Dell Update Packages 版本 7.
注、小心和警告 注: “注”表示可以帮助您更好地使用计算机的重要信息。 小心: “小心”表示可能会损坏硬件或导致数据丢失,并说明如何避免此类问题。 警告: “警告”表示可能会造成财产损失、人身伤害甚至死亡。 © 2013 Dell Inc. 本文中使用的商标:Dell™、Dell 徽标、Dell Boomi™、Dell Precision ™、OptiPlex™、Latitude™、PowerEdge™、PowerVault™、 PowerConnect™、OpenManage™、EqualLogic™、Compellent™、KACE™、FlexAddress™、Force10™ 和 Vostro™ 是 Dell Inc.的商标。 Intel®、Pentium®、Xeon®、Core® 和 Celeron® 是 Intel Corporation 在美国和其他国家/地区的注册商标。AMD® 是 Advanced Micro Devices Inc.的注册商标,AMD Opteron™、AMD Phenom™ 和 AMD Sempron™ 是 Advanced Micro Devices, Inc.
目录 1 使用入门......................................................................................................................................7 此版本有何新功能..................................................................................................................................................7 前提条件.................................................................................................................................................................. 7 运行 Linux 的系统的前提条件和功能......................
3 使用 Dell Linux 联机存储库执行 BIOS 和固件更新........................................................ 19 设置或引导存储库................................................................................................................................................19 创建本地镜像................................................................................................................................................. 19 安装固件工具......................................................................................................
DUP 消息日志........................................................................................................................................................39 消息位置..........................................................................................................................................................39 消息日志文件................................................................................................................................................. 39 8 常见问题..........................
使用入门 1 Dell 更新软件包(DUP)是标准软件包格式的独立可执行文件,可更新系统上的单个软件元素。 DUP 可用于以下软件组件: • System BIOS(系统 BIOS) • 系统固件,也称作嵌入式系统管理(ESM)固件 • 网络固件和驱动程序 • 远程访问控制器(RAC)固件 • RAID 控制器固件和设备驱动程序 • SWRAID 3.
Dell 限定的和 Dell 启用的软件包 安装 DUP 之前,请阅读联机和下载软件包中提供的信息。确保所选的更新必需且适用于系统。您可能还需要 完成以下部分或全部操作: • 添加软件包文件名的可执行权限。键入以下命令:chmod +x packagename.bin。 • 验证软件包满足执行更新的前提条件。要执行检查,请键入:./packagename.bin -c。 • 使用以下方法之一执行更新。第一种方法称为单一更新方法。在这种方法中,在交互模式下从命令行 运行 DUP 以执行更新。另一种方法称为脚本方法。如果要在非交互模式下从脚本运行一个或多个更 新,请使用此方法。 OpenIPMI 要求 某些 DUP 可能需要在系统上安装最新的 OpenIPMI Linux 设备驱动程序。如果安装过程中提示您获取最新驱动程 序,请访问 dell.com/support/manuals 或从 Linux 支持网站下载最新驱动程序。 注: 有关相关性和在 Dell 提供的嵌入式 Linux 环境和自定义嵌入式 Linux 环境中运行 DUP 的信息,以及所需 文件和工具的信息,请参阅 dell.
注: 还可以在 Dell Server Updates DVD 上的存储库中找到适用于 Windows 的 DUP,该 DVD 包含 Dell 系统的 更新 BIOS、驱动程序和固件组件。 下载 DUP 可从 support.dell.com 下载 DUP。 注: Dell OpenManage Server Update Utility DVD 的存储库文件夹中也包含 DUP,以及 Catalog.xml(包含有关 Windows 和 Linux DUP 的信息)和 DellSoftwareBundleReport.html 文件。 从 support.dell.com 下载 DUP: 1. 访问 support.dell.com 并选择 Support for Work(工作支持)。 2. 键入 Service Tag(服务标签)并单击 submit(提交)。 3. 选择 Drivers and Downloads(驱动程序和下载)。 4. 选择操作系统、类别和更新重要性。 将显示适用更新的一个列表。 5. 单击 Download(下载)。 6.
• Microsoft Windows Server 2008 SP2 Foundation、Standard、Enterprise、Datacenter 和 Web x86 及 x64 版 (含 SP2) • Microsoft Windows Small Business Server 2011 Essentials • Microsoft Windows Small Business Server 2011 (x64) Standard 版及 Essential 版 • Microsoft Windows Essential Business Server 2008 标准版和高级版(含 SP1) • Microsoft Windows Server 2008 R2 SP1 HPC 版 • Microsoft Windows Storage Server 2008 Basic、Standard、Enterprise 及 Workgroup 版(含 SP2) • Microsoft Windows Storage Server 2008 快速版、工作组版、企业版和标准版(含 R2)
DUP 的安装顺序 如果您安装多个 DUP,请在最后安装需要重新引导的更新。有关推荐的安装顺序,请参阅下表。 表.
联系 Dell 注: 如果没有活动的 Internet 连接,您可以在购货发票、装箱单、帐单或 Dell 产品目录上查找联系信息。 Dell 提供了若干联机及电话支持和服务选项。服务会因所在国家和地区以及产品的不同而有所差异,您所在的 地区可能不提供某些服务。如要联系 Dell 解决有关销售、技术支持或客户服务问题: 1. 请访问 dell.com/support 2. 选择您的支持类别。 3. 在页面顶部的“Choose a Country/Region”(选择国家/地区)下拉式菜单中,确认您所在的国家或地区。 4.
使用 Dell Update Packages 2 Dell 提供许多协助来帮助您确定系统是否需要更新。您可以从 dell.com/support/manuals 下载 DUP。有关更多信 息,请参阅下载 DUP。 注: DUP 当前并不支持所有设备类型。在将来的版本中,DUP 将在更多设备上可用。 更新软件包组件和系统兼容性 您可以运行 DUP 并阅读摘要信息。我们提供此信息以帮助您确定更新是否适用于系统和特定的环境。 在 Linux 环境中执行 DUP 可以在两种模式下从控制台运行 DUP: • 交互 • 非交互 交互模式 在交互模式中,您发出一条命令,界面会提示您继续执行该命令的权限。当您在此模式下执行软件包时,它首 先显示软件包版本注释的可滚动视图。您可查看这些版本注释,然后再继续执行软件包。 通过使用远程解释器(如 ssh),可以从连接到目标系统的本地控制台或从管理员的工作站执行 DUP。在将软 件包发送到目标系统后,管理员可以通过执行以下操作执行该软件包: • 从工作目录键入 ./packagename.
有关命令行界面 (CLI) 的详细信息,请参阅命令行界面参考。 验证数字签名 数字签名用于验证更新软件包签名人的标识和保证原始内容未更改。DUP 的数字签名提供可靠和可信的验证方 法。 验证数字签名确保已正确接收原始更新软件包并且其内容自签名以来未发生修改。 注: 验证数字签名适用于运行 Windows 和 Linux 的系统。 在运行 Linux 的系统上验证数字签名 如果您已在系统中安装该功能,则必须安装 Gnu Privacy Guard (GPG) 才能验证 Linux DUP 数字签名。要使用标准 验证程序,请执行以下步骤: 1. 获取 Dell Linux 公共 GnuPG 密钥(如果还没有)。您可以导航到 lists.us.dell.com 并单击 Dell Public GPG key (Dell 公共 GnuPG 密钥)链接。 2. 通过运行以下命令将公共密钥导入到 gpg 信任数据库:gpg --import (<公共密钥文件名 >) 注: 必须提供私人密钥才能完成此过程。 3.
在运行 Windows 的系统上验证数字签名 要验证更新软件包的数字签名,请执行以下操作: 1. 启动 Windows 资源管理器并找到要验证数字签名的更新软件包。 2. 右击文件名。 3. 单击弹出式菜单中的 Properties(属性)。 4. 在属性窗口中,单击数字签名选项卡。如果没有显示此选项卡,则该更新软件包未经过签名。 5. 从签名列表中选择签名,然后单击 Details(详情)。 随即会显示 Digital Signature Details(数字签名详情)窗口。 注: 单击 Details(详情)后才会验证签名。 6. 阅读数字签名信息,验证数字签名是否 OK(正确)。 7.
保存 Linux 控制台输出 执行 DUP 时,消息将打印到控制台。要重定向控制台输出,请使用以下包含交互命令的语法: ./packagename.bin|tee -a logname.
对于运行 Windows 的系统: 要从脚本安装较早的版本,请使用 /s(无人值守)模式。此外,您必须使用 CLI /f 选项,从而强制降级。系统 将提示您以确认您要安装较早的版本。 17
使用 Dell Linux 联机存储库执行 BIOS 和固件 更新 3 您可以将系统更新为最新版本或 Dell Linux 联机存储库中提供的特定 BIOS 和固件版本。更新以 RPM Package Manager (RPM) 格式提供。RPM 是特定于 Linux 操作系统的软件更新的标准软件包格式。您可以清点系统资 源,使用存储库管理软件(例如 Yellowdog Updater、Modified (YUM)、rug 和 zypper)扫描存储库查找有无较新 版本的匹配固件。存储库管理软件支持以下操作系统: • Yum: Red Hat Enterprise Linux 5.8 (x86_32, x86_64) 和 6.
• 对于 yum:yum install dell_ft_install • 对于 rug:rug install dell_ft_install • 对于 zypper:zypper install dell_ft_install 下载适用的固件 根据所用的存储库管理软件,运行以下命令之一下载适用的固件: • 对于 yum:yum install $(bootstrap_firmware) • 对于 rug:rug install $(bootstrap_firmware | xargs -n1 -r rug --terse wp | cut -d'|' -f3 | grep -v "No matches" | sort | uniq) • 对于 zypper:zypper install $(bootstrap_firmware) 固件的辅助引导是一个过程,其中系统的最新 BIOS 或固件更新 RPM 与系统上对更新进行资源清册和应用所需 的公用程序一起从存储库下载。 对安装的固件进行资源清册 您还可以使用 inventory_firmware CLI 命令对系统进行资源清册,获
b) 要重新安装组件版本,选择所需组件并单击 Allow Reflash(允许重新刷新)。 自动更新固件 默认情况下,安装 BIOS 或固件 RPM 不会将更新应用到硬件。应使用 update_firmware 命令手动应用更新。不 过,您可以在 RPM 安装过程中通过配置 /etc/firmware/firmware.conf 文件自动更新硬件。 要自动安装 BIOS 和固件更新,确保 firmware.conf 文件中的 rpm_mode 设置为 auto,如下所示: [main] # Automatically install BIOS updates when an RPM BIOS Update file is installed # values: 'auto', 'manual' # default: 'manual' rpm_mode=auto 查看日志信息 日志信息存储在 /var/log/ 文件夹的 firmware-updates.
4 Lifecycle Controller Enabled Server 中的更新和 回滚 Dell Lifecycle Controller Enabled Server 是一个嵌入式配置公用程序,它允许在系统的整个生命周期中从嵌入式环 境执行系统和存储管理任务。 Lifecycle Controller 位于嵌入式闪存卡中,它与 BIOS 公用程序相似,即可在引导顺序过程中启动,而且它可独 立于安装的操作系统运行。 使用 Lifecycle Controller,您可以快速确定、下载和应用系统更新而无需搜索 Dell 支持网站。您还可以配置系统 BIOS 和系统设备(例如 NIC、RAID 和 iDRAC)、部署操作系统以及运行诊断程序验证系统和连接的硬件。 注: 某些平台或系统可能不支持 Lifecycle Controller 提供的整套功能。 Lifecycle Controller 中的更新 您可以更新系统 BIOS、iDRAC 固件、电源设备固件、RAID 固件和 NIC 固件。使用该向导可显示系统平台更新 可用更新的列表。 可以从以下选项中定义搜索可用更新的位置: • Dell 文件
5 命令行界面参考 可以在命令行提示符下键入 DUP 名称以及 -h 或 --help 来显示有关 CLI 选项的信息。 控制台会显示所有的命令行选项并提供各选项的帮助。 Linux CLI 选项 有关适用于运行 Linux 的系统的 CLI 选项列表、每个选项的说明以及命令语法,请参阅下表: 表. 2: Linux CLI 选项:用法 CLI 选项 CLI 任务说明 命令语法 (无选项;不带选项运行命令) 在交互模式下运行命令。 在交互模式下应用 DUP;DUP 在有 效时可与用户交互。 ./packagename.bin -h or --help 帮助选项 显示命令行选项和帮助信息。 --help 选项在其他所有 -- 选项前执 行。 ./packagename.bin -h ./packagename.bin --help 注: 此选项在显示请求的信息后 退出;不进行 DUP 验证或更 新。 -c 检查选项 确定更新是否可以应用到目标系 统。 ./packagename.bin -c -f 强制选项 强制降级或更新为较早的版本。使 用 ‑f 选项时需要 ‑q 选项。 .
CLI 选项 CLI 任务说明 命令语法 注: 此选项需要 -q 选项。 --rebuild 重建选项 -v,--version 显示版本选项 除了支持的内核外,自动重建 DUP 来支持 Linux 操作系统内核。 ./packagename.bin --rebuild 显示版本、修复程序、增强工具和 ./packagename.bin -v 发行日期;列出可应用本 DUP 的系 ./packagename.bin --version 统。 注: 此选项在显示请求的信息后 退出;不进行 DUP 验证或更 新。 --extract 将 DUP 中包含的所有文件提取到您 ./packagename.bin --extract /update 指定的路径。如果该路径中指定的 ./packagename.
CLI 选项 CLI 任务说明 命令语法 选项 /e 和 /c 对于此选项无效。 注: 在将软件降级到以前版本之 前,请参阅以前版本的说明文 件。 /l= 日志选项 将记录的消息附加到一个指定的 ASCII 文件;如果该文件不存在,将 创建一个新文件。 packagename.exe /s /l=c:\pkg.log packagename.exe /s /l="c:\Update Log \pkg.log" 注: 如果文件名包含空格,应在 <文件名> 值两边使用引号。 此选项需要 /s 选项。 /r 重新引导选项 如有必要,执行更新后重新引导系 统。以下情况不会进行重新引导: • • packagename.exe /s /r /l=c:\pkg.
Value 消息名称 Display Name(显示名 称) 说明 • • 尝试更新已安装软件的版本。 尝试降级到软件以前的版本。 要避免收到此错误,应提供 /f 选项。 4 DEP_HARD_ERROR 硬相关性错误 系统上未找到所需的必备软件。更新失败,因为 系统没有满足应用更新所需的 BIOS、驱动程序 或固件前提条件,或因为在目标系统上未找到支 持的设备。 5 QUAL_HARD_ERROR 合格性错误 DUP 不适用于系统。一些可能的解释包括: • • • DUP 不支持该操作系统。 DUP 不支持该系统。 DUP 与系统中找到的设备不兼容。 QUAL_HARD_ERROR 无法通过使用 /f 开关来抑 制。 6 REBOOTING_SYSTEM 正在重新引导系统 系统正在重新引导。 9 RPM_VERIFY_FAILED RPM 验证失败 Linux DUP 框架使用 RPM 验证确保所有 DUP 相关 Linux 公用程序的安全。如果安全受到威胁,该 框架将显示一条消息和一个 RPM 验证图例,然 后通过退出代码 9 退出。 RPM 仅当验证失败时产生输
Linux 故障排除 6 本节介绍与 Linux 操作系统有关的可能故障排除步骤。 已知问题 下面列出的问题是适用于 Linux 操作系统的 Dell Update Packages (DUP) 的已知问题和纠正措施。另请参阅 dell.com/support/manuals 上相应的 Linux 自述文件。 注: dell.com/support/manuals 上的自述文件提供有关已知问题的最新信息。 诊断任务在 DUP 重新引导挂起期间不会运行 如果您尝试运行诊断任务而系统中有挂起的更新,诊断任务将失败。 要解决此问题,完成所有挂起的更新,重新引导系统,然后再运行诊断任务。 DUP 异常终止 DUP 可能会由于断电或异常终止而突然停止。 要解决此问题,请执行以下操作: 1. 从锁定文件夹中移除锁定文件。 2. 键入命令:rm -f /var/lock/.spsetup。 3. 再次运行 DUP 以重新应用更新。 加载共享程序库时出错 加载共享程序库时可能会显示以下错误。Error while loading shared libraries: libstdc++.so.
要解决此问题,则停止 Dell OpenManage Server Administrator 和 Dell OpenManage Server Administrator 存储管理 服务,然后再运行存储控制器固件 DUP。 重命名 Linux DUP 期间丢失功能 Linux DUP 即使在重命名后仍可执行,但某些功能会丢失。重命名的 Linux DUP 扩展名位于 Linux MIME(多媒体 Internet 信息扩展名)数据库中可导致无法从各种 X‑Windows 桌面(例如 GNOME)执行。在这种情况下,桌面 会发出一条文件打开错误消息,表明 DUP 无法打开。如果将扩展名为大写 .BIN 的 DUP 重命名为扩展名为小 写 .bin 的 DUP,将会出现此情况。.
消息 说明/解决方案 This Update Package is not compatible with any of the devices detected in your system. 为要更新的设备选择一个兼容的 DUP,然后重试。 The prerequisite software version for this update was not found. Software application name: Current version: Required version: 所选的 DUP 无法安装,因为未满足前提条件要求。 请安装相应的必备软件版本,然后重试更新。 You must use the -f option to continue with the update in the non‑interactive mode. 此 DUP 的版本早于安装的版本或与该版本相同。要 应用 DUP,您必须强制执行。 The software to be updated was not found.
消息 说明/解决方案 currently installed on the system, which is version . 未安装当前运行内核的内核源文件,当前安装的 OpenIPMI 驱动程序 RPM 在安装时未包含当前运行 内核的内核源文件。要安装 OpenIPMI 驱动程序模 块以满足当前运行内核的最低版本要求,您必须安装 当前运行内核的内核源文件,然后使用 DKMS(请参 阅 dkms 的手册页)来安装和建立当前运行内核的 OpenIPMI 驱动程序模块。要安装当前运行内核的内 核源文件,请安装适用于当前运行内核的 <文件名> RPM。 安装当前运行内核的内核源文件,然后使用动态内 核模块支持 (DKMS) 框架来安装和建立用于当前运行 内核的 OpenIPMI 驱动程序模块。 您必须通过安装内核所要求的 .rpm 文件来安装内核 源文件。 有关使用 DKMS 的信息,请参阅来自 linux.dell.com/ dkms/manpage.
消息 说明/解决方案 Please provide a directory name to extract to. 为所提取的文件提供目录名。 ROOT directory cannot be used for extraction. 为提取的文件创建目录。 Successfully extracted to "/extractdir" 软件包内容已提取到指定目录。 Cannot find utilities on the system to extract package. Make sure the following utilities are on the path: 找到列出的公用程序并且将其目录添加到指定路径 中。 Rebuilding Package Failed - Error creating driver support directory. 无法重建软件包,因为无法创建支持目录。 Rebuilding Package Failed - Error copying kernel modules.
消息 说明/解决方案 Unable to Install Dell Instrumentation Driver (HAPI). 软件包无法安装 HAPI 驱动程序。 Rebuilding Package Failed - RPM Installation failed with error code= 提供了妨碍软件包重建的 RPM 错误代码。 packagename.bin: Rebuilding Package failed - Unable to extract package contents. 确保 /tmp 目录有足够的空间。 packagename.bin: Rebuilding Package Kernel is already supported by this package. 您不必重建此软件包,因为您已经自定义了内核的 软件包。仅当您以前使用了 --rebuild 选项后运行重建 软件包时才会收到此消息。 packagename.
消息 说明/解决方案 for any direct, indirect, incidental, special, or consequential damages suffered during or after package customization and execution. In no event shall Dell Inc. be held liable for any direct, indirect, incidental, special, or consequential damages suffered during or after package customization and execution. 在执行通过 ‑‑rebuild 选项启用的自定义软件包之前, 先通读此声明。 Attempt to update BIOS or firmware to the same version. Update was unnecessary and not applied.
消息位置 消息日志文件的默认位置为 /var/log/dell/updatepackage/log。 消息日志文件 消息日志文件包括以下信息 • DUP 启动的日期和时间 • 软件包发行 ID 号 • 命令生成的支持日志的完整路径和文件名 • DUP 类型 • DUP 版本 • DUP 的框架版本 • DUP 的软件应用程序名称 • 当前安装的 DUP 版本 • 命令尝试应用到系统的版本 • 执行命令产生的退出代码 • 是否执行了重新引导 注: 支持日志文件旨在供 Dell 支持人员使用。Dell 鼓励您将 DUP 输出重定向到所选的文件。 36
针对运行 Windows 的系统的故障排除 7 本节介绍与运行 Microsoft Windows 的系统有关的可能故障排除步骤。 已知问题 下面列出的问题是适用于运行 Windows 操作系统的系统的 Dell Update Packages(DUP) 的已知问题和纠正措施。 另请参阅 dell.com/support/manuals 上相应的 Windows 自述文件。 注: dell.com/support/manuals 上的自述文件提供有关已知问题的最新信息。 资源清册故障 注: 此问题适用于运行 Windows Server 2008 和更高版本的系统。 注: 对于运行 Windows 操作系统的系统,称为 User Account Control(UAC,用户帐户控制)的内置功能可 以自动降低安全漏洞的风险。 在系统上运行 SUU 或 DUP 之前,请在组策略编辑器中更改安全保护选项。 1. 使用以下方法之一打开组策略编辑器: – 对于本地组策略,请单击开始 → 运行 → gpedit.
表. 6: 消息 消息 说明/解决方案 This Update Package is not compatible with your system. Your system: 选择兼容的 DUP,并重试更新。 This Update Package is not compatible with your system. Your system: Systems(s) supported by this package: ...: 选择兼容的 DUP,并重试更新。 This Update Package cannot be executed under the current operating system. DUP 不支持该操作系统。有关支持的操作系统的列 表,请查看 Dell Systems Software Support Matrix(Dell 系统软件支持值表)。此说明文件在 dell.
消息 说明/解决方案 Package version: Installed version: This package is not compatible with the version of Server Agent on your system. You must upgrade to Server Administrator before running this package. 使用 dell.com/support/manuals 上提供的备选更新方 法。 Administrator privileges are required to perform this update. 以管理员权限登录,然后重试更新。 You must reboot the system for the update to take effect.
• 当前安装的 DUP 版本 • 命令尝试应用到系统的版本 • 执行命令产生的退出代码 • 是否执行了重新引导 注: 支持日志文件旨在供 Dell 支持人员使用。Dell 鼓励您将 DUP 输出重定向到所选的文件。 40
常见问题 8 问题:每次应用 Dell Update Package (DUP) 后我是否都必须重新引导系统? 回答:在交互模式下运行的 DUP 会确定是否有必要重新引导系统。如果有必要,系统将提示您重新引导。在 没有提示的无人值守模式下,退出代码设置为 2,这表示系统需要重新启动。 问题:DUP 支持哪些操作系统? 回答:dell.com/support/manuals 上提供的 Dell Systems Software Support Matrix(Dell 系统软件支持值表)介绍了 关于各种 Dell 系统、这些系统支持的操作系统以及可以在这些系统上安装的 Dell OpenManage 组件的信息。 问题:如果 DUP 不支持我的操作系统,如何执行更新? 回答:对于当前不支持的操作系统,可以使用 dell.com/support 上的现有更新格式来执行更新。 问题:我在 dell.
回答:是。 问题:能否修改 DUP? 回答:否。DUP 包含防止可能损坏其内容的逻辑。由于此设计,DUP 无法进行修改。 注: 如果修改了 DUP 的内容,Dell 将不再支持它们。 问题:能否使用任何其他程序来检查或提取 DUP 的内容? 回答:能,您可以使用 WinZip 或同等软件应用程序。 注: DUP 包含防止可能损坏其内容的逻辑。由于此设计,DUP 无法进行修改。如果修改了 DUP 的内容, Dell 将不再支持它们。 问题:我运行的是非英文版的 Windows 2000。能否使用 DUP? 回答:能。您可以在非英文版的 Windows 2000 Server 和 Windows Server 2003 操作系统上使用 DUP。目前,DUP 仅提供英文版。 问题:当出现适合我的系统的新 DUP 时,我如何得知? 回答:您可以访问 dell.com/support 查询更新或者在 dell.
可信平台模块和 BitLocker 支持 9 可信平台模块 (TPM) 是一个具有加密功能的安全微控制器,设计用于提供涉及密钥的基本安全相关功能。它在 系统的母板上安装,并且使用硬件总线与系统的其余部分进行通信。您可以使用 BIOS 设置命令建立系统的所 有权及其 TPM。 TPM 将平台配置作为一组值存储在一组平台配置注册表 (PCR) 中。因此,一个此类注册表可存储如母板制造商 信息;另一个存储处理器制造商信息;第三个存储平台的固件版本,等等。整合 TPM 的系统会创建一个与平 台测量值关联的密钥。该密钥仅当此平台测量值拥有与创建密钥时相同的值时才能解开。此过程称为将密钥密 封到 TPM。解密称为启封。初次创建密封的密钥时,TPM 会记录配置值的快照和文件哈希值。密封的密钥仅 当这些当前系统值匹配快照中的值时才会启封或释放。BitLocker 使用密封的密钥检测对系统完整性的攻击。在 满足特定的硬件或软件条件前,数据将被锁定。 BitLocker 通过结合两个主要数据保护过程来减少未授权数据访问: • 加密硬盘上的整个 Windows 操作系统卷:BitLocker 加密操作系统卷中的所有用户文件和
10 Microsoft Windows Server 2008 用户帐户控制 在 Microsoft Windows Server 2008 和早期版本中,用户帐户通常是本地管理员组的成员并获得管理员权限。由 于管理员帐户拥有系统范围的访问权限,因此本地管理员组的成员可以安装、更新和运行软件。将用户添加到 本地管理员组后,系统会自动授予该用户 Windows 权限。这些权限提供对所有操作系统资源的访问。因此, 具有管理员权限的用户帐户具有安全风险,因为其提供的操作系统资源访问权限可被恶意软件利用。 用户帐户控制 (UAC) 是 Windows Server 2008 操作系统中一项新增的安全功能。启用后,该功能会限制除内置本 地管理员之外所有用户对重要系统资源的访问权限。 Windows Server 2008 操作系统中三种用户帐户类型是: • 域管理员帐户,这是具有管理员权限的用户帐户。 • 标准用户帐户,允许用户安装软件和更改系统设置而不会影响计算机的其他用户或安全性。 • 本地管理员帐户,这是操作系统的默认超级用户。 UAC 启用时,域管理员帐户的用户体验与本地管理员帐户不同。域管理
• 在 DUP 运行的每台远程计算机上使用本地管理员帐户。 • 为远程计算机上的所有用户禁用 UAC(不推荐选项)。 • 在远程计算机上不升级到管理员帐户。 注: 只有两个帐户(本地管理员帐户和本地系统帐户)不受 UAC 保护。所有其他用户(包括具有本地管理 员权限或域管理员权限的帐户)默认情况下均已启用 UAC。即使可通过更新本地或域安全策略来禁用 UAC,但不推荐这样做。远程用户必须作为内置的本地管理员帐户登录或获取本地系统帐户权限才能远程 启动 DUP。 46
