Seguridad del sistema
Use esta ventana para controlar las funciones de seguridad del sistema.
NOTA: Es posible que en la página de ayuda se incluya información sobre características y valores que su sistema no soporte. Server Administrator solo muestra las características y los valores que su sistema soporta. |
Privilegios de usuario
Selección | Ver | Administrar |
---|---|---|
Seguridad del sistema | Administrador, Administrador con permisos elevados (solo Linux) | Administrador, Administrador con permisos elevados (solo Linux) |
NOTA: Para obtener más detalles acerca de los niveles de privilegios de usuario, consulte Niveles de privilegios en la interfaz gráfica de usuario de Server Administrator. |
NOTA: Según el hardware disponible, es posible que existan dependencias entre los diversos atributos de la configuración. La configuración de un valor de atributo, por ejemplo, puede cambiar los atributos dependientes a un estado editable o no editable, según el caso. Por ejemplo, cambiar la configuración Estado de la contraseña a Bloqueado no le permite configurar la Contraseña del sistema. |
NOTA: Según el tipo de procesador del sistema, las opciones TPM y TCM están disponibles. |
AES-NI de la CPU
Indica el estado de la característica Intel Processor AES-NI. AES-NI mejora la velocidad de las aplicaciones mediante el cifrado y descifrado con el conjunto de instrucciones de Advanced Encryption Standard.Contraseña del sistema
La Contraseña del sistema es la contraseña que se ingresa para permitir al sistema arrancar con un sistema operativo. Los cambios realizados a la contraseña del sistema entrarán en vigor inmediatamente. La contraseña es de solo lectura si el puente de contraseña (PWRD_EN) no está instalado en el sistema.
NOTA: Las letras mayúsculas se permiten en los servidores PowerEdge de 13.ª generación y de generaciones posteriores. |
Contraseña de configuración
La Contraseña de configuración es la contraseña que se ingresa para cambiar cualquier ajuste del BIOS. Sin embargo, la contraseña del sistema se puede cambiar sin tener que introducir la contraseña de configuración correcta si el estado de la contraseña está configurado en Desbloqueado. Los cambios realizados a la contraseña de configuración entrarán en vigor inmediatamente. La contraseña es de solo lectura si el puente de contraseña (PWRD_EN) no está instalado en el sistema.
NOTA: Las letras mayúsculas se permiten en los servidores PowerEdge de 13.ª generación y de generaciones posteriores. |
Estado de la contraseña
Desbloqueado | Cuando la opción está Desbloqueada, la Contraseña del sistema se puede cambiar sin ingresar la Contraseña de configuración. Esto permite que un administrador mantenga una contraseña de configuración para protegerse contra cambios no autorizados en la configuración del BIOS, mientras que un usuario puede cambiar libremente la contraseña del sistema. |
Bloqueado | Cuando la opción está Bloqueada, se debe ingresar la Contraseña de configuración para cambiar la Contraseña del sistema. Para evitar que se modifique la contraseña del sistema sin proporcionar la contraseña de configuración, establezca esta opción en Bloqueada y habilite la Contraseña de configuración. |
NOTA: Instrucciones: para bloquear una contraseña del sistema y una contraseña del sistema, reinicie el sistema y haga clic en Bloqueado en el atributo Estado de la contraseña. |
Información del TPM
Muestra el tipo de Módulo de plataforma de confianza, si hay uno presente.
Intel(R) AES-NI
Muestra el estado actual de la característica AES-Ni del procesador Intel(R).
Seguridad del TPM
Controla los informes del módulo de plataforma segura (TPM) del sistema.
Apagado (predeterminado) | No se informa al sistema operativo sobre la presencia de TPM. |
Encendido con mediciones previas al inicio | El BIOS almacena las mediciones compatibles con TCG en el TPM durante POST. |
Encendido sin mediciones previas al inicio | El BIOS omite las mediciones previas al inicio. |
NOTA: Se recomienda una contraseña de configuración o de sistema con este ajuste de seguridad de TPM. |
Firmware del TPM
Muestra la versión del firmware de TPM.
Jerarquía de TPM
Permite la activación, la desactivación o el borrado de las jerarquías de almacenamiento y aprobación. Cuando la opción está Habilitada, se activan las jerarquías de almacenamiento y aprobación. Cuando se desactiva, no se pueden utilizar las jerarquías mencionadas. Si se establece en la opción de borrado, se borran las jerarquías de almacenamiento y aprobación.
Activación de TPM
Permite al usuario cambiar el estado de funcionamiento del Módulo de plataforma segura (TPM). Este campo es de solo lectura cuando la opción Seguridad del TPM se establece en Deshabilitada.
Activar | Se habilita y se activa el TPM. |
Desactivar | Se deshabilita y se desactiva el TPM. |
Sin cambios | No se altera el estado operativo del TPM. |
NOTA: Esta función no está disponible para las plataformas de 13G o posteriores. |
Estado del TPM
Muestra el estado del TPM.
Borrado de TPM
PRECAUCIÓN: Borrar el TPM da como resultado la pérdida de todas las claves en el TPM. Esto puede afectar el inicio del sistema operativo. |
Cuando esta opción está configurada en Sí, se borra todo el contenido del TPM. Este campo es de solo lectura cuando la opción Seguridad del TPM se establece en Deshabilitada.
NOTA: Esta función no está disponible para las plataformas de 13G o posteriores. |
Seguridad del TCM
Controla los informes del módulo de criptografía segura (TCM) del sistema.
Apagado (predeterminado) | No se informa al sistema operativo sobre la presencia de TCM. |
Activado | Se informa al sistema operativo sobre la presencia de TCM. |
NOTA: Esta función no está disponible para las plataformas de 13G o posteriores. |
Activación del TCM
Permite que el usuario cambie el estado de funcionamiento del módulo de criptografía segura (TCM). Este campo es de solo lectura cuando la opción Seguridad del TCM se establece en Deshabilitada.
Activar | Se habilita y se activa el TCM. |
Desactivar | Se deshabilita y se desactiva el TCM. |
Sin cambios | No se altera el estado operativo del TCM. |
NOTA: Esta función no está disponible para las plataformas de 13G o posteriores. |
Borrar TCM
PRECAUCIÓN: Borrar el TCM implica perder todas las claves en el TCM. Esto puede afectar el inicio del sistema operativo. |
Cuando esta opción está configurada en Sí, se borra todo el contenido del TCM. Este campo es de solo lectura cuando la opción Seguridad del TCM se establece en Deshabilitada.
NOTA: Esta función no está disponible para las plataformas de 13G o posteriores. |
Comando de TPM
Le permite al usuario controlar el Módulo de plataforma de confianza (TPM). Este campo es de solo lectura cuando la opción Seguridad del TPM se establece en Deshabilitada. La acción requiere un reinicio adicional para surtir efecto.
Activar | Se habilita y se activa el TPM. |
Desactivar | Se deshabilita y se desactiva el TPM. |
Ninguno | No se envía ningún comando al TPM cuando se establecen en ninguno. |
Borrar | Se borra todo el contenido del TPM cuando se establece en claro. |
PRECAUCIÓN: Borrar el TPM da como resultado la pérdida de todas las claves en el TPM. Esto podría afectar el arranque en el sistema operativo. |
NOTA: Esta función no está disponible para las plataformas de 13.ª generación o posteriores. |
Intel(R) TXT
Habilita o deshabilita la tecnología de ejecución de confianza. Para habilitar Intel TXT, la tecnología de virtualización debe estar Habilitada, la seguridad del TPM debe estar Encendida con medidas previas al arranque y el estado del TPM debe ser Habilitado, Activado. Cuando se utiliza TPM2, el algoritmo hash se debe configurar en SHA256.
Cifrado de memoria
Habilita o inhabilita Cifrado de memoria completo (TME, por sus siglas en inglés) Intel y Multi-Tenant (Intel TME-MT).
Varias claves | El BIOS habilita la tecnología TME-MT. |
Clave única | El BIOS habilita la tecnología TME. |
Desactivar | El BIOS deshabilita la tecnología TME y TME-MT. |
Intel(R) SGX
Habilita o deshabilita la opción de Intel Software Guard Extension (SGX). Para habilitar Intel SGX, se deben cumplir ciertos requisitos de plataforma. La CPU debe ser compatible con SGX. SGX solo se soporta con la configuración de memoria RDIMM. SGX se soporta con ECC DIMM modular únicamente La ocupación de la memoria debe ser compatible. (Configuración mínima: 8 DIMM1 idénticos a DIMM8 por conector de CPU. El número de DIMM puede variar según el diseño de la plataforma). SGX solo admite la misma configuración de memoria de tipo en todas las CPU. SGX solo admite el mismo modo de intercalado en todas las CPU. La opción Ajustes de la memoria> Intercalado de nodos debe estar Deshabilitada. La opción Ajustes de la memoria> Modo operativo de la memoria debe ser Modo de optimización. La opción Seguridad del sistema> Cifrado de la memoria debe estar habilitada si TME Bypass para SGX no se soporta.
Apagado | El BIOS deshabilita la tecnología SGX. |
Activado | El BIOS habilita la tecnología SGX. |
Software (si está disponible) | Permite que la aplicación habilite la tecnología SGX. |
Recuperación de alimentación de CA
Determina la reacción del sistema cuando se restaura la alimentación de CA en el sistema. Esto resulta especialmente útil cuando los sistemas están apagados con un enchufe múltiple.
Último | El sistema se enciende si estaba encendido cuando se interrumpió la alimentación de CA. El sistema permanece apagado si estaba apagado cuando se interrumpió la alimentación de CA. |
Activado | El sistema se enciende cuando se restaura la alimentación de CA. |
Apagado | El sistema permanece apagado cuando se restaura la alimentación de CA. |
Retraso de recuperación de alimentación de CA
Especifica la forma en que el sistema respalda el escalonamiento del encendido cuando se restaura la alimentación de CA en el sistema.
Inmediato | No se aplica un retraso para el encendido. |
Aleatoria | El sistema crea un retraso aleatorio para el encendido. |
Definido por el usuario | El sistema retrasa el encendido en función de esta cantidad. El rango de retraso de encendido definido por el usuario que soporta el sistema es de 60 s a 600 s. |
Demora definida por el usuario (60 s a 600 s)
Controla la duración durante la cual el proceso de encendido se retrasa después de restaurar la fuente de alimentación de CA. El valor solo es eficaz si el Retraso de recuperación de alimentación de CA se establece en Definido por el usuario. El rango válido es de 60 s a 600 s.
Acceso a variable UEFI
El acceso variable de UEFI proporciona distintos grados de variables de UEFI de protección.
Estándar (valor predeterminado) | Se puede acceder a las variables UEFI en el sistema operativo según la especificación UEFI. |
Controlado | Las variables UEFI están protegidas en el entorno del sistema operativo y las nuevas entradas de inicio UEFI son forzadas a quedar al final de la orden de inicio actual. |
Interfaz de facilidad de administración dentro de banda
Si la opción está Desactivada, este ajuste ocultará los dispositivos HECI del motor de administración (ME, por sus siglas en inglés) y los dispositivos IPMI del sistema operativo. Esto evita que el sistema operativo a la de cambiar el límite de alimentación ME configuración, y bloquea el acceso a todos los dentro de banda las herramientas de administración. Todas las administraciones se deben administrar fuera de banda.
NOTA: La actualización del BIOS necesita dispositivos HECI en funcionamiento y las actualizaciones de DUP requieren una interfaz de IPMI en funcionamiento. Este ajuste debe estar Habilitado para evitar errores de actualización. |
Inicio seguro
Permite habilitar el arranque seguro, donde el BIOS autentica cada componente que se ejecuta durante el proceso de arranque mediante los certificados de la política de arranque seguro. Los siguientes componentes se validan en el proceso de arranque:
- Controladores de UEFI que se cargan desde las tarjetas PCIe
- Controladores de UEFI y ejecutables desde dispositivos de almacenamiento masivo
- Cargador de arranque del sistema operativo
NOTA: El arranque seguro no está disponible, a menos que el Modo de arranque (en el menú Ajustes de arranque) esté configurado en UEFI. |
NOTA: El arranque seguro no está disponible, a menos que la configuración Cargar ROM de opción de video heredado (en el menú Otros ajustes) esté Deshabilitada. |
NOTA: Cree una contraseña de configuración si habilita el arranque seguro. |
Modo de Secure Boot
Configura la manera en que el BIOS utiliza la política de inicio seguro objetos (PK, KEK, db, dbx). En el modo de configuración y en el modo de auditoría, PK no está presente y el BIOS no autentica las actualizaciones programáticas en los objetos de política. En el Modo de usuario y en el Modo implementado, la PK está presente y el BIOS realiza la verificación de la firma en intentos programáticos para actualizar los objetos de política. El Modo aplicado es el modo más seguro. Utilice Configuración, Auditoría o Modo de usuario cuando aprovisione el sistema y, a continuación, utilice el Modo implementado para el funcionamiento normal. Las transiciones de modos disponibles dependen del modo actual y la presencia de PK.
El Modo de auditoría es útil para determinar, mediante programación, un espacio de trabajo de objetos En el modo de auditoría, el BIOS verifica la firma en las imágenes previas al arranque y los resultados de registros en la tabla de información sobre la ejecución de la imagen, pero ejecuta las imágenes aunque pasen o fallen la verificación. Para obtener más información sobre las transiciones entre los cuatro modos, consulte Modos de arranque seguro en la especificación UEFI.
Política de inicio seguro
Establece la política de arranque seguro.
Estándar | Cuando la opción está establecida en Estándar, el BIOS utiliza la clave y los certificados del fabricante del sistema para autenticar imágenes previas al arranque. |
Personalizado | Cuando la política de arranque seguro está establecida en Personalizada, el BIOS usa los certificados y la clave definidos por el usuario.
|
Firmware de dispositivo autorizado
Cuando la opción está Habilitada, este campo agrega el hash SHA-256 de cada firmware de dispositivo de otros fabricantes a la base de datos de firma autorizada de arranque seguro. Después de agregar los hash, el campo se invierte automáticamente a Deshabilitado.
NOTA: Este campo es de solo lectura, a menos que el arranque seguro esté Habilitado y la política de arranque seguro sea Personalizada. Este campo solo está disponible en consolas de administración de sistemas seguras. |
Control de actualización del BIOS
Permite o evita que se actualice el BIOS mediante utilidades flash basadas en shell UEFI o DOS. Para entornos que no requieran actualizaciones locales del BIOS, se recomienda configurar esta opción en Deshabilitado.
NOTA: Esta opción de configuración no afecta las actualizaciones del BIOS realizadas mediante el paquete de actualización. |
Desbloqueado | Permite todas las actualizaciones del BIOS. | ||
Limitado | Evita las actualizaciones locales del BIOS mediante utilidades flash basadas en el shell UEFI o DOS, o a través de la interfaz de usuario de Lifecycle Controller.
|