Sicherheitseinstellungen
Überprüfen Sie, ob die Systemsicherheitseinstellungen wie vorgesehen konfiguriert sind.
Wenn die Funktion „Sicheres Booten“gewünscht wird, empfiehlt es sich, TPM 2.0 für optimale Sicherheit zu verwenden. Beachten Sie, dass die Konfiguration der Richtlinie zur physischen Präsenz vorübergehend geändert werden muss, um die physische Fernpräsenz (RPP – Remote Physical Presence) zu aktivieren. Diese ist erforderlich, um die Funktion „Sicheres Booten“ zu aktivieren oder zu deaktivieren oder um die vom System verwendete TPM-Version zu ändern. Je nachdem, ob das System die grafischen oder textbasierten Menüs zur Systemkonfiguration verwendet, werden unterschiedliche Themen angezeigt.
Grafische Systemkonfiguration
Gehen Sie wie folgt vor, um die Sicherheitseinstellungen über die grafischen Menüs für die Systemkonfiguration zu ändern:
- Fahren Sie auf dem Bildschirm für die Systemkonfiguration mit der Konfiguration des Prozessoreinstellungen fort oder starten Sie den Server gegebenenfalls neu und rufen Sie den UEFI-Menübildschirm auf. Drücken Sie dazu die Taste F1, wenn Sie unten auf dem Bildschirm dazu aufgefordert werden.
- Gehen Sie zu UEFI-Konfiguration > Systemeinstellungen > Sicherheit. Abbildung 1. Bildschirm mit den grafischen Systemeinstellungen, auf dem die verfügbaren Kategorien für die Sicherheitseinstellungen zu sehen sind
- Obwohl die aktuellen Einstellungen für die Konfiguration für sicheres Booten und das Trusted Platform Module durch Klicken auf die einzelnen Elemente überprüft werden können, müssen Sie die RPP bestätigen, damit diese Einstellungen geändert werden können. Klicken Sie dazu auf Konfiguration der Richtlinie zur physischen Präsenz und dann auf Physische Fernpräsenz bestätigen. Dadurch wird die RPP 30 Minuten standardmäßig lang bestätigt. Die Schnittstelle zeigt Physische Fernpräsenz bestätigt an, wie in der folgenden Abbildung dargestellt.Abbildung 2. Bildschirm mit den grafischen Systemeinstellungen auf dem zu sehen ist, dass die RPP derzeit aktiviert ist
- Nachdem die RPP bestätigt wurde, klicken Sie auf das Symbol Zurück, um zur Seite mit den Sicherheitseinstellungen zurückzukehren. Klicken Sie dann auf Konfiguration für sicheres Booten.
- Ändern Sie bei Bedarf das Feld mit der Einstellung für sicheres Booten auf Aktivieren. Es wird eine Warnmeldung angezeigt, die besagt, dass bei aktiviertem sicheren Booten das traditionelle BIOS deaktiviert ist. Klicken Sie auf OK, um diese Meldung zu schließen. Es wird eine Statusnachricht angezeigt, die besagt, dass die Einstellung für sicheres Booten erfolgreich geändert wurde. Klicken Sie auf OK, um die Nachricht zu schließen. Auf dem dann angezeigten Bildschirm mit den Systemeinstellungen sollten Sie die Bestätigung sehen, dass das sichere Booten aktiviert wurde, wie in der folgenden Abbildung dargestellt. Wenn diese Einstellung bestätigt ist, klicken Sie auf das Symbol Speichern und dann zur Bestätigung auf Ja.Abbildung 3. Bildschirm mit den grafischen Systemeinstellungen, auf dem zu sehen ist, dass das sichere Booten nach einem Neustart aktiviert wird
- Nachdem das sichere Booten aktiviert wurde, klicken Sie auf das Symbol Zurück, um zur Seite mit den Sicherheitseinstellungen zurückzukehren. Klicken Sie dann auf Trusted Platform Module.
- Die derzeit verwendete TPM-Version sehen Sie oben in der Anzeige. Wenn erforderlich, klicken Sie auf Auf TPM2.0-Kompatibilität aktualisieren. Eine Warnmeldung wird angezeigt. Drücken Sie die Taste J, um die Auswahl zu bestätigen. Es wird eine weitere Nachricht angezeigt, in der bestätigt wird, dass TPM gelöscht wurde und die verwendete Version beim Systemneustart geändert wird. Drücken Sie die Eingabetaste, um diese Nachricht zu bestätigen.Abbildung 4. Bildschirm mit den grafischen Systemeinstellungen, auf dem die Warnmeldung zur Änderung der TPM-Version zu sehen ist
- Nachdem Sie alle Sicherheitseinstellungen überprüft bzw. geändert haben, klicken Sie auf das Symbol Speichern und dann auf Ja, um das Speichern der Einstellungen zu bestätigen.
- Klicken Sie auf UEFI-Konfiguration beenden. Es wird eine Warnmeldung angezeigt, in der Sie aufgefordert werden, die UEFI-Konfiguration zu beenden und den Server neu zu starten. Klicken Sie auf Ja, um die Meldung zu bestätigen und das System neu zu starten. Das System wird möglicherweise mehrmals neu gestartet, um die Konfigurationsänderungen abzuschließen.
Textbasierte Systemkonfiguration
Gehen Sie wie folgt vor, um die Sicherheitseinstellungen über die textbasierten Menüs für die Systemkonfiguration zu ändern:
- Fahren Sie auf dem Bildschirm für die Systemkonfiguration mit der Konfiguration des Prozessoreinstellungen fort oder starten Sie den Server gegebenenfalls neu und rufen Sie den UEFI-Menübildschirm auf. Drücken Sie dazu die Taste F1, wenn Sie unten auf dem Bildschirm dazu aufgefordert werden.
- Gehen Sie zu Systemeinstellungen > Sicherheit.Abbildung 5. Bildschirm mit den texbasierten Systemeinstellungen, auf dem die verfügbaren Kategorien für die Sicherheitseinstellungen zu sehen sind
- Obwohl die aktuellen Einstellungen für die Konfiguration für sicheres Booten und das Trusted Platform Module durch Auswählen der einzelnen Elemente und anschließendes Drücken der Eingabetaste überprüft werden können, müssen Sie die RPP bestätigen, damit diese Einstellungen geändert werden können. Verwenden Sie die Pfeiltasten, um die Konfiguration der Richtlinie zur physischen Präsenz auszuwählen, und drücken Sie die Eingabetaste.
- Wählen Sie mit den Pfeiltasten die Option Physische Fernpräsenz bestätigen aus und drücken Sie die Eingabetaste. Dadurch wird die RPP 30 Minuten standardmäßig lang bestätigt. Die Schnittstelle zeigt Physische Fernpräsenz bestätigt an, wie in der folgenden Abbildung dargestellt.Abbildung 6. Bildschirm mit den textbasierten Systemeinstellungen, auf dem zu sehen ist, dass die RPP derzeit aktiviert ist
- Nachdem die RPP bestätigt wurde, drücken Sie die Esc-Taste, um zur Seite mit den Sicherheitseinstellungen zurückzukehren. Verwenden Sie die Pfeiltasten, um die Konfiguration für sicheres Booten auszuwählen, und drücken Sie dann die Eingabetaste.
- Wenn die Einstellung für sicheres Booten geändert werden muss, wählen Sie mithilfe der Pfeiltasten das Feld Konfiguration für sicheres Booten aus und drücken Sie dann die Eingabetaste. Es wird eine Warnmeldung angezeigt, die besagt, dass bei aktiviertem sicheren Booten das traditionelle BIOS deaktiviert ist. Drücken Sie die Eingabetaste, um diese Meldung zu schließen. Es wird eine Statusnachricht angezeigt, die besagt, dass die Einstellung für sicheres Booten erfolgreich geändert wurde. Drücken Sie die Eingabetaste, um diese Meldung zu schließen. Auf dem dann angezeigten Bildschirm mit den Systemeinstellungen sollten Sie die Bestätigung sehen, dass das sichere Booten aktiviert wurde, wie in der folgenden Abbildung dargestellt.Abbildung 7. Bildschirm mit den textbasierten Systemeinstellungen, auf dem zu sehen ist, dass das sichere Booten nach einem Neustart aktiviert wird
- Nachdem das sichere Booten aktiviert wurde, drücken Sie die Esc-Taste, um zur Seite mit den Sicherheitseinstellungen zurückzukehren. Verwenden Sie die Pfeiltasten, um Trusted Platform Module auszuwählen, und drücken Sie dann die Eingabetaste.
- Die derzeit verwendete TPM-Version sehen Sie oben auf dem Bildschirm. Verwenden Sie bei Bedarf die Pfeiltasten, um die Option Auf TPM2.0-Kompatibilität aktualisieren auszuwählen, und drücken Sie dann die Eingabetaste. Eine Warnmeldung wird angezeigt. Drücken Sie die Taste J, um die Auswahl zu bestätigen. Es wird eine weitere Nachricht angezeigt, in der bestätigt wird, dass TPM gelöscht wurde und die verwendete Version beim Systemneustart geändert wird. Drücken Sie die Eingabetaste, um diese Nachricht zu bestätigen.Abbildung 8. Bildschirm mit den textbasierten Systemeinstellungen, auf dem die Warnmeldung zur Änderung der TPM-Version zu sehen ist
- Nachdem Sie alle Sicherheitseinstellungen überprüft bzw. geändert haben, drücken Sie die Esc-Taste mehrmals, bis Sie aufgefordert werden, die Einstellungen zu speichern. Drücken Sie die Taste J, um die Systemeinstellungen zu speichern und das System neu zu starten.
- Klicken Sie auf UEFI-Konfiguration beenden. Es wird eine Warnmeldung angezeigt, in der Sie aufgefordert werden, die UEFI-Konfiguration zu beenden und den Server neu zu starten. Klicken Sie auf Ja, um die Meldung zu bestätigen und das System neu zu starten. Das System wird möglicherweise mehrmals neu gestartet, um die Konfigurationsänderungen abzuschließen. Wenn die TPM-Version geändert wurde, wird beim Neustart des Systems eine entsprechende Meldung angezeigt, wie in der folgenden Abbildung dargestellt.Abbildung 9. Bildschirm beim Systemstart, auf dem angezeigt wird, dass eine TPM-Änderung vorgenommen wurde
Damit ist der Prozess zur Konfiguration der UEFI-Einstellungen auf einer ThinkAgile MX Lösung mit Lenovo V1 oder V2 Servern abgeschlossen. Führen Sie die folgenden Schritte für alle Knoten aus, die Teil des Azure Stack HCI-Clusters sind.
Feedback geben