Users Guide
目录
可信平台模块 (TPM) 和 BitLocker 支持
Dell™OpenManage™ServerUpdateUtility1.9用户指南
TPM 是具有加密功能的安全微控制器,旨在提供涉及加密密钥的基本安全功能。它安装在系统的主板上并通过硬件总线与系统的其他部分通信。可以通过 BIOS 设置命令建立对系统及其
TPM 的所有权。
TPM 将平台配置作为一组值存储在一组平台配置寄存器 (PCR) 中。例如,一个寄存器可能会存储主板制造商信息,另一个存储处理器制造商信息,第三个存储平台的固件版本,以此类推。
与 TPM 集成的系统会创建与平台测量密切相关的密钥。只有当平台测量值与密钥创建时的测量值相同时密钥才能解开。此过程称为"密封"TPM 密钥。解密过程称为"开启"。使用密封的密钥
和诸如 WindowsBitLocker™驱动器加密等数据保护功能,可以锁定数据直到满足特定的硬件和软件条件为止。
BitLocker 通过结合两个主要数据保护过程来减少未授权数据访问:
l 加密硬盘上的整个 Windows 操作系统卷:BitLocker 加密操作系统卷中的所有用户文件和系统文件。
l 检查早期引导组件和引导配置数据的完整性:在具有 TPM 版本 1.2 的系统上,BitLocker 利用了 TPM 的增强安全功能,并确保只有在系统引导组件未更改且加密磁盘位于原
系统中时数据才可以访问。
BitLocker 设计用于具有兼容 TPM 微芯片和 BIOS 的系统。兼容 TPM 定义为版本 1.2 TPM。兼容 BIOS 支持 TPM 和可信测量的静态根。BitLocker 将主加密密钥封存在 TPM 中并只
允许在代码测量值自上次安全引导以来未更改的情况下才允许解开密钥。如果任何测量值发生改变,会强制用户提供恢复密钥才能继续引导。一对多 BIOS 更新方案会导致 BitLocker 停止
更新并要求恢复密钥才能完成引导。
BitLocker 通过"全卷加密"和"安全启动"保护系统上存储的数据。可确保系统上存储的数据保持加密,即使系统在操作系统未运行期间遭到改动,并且在用户提供 BitLocker 密钥前可防止操
作系统引导和解密驱动器。
TPM 与 BitLocker 交互以在系统启动时提供保护。必须先启用并激活 TPM,然后才能由 BitLocker 使用。如果启动信息发生更改,BitLocker 会进入恢复模式,并且用户需要恢复密码才
能重新获得数据访问权限。
目录
注: 对于具有 TCG 1.2 兼容可信平台模块 (TPM) 芯片的系统,如果 Microsoft Windows BitLocker 驱动器加密功能已启用或者可信平台模块功能设置为(使用 BIOS)"ON
with Pre-boot Measurement"(预引导测量打开),使用 SUU 和 DUP 的 BIOS 更新将会失败。
注: 请参阅 Microsoft TechNet 网站了解如何打开 BitLocker。请参阅系统附带的说明文件,了解如何激活 TPM。TPM 对于 BitLocker 不是必需的;不过,只有具有 TPM 的
系统才可以提供启动系统完整性验证的额外安全。没有 TPM,BitLocker 可用于加密卷,但不能用于安全启动。
注: 配置 BitLocker 的最安全方式是在具有 TPM 版本 1.2 和 Trusted Computing Group (TCG) 兼容 BIOS 的系统上具有启动密钥或 PIN。这些方法提供了额外的验证,要
求额外的物理密钥(写有系统可读密钥的 USB 闪存盘©或由用户设置的 PIN。
注: 对于大批量 BIOS 更新,创建禁用 BitLocker 的脚本,安装更新,重新引导系统,然后重新启用 BitLocker。对于一对一 Dell™UpdatePackage(DUP)部署,手工禁用
BitLocker,然后`重新引导系统后重新启用。
注: 在具有 TPM 版本 1.2 芯片、"TPM Security"( TPM 安全)设置为"ON with pre-boot measurement"
(预引导测量打开)
且"TPM Activation"(TPM 激活)设置
为"Enabled"
(已启用)
的系统上,如果启用 BitLocker(TPM 或 TPM 加 USB 或 TPM 加 PIN),则除了 BIOS DUP 以外,不允许对 U320、串行连接 SCSI (SAS) 5、SAS
6、可扩充 RAID 控制器 (PERC) 5、PERC 6 和 Cost Effective RAID Controller (CERC) 6 控制器执行固件 DUP。