跳到主要内容

系统防护

本主题提供了有关系统防护功能的概述。

系统防护功能创建硬件组件清单快照作为可信参考,并基于该参考快照监控是否出现任何偏差。当出现偏差时,该功能可以向用户报告事件,还可以选择阻止服务器启动进入操作系统并提示用户作出响应。

即使该功能被禁用,用户也可以随时创建快照。快照生成大约需要一分钟。用户可以选择要创建快照的硬件组件子集,并选择检测到偏差时要采取的相应操作。

偏差检测会在服务器开机(POST)或系统重启时执行。例如,在操作系统仍在运行的情况下,如果硬盘被拔出并在片刻后重新插入,系统防护功能将不会记录该事件,也不会采取任何操作。如果拔出的硬盘直到下次重新启动时仍未装回,系统防护功能即发挥作用。

在首次打开电源后的交流电源恢复过程中,如果满足以下条件,XCC 可能不会通知 UEFI 阻止操作系统启动:

  • 通过以下方式启用系统防护:

    • 选择 CPU 或 DIMM 硬件

    • 启用“阻止操作系统启动”选项

  • 发生与可信快照不匹配的硬件配置更改

XCC 将在 POST 后报告配置不匹配,此限制在后续操作系统重启后不会继续存在。