跳到主要内容

安全设置

确保系统安全设置按计划配置。

如果需要“安全引导”功能,我们建议使用 TPM 2.0 以获得最佳安全性。请注意,必须临时修改“物理现场授权策略配置”,以使“远程物理现场授权(RPP)”生效,这是启用或禁用“安全引导”,或修改系统使用的 TPM 版本所必需的设置。同样,根据系统使用的是图形还是基于文本的系统设置菜单,分别提供不同的主题。

图形系统设置

要使用图形系统设置菜单修改安全设置,请按照下列步骤操作:
  1. 从用于配置处理器设置的“系统设置”界面继续,在必要时重新启动服务器,然后在屏幕底部出现提示时,按 F1 键进入 UEFI 菜单界面。
  2. 导航至 UEFI 设置 > 系统设置 > 安全
    图 1. 图形系统设置界面,显示可用的安全设置类别

  3. 尽管“安全引导配置”和“可信平台模块”的当前设置可通过单击项目来选中,但为了修改 这些设置,必须使 RPP 生效。方法是单击物理现场授权策略配置然后单击切换远程物理现场授权生效。默认情况下,这将使 RPP 生效 30 分钟。界面将显示远程物理现场授权已生效,如下图所示
    图 2. 图形系统设置界面,显示 RPP 当前已生效

  4. RPP 生效后,请单击返回图标以返回到“安全设置”页面,然后单击安全引导配置
  5. 如有必要,将“安全引导设置”字段更改为启用。一条警告消息将会显示,表明启用安全引导后,Legacy BIOS 将禁用。单击确定关闭此警告消息。一条状态消息将会显示,表示“安全引导设置”已成功更改。单击确定关闭此成功消息。出现的系统设置界面应显示“安全引导”已启用,如下图所示。此设置经过验证后,单击右侧的保存图标,然后单击确认。
    图 3. 图形系统设置界面,显示“安全引导”将在重新启动后启用

  6. “安全引导”启用后,单击返回图标以返回到“安全设置”页面,然后单击可信平台模块
  7. 当前正在使用的 TPM 版本显示在面板顶部。如有必要,单击更新至兼容 TPM2.0 的版本。将显示一条警告消息。请按 Y 键确认选择。另一条消息将会显示,确认 TPM 已清除,所使用的版本将在系统重新启动时更改。按 Enter 确认此消息。
    图 4. 图形系统设置界面,显示与更改 TPM 版本有关的警告消息

  8. 检查/修改所有安全设置后,单击保存图标,然后单击确认设置应已保存。
  9. 单击退出 UEFI 设置。将会显示一条警告消息,询问是否确认退出 UEFI 设置并重新启动服务器。单击确认并重新启动系统。系统可能会重新启动多次,以完成配置更改。

基于文本的系统设置

要使用基于文本的系统设置菜单修改安全设置,请按照下列步骤操作:
  1. 从用于配置处理器设置的“系统设置”界面继续,或者在必要时重新启动服务器,然后在屏幕底部出现提示时,按 F1 键进入 UEFI 菜单界面。
  2. 导航至系统设置 > 安全
    图 5. 基于文本的系统设置界面,显示可用的安全设置类别

  3. 尽管“安全引导配置”和“可信平台模块”的当前设置可通过选择项目并按 Enter 来选中,但为了修改 这些设置,必须使 RPP 生效。方法是使用方向键选择物理现场授权策略配置,然后按 Enter
  4. 使用方向键选择切换远程物理现场授权生效,然后按 Enter。默认情况下,这将使 RPP 生效 30 分钟。界面将显示远程物理现场授权已生效,如下图所示
    图 6. 基于文本的系统设置界面,显示 RPP 当前已生效

  5. RPP 生效后,请按 Esc 键返回“安全设置”页面,然后使用箭头键选择安全引导配置,然后按 Enter
  6. 如果需要更改安全引导设置,使用方向键选择安全引导设置字段,然后按 Enter。一条警告消息将会显示,表明启用安全引导后,Legacy BIOS 将禁用。按 Enter 关闭此警告消息。一条状态消息将会显示,表示“安全引导设置”已成功更改。按 Enter 关闭此成功消息。出现的系统设置界面应显示“安全引导”已启用,如下图所示
    图 7. 基于文本的系统设置界面,显示“安全引导”将在重新启动后启用

  7. “安全引导”启用后,按 Esc 键返回“安全设置”页面,然后使用方向键选择可信平台模块,然后按 Enter
  8. 当前正在使用的 TPM 版本显示在屏幕顶部。如有必要,使用方向键选择更新至兼容 TPM2.0 的版本,然后按 Enter。将显示一条警告消息。请按 Y 键确认选择。另一条消息将会显示,确认 TPM 已清除,所使用的版本将在系统重新启动时更改。按 Enter 确认此消息。
    图 8. 基于文本的系统设置界面,显示与更改 TPM 版本有关的警告消息

  9. 检查/修改所有安全设置后,反复按 Esc 键,直到出现保存设置的提示。按 Y 键保存系统设置并重新启动系统。
  10. 单击退出 UEFI 设置。将会显示一条警告消息,询问是否确认退出 UEFI 设置并重新启动服务器。单击确认并重新启动系统。系统可能会重新启动多次,以完成配置更改。如果更改了 TPM 版本,则应在系统重新启动时看到一条表明此信息的消息,如下图所示
    图 9. 系统启动界面,表明 TPM 已更改

这样就完成了在使用 Lenovo V1 或 V2 服务器的 ThinkAgile MX 解决方案上配置 UEFI 设置的过程。确保对所有将加入 Azure Stack HCI 集群的节点都执行以下步骤。