย์สาธารณะ SGX LE Hash3: ตั้งค่าไบต์จาก 24-31 สำหรับ SGX Launch Enclave Public Key Hash
เปิด/ปิดใช้งานตัวแทนการลงทะเบียน MP อัตโนมัติ SGX	เปิดหรือปิดการใช้งาน การลงทะเบียน MP อัตโนมัติ SGX. ตัวแทนลงทะเบียน MP (MPA) มีหน้าที่รับผิดชอบในการลงทะเบียนแพลตฟอร์ม ตัวเลือกนี้อนุญาตให้ผู้ใช้สามารถเปิด/ปิดการใช้งาน MPA ไม่ให้ทำงานโดยอัตโนมัติเมื่อบูตระบบปฏิบัติการ โดย ตามค่าเริ่มต้น MPA จะไม่ทำงานโดยอัตโนมัติขณะบู๊ต
รีเซ็ต SGX จากโรงงาน	เมื่อเปิดใช้งาน ให้ตั้งค่าตัวเลือกการตั้งค่า SGX (ยกเว้น อินเทล เอสจีเอ็กซ์ ตัวเลือก) กลับไปสู่ค่าเริ่มต้น Blob ที่สำคัญทั้งหมดสำหรับแพลตฟอร์มนั้นจะถูกลบและระบบจะถูกลบ
	ถูกบังคับให้รันโฟลว์การสร้างแพลตฟอร์มเริ่มต้นใหม่ ตัวเลือกนี้จะถูกรีเซ็ตกลับเป็นปิดหลังจากการรีเซ็ตเป็นค่าจากโรงงานเสร็จสิ้นหลังจากรีบูต ตัวเลือกนี้ตั้งค่าเป็นปิดตามค่าเริ่มต้น

2.11 โหมดการจัดการระบบ (SMM) การบรรเทาความปลอดภัย SMM
การดำเนินการ SMM มีความโปร่งใสต่อระบบปฏิบัติการ ในช่วงหลายปีที่ผ่านมา SMM ได้กลายเป็นพื้นที่การโจมตีที่สำคัญ จึงมีการนำการบรรเทาความปลอดภัย SMM จำนวนมากมาใช้เพื่อป้องกันจากภัยคุกคาม การบรรเทาผลกระทบด้านความปลอดภัย SMM ช่วยให้เฟิร์มแวร์สามารถระบุได้ว่ามีการบรรเทาปัญหาใดบ้าง เฟิร์มแวร์รายงานแฟล็กเหล่านี้ไปยังระบบปฏิบัติการโดยใช้ Windows SMM Security Mitigation Table (WSMT) ที่กำหนดไว้ในข้อกำหนด ACPI หากต้องการเปิดใช้งานหรือปิดใช้งาน SMM ให้ทำดังต่อไปนี้:

1. กด F2 ในระหว่าง POST หลังจากเปิดเครื่องหรือรีบูตระบบของคุณ และเข้าสู่การตั้งค่าระบบ
2. บนหน้าจอเมนูหลักของการตั้งค่าระบบ ให้คลิก System BIOS > System Security
3. เปิดใช้งานหรือปิดใช้งานการลดความปลอดภัย SMM ด้วยตัวเลือกการตั้งค่าการลดความปลอดภัย SMM

2.12 บูต HTTPS
การบูต HTTPS เป็นคุณลักษณะของ Dell PowerEdge ที่โหลดอิมเมจสำหรับบูตผ่านเครือข่ายผ่าน HTTPS ลูกค้าควรจัดเตรียมเซิร์ฟเวอร์ HTTPS ที่ให้อิมเมจสำหรับบูต หากต้องการตั้งค่าการเชื่อมต่อ HTTPS ที่เชื่อถือได้ ใบรับรองของเซิร์ฟเวอร์ HTTPS จะต้องนำเข้าไปยัง BIOS ในระหว่างกระบวนการบู๊ต BIOS จะตรวจสอบใบรับรองกับเซิร์ฟเวอร์ HTTPS เป้าหมาย BIOS จะโหลดอิมเมจสำหรับบูตที่ระบุเฉพาะเมื่อผ่านการตรวจสอบใบรับรองแล้ว
ข้อกำหนดเบื้องต้น
จำเป็นต้องมีเซิร์ฟเวอร์ DHCP, เซิร์ฟเวอร์ DNS และเซิร์ฟเวอร์ HTTPS บริการทั้งหมดสามารถทำงานบนระบบเดียวกันได้ ขึ้นอยู่กับสถาปัตยกรรมเครือข่ายของคุณ ในที่นี้เราจะไม่ลงรายละเอียดเกี่ยวกับการตั้งค่าและการกำหนดค่าเซิร์ฟเวอร์เหล่านี้ สิ่งสำคัญที่นี่คือการได้รับใบรับรองหลักจากเซิร์ฟเวอร์ HTTPS เพื่อให้สามารถนำเข้าไปยัง BIOS ของเซิร์ฟเวอร์ PowerEdge ได้ในภายหลัง

1. กด F2 ระหว่าง POST หลังจากเปิดเครื่องหรือรีสตาร์ทเซิร์ฟเวอร์
2. บนหน้าจอเมนูหลักของการตั้งค่าระบบ คลิก System BIOS
3. ใน System BIOS คลิกการตั้งค่าเครือข่าย
4. ในการตั้งค่าเครือข่าย ให้เปิดใช้งานอุปกรณ์ HTTP 1/2/3/4 ที่ต้องการ และป้อนการตั้งค่าอุปกรณ์ HTTP
5. ในการตั้งค่า HTTP Device1/2/3/4 ให้ตั้งค่าการบูต HTTP ตามสภาพแวดล้อมเครือข่าย โปรดทราบว่าสำหรับการบูต HTTPS ไฟล์ URL ต้องขึ้นต้นด้วย “https://” สิ่งนี้ก็เป็นจริงเช่นกันเมื่อได้รับ URI ผ่านเซิร์ฟเวอร์ DHCP
6. คลิกการกำหนดค่าการรับรองความถูกต้อง TLS
7. ในการออกแบบปัจจุบัน โหมด TLS ต้องเป็น "ทางเดียว" สำหรับ HTTPS
8. หากต้องการจัดการใบรับรอง ให้คลิกการกำหนดค่าใบรับรองหลัก
9. บนหน้าใบรับรองหลัก คลิกนำเข้าใบรับรองหลัก
10.  เลือก file ระบบที่มีใบรับรองรูทของเซิร์ฟเวอร์ ปัจจุบัน Dell รองรับใบรับรองที่จัดเก็บในรูปแบบ DER หรือ PEM ที่ไม่ได้เข้ารหัสเท่านั้น
11. เลือกใบรับรอง file ที่จะโหลด สำหรับเช่นampจากนั้นคลิก Example.crt
12. คลิกนำเข้า ข้อความจะปรากฏขึ้นเพื่อระบุว่านำเข้าใบรับรองหลักสำเร็จแล้ว
13. คลิกตกลง หน้าใบรับรองหลักจะปรากฏขึ้น

ตรวจพบปัญหาในการกำหนดค่าเซิร์ฟเวอร์และสถานะความสมบูรณ์

จำเป็นอย่างยิ่งที่จะต้องสามารถตรวจจับความผิดปกติใดๆ ในการกำหนดค่า สถานะความสมบูรณ์ และเหตุการณ์การเปลี่ยนแปลงบนระบบเซิร์ฟเวอร์ได้ สิ่งสำคัญคือต้องตรวจจับการเปลี่ยนแปลงที่เป็นอันตรายใน BIOS เฟิร์มแวร์ และ ROM ตัวเลือกภายในกระบวนการบูตและรันไทม์ของระบบปฏิบัติการ การโพลเชิงรุกจะต้องควบคู่ไปกับความสามารถในการส่งการแจ้งเตือนสำหรับเหตุการณ์ทั้งหมดภายในระบบ บันทึกจะต้องให้ข้อมูลที่ครบถ้วนเกี่ยวกับการเข้าถึงและการเปลี่ยนแปลงเซิร์ฟเวอร์ สิ่งสำคัญที่สุดคือ เซิร์ฟเวอร์จะต้องขยายความสามารถเหล่านี้ไปยังส่วนประกอบทั้งหมด
3.1 การตรวจสอบที่ครอบคลุมโดยใช้ iDRAC
แทนที่จะพึ่งพาเอเจนต์ระบบปฏิบัติการในการสื่อสารกับทรัพยากรที่ได้รับการจัดการในเซิร์ฟเวอร์ iDRAC จะฟ้องร้องเส้นทางแถบด้านข้างโดยตรงไปยังแต่ละอุปกรณ์ Dell ได้ใช้ประโยชน์จากโปรโตคอลมาตรฐานอุตสาหกรรม เช่น MCTP, NC-SI และ NVMe-MI เพื่อสื่อสารกับอุปกรณ์ต่อพ่วง เช่น ตัวควบคุม PERC RAID, Ethernet NIC, Fibre Channel HBA, SAS HBA และไดรฟ์ NVMe สถาปัตยกรรมนี้เป็นผลมาจากความร่วมมือที่ยาวนานหลายปีกับผู้จำหน่ายชั้นนำในอุตสาหกรรมเพื่อมอบการจัดการอุปกรณ์โดยไม่ต้องใช้เอเจนต์ในเซิร์ฟเวอร์ PowerEdge ของเรา การดำเนินการกำหนดค่าและการอัพเดตเฟิร์มแวร์ยังใช้ประโยชน์จากคุณสมบัติ UEFI และ HII อันทรงพลังที่ Dell และพันธมิตรของเราให้การสนับสนุน
ด้วยความสามารถนี้ iDRAC สามารถตรวจสอบระบบสำหรับเหตุการณ์การกำหนดค่า เหตุการณ์การบุกรุก (เช่น การตรวจจับการบุกรุกของแชสซีที่กล่าวถึงก่อนหน้าใน SCG นี้) และการเปลี่ยนแปลงสถานภาพ เหตุการณ์การกำหนดค่าจะเชื่อมโยงโดยตรงกับข้อมูลประจำตัวของผู้ใช้ที่เริ่มต้นการเปลี่ยนแปลง ไม่ว่าจะมาจากผู้ใช้ GUI, ผู้ใช้ API หรือผู้ใช้คอนโซล
3.1.1 บันทึกวงจรชีวิต
บันทึกวงจรการใช้งานคือชุดของเหตุการณ์ที่เกิดขึ้นในเซิร์ฟเวอร์ในช่วงเวลาหนึ่ง บันทึกวงจรการใช้งานให้คำอธิบายเหตุการณ์พร้อมเวลาampความรุนแรง รหัสผู้ใช้หรือแหล่งที่มา การดำเนินการที่แนะนำ และข้อมูลทางเทคนิคอื่นๆ ที่อาจมีประโยชน์มากสำหรับวัตถุประสงค์ในการติดตามหรือแจ้งเตือน
การเปลี่ยนแปลงการกำหนดค่า BIOS เป็นหนึ่งในข้อมูลประเภทต่างๆ ที่บันทึกไว้ใน Lifecycle Log (LCL):

• การเปลี่ยนแปลงการกำหนดค่าบนส่วนประกอบฮาร์ดแวร์ของระบบ
• การเปลี่ยนแปลงการกำหนดค่า iDRAC, BIOS, NIC และ RAID
• บันทึกการทำงานระยะไกลทั้งหมด
• ประวัติการอัปเดตเฟิร์มแวร์ตามอุปกรณ์ เวอร์ชัน และวันที่
• ข้อมูลเกี่ยวกับชิ้นส่วนที่ถูกเปลี่ยน
• ข้อมูลเกี่ยวกับชิ้นส่วนที่เสียหาย
• รหัสข้อความเหตุการณ์และข้อผิดพลาด
• จัดกิจกรรมที่เกี่ยวข้องกับอำนาจ
• โพสต์ข้อผิดพลาด
• เหตุการณ์การเข้าสู่ระบบของผู้ใช้
• เหตุการณ์การเปลี่ยนแปลงสถานะเซ็นเซอร์

กู้คืนเซิร์ฟเวอร์ไปยังสถานะที่รู้จัก

โซลูชันเซิร์ฟเวอร์ต้องสนับสนุนการกู้คืนไปสู่สถานะที่ทราบและสม่ำเสมอเพื่อตอบสนองต่อเหตุการณ์ต่างๆ:

• ช่องโหว่ที่เพิ่งค้นพบ
• การโจมตีและข้อมูลที่เป็นอันตรายampการเอิร์น
• เฟิร์มแวร์เสียหายเนื่องจากหน่วยความจำล้มเหลวหรือขั้นตอนการอัพเดตที่ไม่เหมาะสม
• การเปลี่ยนส่วนประกอบเซิร์ฟเวอร์
• การเลิกใช้หรือการเปลี่ยนวัตถุประสงค์ของเซิร์ฟเวอร์
  ส่วนต่อไปนี้จะอธิบายวิธีที่เราตอบสนองต่อช่องโหว่และปัญหาการทุจริตใหม่ๆ และวิธีที่เรากู้คืนเซิร์ฟเวอร์กลับสู่สถานะดั้งเดิมหากจำเป็น

4.1 การตอบสนองอย่างรวดเร็วต่อช่องโหว่ใหม่
ช่องโหว่และความเสี่ยงทั่วไป (CVE) คือรายการสำหรับเวกเตอร์การโจมตีที่ค้นพบซึ่งเป็นอันตรายต่อผลิตภัณฑ์ซอฟต์แวร์และฮาร์ดแวร์ การตอบสนองอย่างทันท่วงทีต่อ CVE ที่ค้นพบใหม่มีความสำคัญต่อ Dell Technologies เพื่อให้เราสามารถประเมินความเสี่ยงได้อย่างรวดเร็วและดำเนินการที่เหมาะสมเพื่อปกป้องลูกค้าของเรา
เมื่อมีการค้นพบและรายงานช่องโหว่ด้านความปลอดภัยใหม่ CVE ใหม่จะถูกออกเพื่อตอบสนอง CVE ทั่วไปอาจมาจาก:

• ส่วนประกอบโอเพ่นซอร์ส เช่น OpenSSL
• Web เบราว์เซอร์และซอฟต์แวร์การเข้าถึงอินเทอร์เน็ตอื่นๆ
• ส่วนประกอบฮาร์ดแวร์หรือเฟิร์มแวร์
• ระบบปฏิบัติการและไฮเปอร์ไวเซอร์
  Dell Technologies ทำงานเชิงรุกเพื่อตอบสนองต่อ CVE ใหม่ในเซิร์ฟเวอร์ PowerEdge ของเราอย่างรวดเร็ว และให้ข้อมูลแก่ลูกค้าอย่างทันท่วงที รวมถึงสิ่งต่อไปนี้:
• สินค้าใดบ้างที่ได้รับผลกระทบ
• สามารถดำเนินการแก้ไขขั้นตอนใดได้บ้าง
• หากจำเป็น เมื่อมีการอัปเดตเพื่อจัดการกับ CVE

4.2 กู้คืนสถานะ BIOS
คุณสมบัติการกู้คืน BIOS ของเซิร์ฟเวอร์ PowerEdge ช่วยให้สามารถกู้คืนได้อย่างรวดเร็วเมื่ออิมเมจ BIOS file ได้รับความเสียหาย พื้นที่จัดเก็บข้อมูลพิเศษถูกซ่อนจากซอฟต์แวร์รันไทม์ (BIOS, OS และเฟิร์มแวร์ของอุปกรณ์)
พื้นที่จัดเก็บข้อมูลเหล่านี้ประกอบด้วยอิมเมจที่เก่าแก่และผ่านการตรวจสอบแล้ว ซึ่งสามารถใช้เพื่อกู้คืนฟังก์ชันการทำงานของระบบได้
ในบางกรณีที่เกิดขึ้นไม่บ่อยนัก อิมเมจของ BIOS อาจเสียหาย สิ่งสำคัญคือต้องสามารถกู้คืน BIOS ให้เป็นสถานะใช้งานได้
อิมเมจ BIOS สำรองจะถูกจัดเก็บไว้ใน iDRAC เพื่อให้สามารถใช้เพื่อกู้คืนอิมเมจ BIOS ได้หากจำเป็น iDRAC จัดเตรียมกระบวนการกู้คืนตั้งแต่ต้นทางถึงปลายทางทั้งหมด

• การกู้คืน BIOS อัตโนมัติเริ่มต้นโดยการป้องกัน iDRAC Root-of-Trust
• คุณสามารถเริ่มต้นการกู้คืน BIOS ตามความต้องการได้โดยใช้ RACADM หรือเครื่องมือการจัดการอื่นๆ

4.3 ย้อนกลับเฟิร์มแวร์ BIOS ของเซิร์ฟเวอร์
ขอแนะนำให้ใช้เฟิร์มแวร์ล่าสุดเพื่อให้แน่ใจว่าระบบทำงานด้วยการแก้ไขความปลอดภัยที่ทันสมัย อย่างไรก็ตาม มีบางกรณีที่จำเป็นต้องย้อนกลับไปเป็นเวอร์ชันก่อนหน้า โดยทั่วไป คุณสามารถย้อนกลับเวอร์ชันเฟิร์มแวร์ BIOS จากเฉพาะเวอร์ชันที่ใช้งานจริง “N” ไปเป็นเวอร์ชันก่อนหน้า “N-1” ได้ คุณสามารถย้อนกลับเฟิร์มแวร์ไปเป็นเวอร์ชันที่ติดตั้งไว้ก่อนหน้านี้ (“N-1”) โดยใช้วิธีใดวิธีหนึ่งต่อไปนี้:

• ไอแดร็ก web อินเทอร์เฟซ
• ตัวควบคุมการจัดการแชสซี (CMC) web อินเทอร์เฟซ
• อินเทอร์เฟซบรรทัดคำสั่ง RACADM (CLI)—iDRAC และ CMC
• ส่วนติดต่อผู้ใช้ตัวควบคุมวงจรการใช้งาน (UI)
• Lifecycle Controller-บริการระยะไกล
  คุณสามารถย้อนกลับเฟิร์มแวร์ได้แม้ว่าการอัพเกรดจะดำเนินการก่อนหน้านี้โดยใช้อินเทอร์เฟซอื่นก็ตาม สำหรับเช่นampหากอัปเกรดเฟิร์มแวร์โดยใช้ Lifecycle Controller UI คุณสามารถย้อนกลับเฟิร์มแวร์ได้โดยใช้ iDRAC web อินเตอร์เฟซ. คุณสามารถทำการย้อนกลับเฟิร์มแวร์สำหรับอุปกรณ์หลายเครื่องได้ด้วยการรีบูตระบบเพียงครั้งเดียว

4.4 กู้คืนการกำหนดค่าเซิร์ฟเวอร์หลังการให้บริการฮาร์ดแวร์
การแก้ไขกิจกรรมการบริการเป็นส่วนสำคัญของการดำเนินงานด้านไอที ความสามารถในการบรรลุวัตถุประสงค์ของเวลาการกู้คืนและวัตถุประสงค์ของจุดการกู้คืนมีผลกระทบโดยตรงต่อความปลอดภัยของโซลูชัน การกู้คืนการกำหนดค่าเซิร์ฟเวอร์และเฟิร์มแวร์ช่วยให้มั่นใจได้ว่านโยบายความปลอดภัยสำหรับการทำงานของเซิร์ฟเวอร์จะเป็นไปตามอัตโนมัติ
เซิร์ฟเวอร์ PowerEdge มีฟังก์ชันการทำงานที่กู้คืนการกำหนดค่าเซิร์ฟเวอร์ได้อย่างรวดเร็วในสถานการณ์ต่อไปนี้:

• การเปลี่ยนชิ้นส่วนส่วนบุคคล
• เปลี่ยนเมนบอร์ด (ตัวเต็มเซิร์ฟเวอร์โปร)file สำรองและเรียกคืน)
• การเปลี่ยนเมนบอร์ด (Easy Restore)

4.4.1 คืนค่าอย่างง่าย (สำหรับการเปลี่ยนเมนบอร์ด)
การเปลี่ยนเมนบอร์ดอาจใช้เวลานานและส่งผลต่อประสิทธิภาพการทำงาน iDRAC นำเสนอความสามารถในการสำรองและกู้คืนการกำหนดค่าและเฟิร์มแวร์ของเซิร์ฟเวอร์ PowerEdge เพื่อลดความพยายามที่จำเป็นในการเปลี่ยนมาเธอร์บอร์ดที่ล้มเหลว คุณสามารถสำรองและกู้คืนได้ มีสองวิธีที่เซิร์ฟเวอร์ PowerEdge สามารถสำรองและกู้คืนได้:

• เซิร์ฟเวอร์ PowerEdge สำรองข้อมูลการตั้งค่าการกำหนดค่าระบบ (BIOS, iDRAC หรือ NIC) การบริการโดยอัตโนมัติ Tag, แอปวินิจฉัย UEFI และข้อมูลลิขสิทธิ์อื่นๆ ไปยังหน่วยความจำแฟลช หลังจากที่คุณเปลี่ยนเมนบอร์ดบนเซิร์ฟเวอร์ของคุณ คุณสมบัติ Easy Restore จะแจ้งให้คุณกู้คืนข้อมูลนี้โดยอัตโนมัติ
• สำหรับการสำรองข้อมูลที่ครอบคลุม คุณสามารถสำรองข้อมูลการกำหนดค่าเซิร์ฟเวอร์ รวมถึงอิมเมจเฟิร์มแวร์ที่ติดตั้งไว้ fileบนส่วนประกอบต่างๆ เช่น BIOS, RAID, NIC, iDRAC, Lifecycle Controller และ Network Daughter Cards (NDC) และการตั้งค่าการกำหนดค่าของส่วนประกอบเหล่านั้น การดำเนินการสำรองข้อมูลยังรวมถึงข้อมูลการกำหนดค่าฮาร์ดไดรฟ์ มาเธอร์บอร์ด และชิ้นส่วนที่เปลี่ยนด้วย การดำเนินการสำรองข้อมูลจะสร้างรายการเดียว file ที่คุณสามารถบันทึกลงในการ์ด vFlash SD หรือการแชร์เครือข่าย (CIFS, NFS, HTTP หรือ HTTPS) โปรนี้file คุณสามารถกู้คืนข้อมูลสำรองได้ตลอดเวลา Dell ขอแนะนำให้คุณดำเนินการสำรองข้อมูลสำหรับผู้เชี่ยวชาญด้านระบบทุกรายfile คุณคิดว่าคุณอาจต้องการคืนค่าในบางจุด

4.5 การลบระบบ
เมื่อสิ้นสุดวงจรการใช้งานของระบบ จะต้องเลิกใช้หรือนำกลับมาใช้ใหม่ เป้าหมายของคุณสมบัติการลบระบบคือการลบข้อมูลและการตั้งค่าที่ละเอียดอ่อน เพื่อไม่ให้ข้อมูลที่เป็นความลับถูกบุกรุกโดยไม่ได้ตั้งใจ เป็นยูทิลิตี้ใน Lifecycle Controller ที่ออกแบบมาเพื่อลบบันทึก ข้อมูลการกำหนดค่า ข้อมูลการจัดเก็บข้อมูล แคช และแอปที่ฝังอยู่ อุปกรณ์ การตั้งค่าการกำหนดค่า และแอปพลิเคชันต่อไปนี้สามารถลบได้โดยใช้คุณสมบัติการลบระบบ:

• iDRAC ถูกรีเซ็ตเป็นค่าเริ่มต้น
• ข้อมูลตัวควบคุมวงจรการใช้งาน (LC)
• ไบออส
• การวินิจฉัยแบบฝังตัวและชุดไดรเวอร์ระบบปฏิบัติการ
• ไอเอสเอ็ม
• รายงานการรวบรวม SupportAssist
• นอกจากนี้ ส่วนประกอบต่อไปนี้ยังสามารถลบได้:
• ฮาร์ดแวร์แคช (ล้าง PERC NVCache)
• vFlash SD การ์ด (เตรียมใช้งานการ์ด)
• ข้อมูลในส่วนประกอบต่อไปนี้จะถูกกำจัดโดยการเข้ารหัสโดย System Erase ตามที่อธิบายไว้ด้านล่าง:
• SED (ไดรฟ์เข้ารหัสด้วยตนเอง)
• ไดรฟ์ ISE เท่านั้น (ไดรฟ์ Instant Secure Erase)
• อุปกรณ์ NVM (Apache Pass, NVDIMM) – วางจำหน่ายภายหลังในปี 2018
• นอกจากนี้ ฮาร์ดไดรฟ์ SATA ที่ไม่ใช่ ISE ยังสามารถลบได้โดยใช้คุณสมบัติการเขียนทับข้อมูล

4.6 วงจรกำลังเต็ม
ด้วยการใช้คุณลักษณะ Full Power Cycle เซิร์ฟเวอร์และส่วนประกอบทั้งหมดจะรีสตาร์ท โดยจะระบายพลังงานหลักและพลังงานเสริมจากเซิร์ฟเวอร์และส่วนประกอบทั้งหมด ข้อมูลทั้งหมดในหน่วยความจำชั่วคราวก็จะถูกลบเช่นกัน วงจรจ่ายไฟเต็มทางกายภาพจำเป็นต้องถอดสายไฟ AC ออก รอประมาณ 30 วินาที จากนั้นจึงใส่สายเคเบิลกลับเข้าไป สิ่งนี้ทำให้เกิดความท้าทายเมื่อทำงานกับระบบระยะไกล คุณสมบัตินี้ช่วยให้คุณสามารถทำ Full Power Cycle ได้อย่างมีประสิทธิภาพจาก iSM, IDRAC GUI, BIOS หรือสคริปต์ วงจรกำลังเต็มจะมีผลในรอบกำลังถัดไป คุณสมบัติ Full Power Cycle ขจัดความจำเป็นสำหรับทุกคนที่ต้องปรากฏตัวในศูนย์ข้อมูล ซึ่งช่วยลดเวลาในการแก้ไขปัญหา มันสามารถกำจัดได้ เช่นampมัลแวร์ใดๆ ที่ยังคงมีอยู่ในหน่วยความจำ

สรุป

การรักษาความปลอดภัยของศูนย์ข้อมูลมีความสำคัญอย่างยิ่งต่อความสำเร็จทางธุรกิจ และความปลอดภัยของโครงสร้างพื้นฐานเซิร์ฟเวอร์ที่สำคัญเป็นสิ่งสำคัญ การโจมตีทางไซเบอร์มีโอกาสที่จะขยายระบบและการหยุดทำงานของธุรกิจ สูญเสียรายได้และลูกค้า ความเสียหายทางกฎหมาย และทำให้ชื่อเสียงขององค์กรเสื่อมเสีย เพื่อปกป้อง ตรวจจับ และกู้คืนจากการโจมตีทางไซเบอร์ที่กำหนดเป้าหมายด้วยฮาร์ดแวร์ การรักษาความปลอดภัยจำเป็นต้องรวมอยู่ในการออกแบบฮาร์ดแวร์เซิร์ฟเวอร์ ไม่ใช่เพิ่มเข้าไปหลังจากเหตุการณ์จริง
Dell เป็นผู้นำในการใช้ประโยชน์จากการรักษาความปลอดภัยบนซิลิคอนเพื่อรักษาความปลอดภัยเฟิร์มแวร์และปกป้องข้อมูลผู้ใช้ที่ละเอียดอ่อนในเซิร์ฟเวอร์ PowerEdge สำหรับสองรุ่นที่ผ่านมา เริ่มต้นจาก 15G กลุ่มผลิตภัณฑ์ PowerEdge มีสถาปัตยกรรม Cyber ​​Resilient ที่ได้รับการปรับปรุง ซึ่งใช้ iDRAC Root-of-Trust เพื่อเพิ่มความปลอดภัยให้กับเซิร์ฟเวอร์ นอกจากนี้ Dell PowerEdge BIOS ยังแนะนำคุณสมบัติการรักษาความปลอดภัยใหม่ต่อไปนี้ เพื่อให้ผู้ใช้มีระดับการรักษาความปลอดภัยที่สูงขึ้น:

• ปกป้องอิมเมจ BIOS ระดับการผลิตจากการอัพเดตอิมเมจที่ไม่ได้ลงนาม
• คุณลักษณะการลดความปลอดภัย SMM
  โดยสรุป เซิร์ฟเวอร์ 16G PowerEdge ซึ่งมีการรักษาความปลอดภัยระดับแนวหน้าของอุตสาหกรรม ก่อให้เกิดรากฐานที่เชื่อถือได้ของศูนย์ข้อมูลสมัยใหม่ที่ลูกค้าจะใช้การดำเนินงานด้านไอทีและปริมาณงานของตนได้อย่างปลอดภัย

การสนับสนุนด้านเทคนิคและทรัพยากร
dell.com/support มุ่งเน้นไปที่การตอบสนองความต้องการของคุณด้วยบริการและการสนับสนุนที่ได้รับการพิสูจน์แล้ว
ก.1 แหล่งข้อมูลที่เกี่ยวข้อง

• คู่มือการติดตั้งและบริการ Dell PowerEdge R760: https://dl.dell.com/content/manual32513608-dellpoweredge-r760-installation-and-service-manual.pdf

คู่มือการกำหนดค่าความปลอดภัย BIOS เซิร์ฟเวอร์ Dell PowerEdge (SCG) สำหรับเซิร์ฟเวอร์ PowerEdge ที่ใช้ Intel

เอกสาร / แหล่งข้อมูล

การกำหนดค่าความปลอดภัย BIOS เซิร์ฟเวอร์ DELL PowerEdge สำหรับเซิร์ฟเวอร์ PowerEdge ที่ใช้ Intel [พีดีเอฟ] คู่มือการใช้งาน R760, 16G, การกำหนดค่าความปลอดภัย BIOS เซิร์ฟเวอร์ PowerEdge สำหรับเซิร์ฟเวอร์ PowerEdge ที่ใช้ Intel, การกำหนดค่าความปลอดภัย BIOS เซิร์ฟเวอร์ PowerEdge, เซิร์ฟเวอร์ PowerEdge ที่ใช้ Intel

อ้างอิง

• คู่มือการใช้งาน