Поделиться через

Защита Surface Hub и управление ими с помощью SEMM

  • Статья
  • Применяется к:
    Surface Hub 2S, Surface Hub 3

Используйте режим управления Microsoft Surface Enterprise (SEMM) для управления параметрами UEFI на одном или нескольких устройствах Surface Hub.

Управление компонентами

SEMM позволяет управлять различными аппаратными компонентами Surface Hub, в том числе:

  • Бортовая аудиосистема
  • Проводная сеть
  • Bluetooth
  • Wi-Fi
  • Датчик занятости

Advanced settings (Дополнительные параметры)

С помощью конфигуратора UEFI Surface, включенного в набор средств ДЛЯ ИТ-специалистов Surface, можно включить или отключить следующие параметры UEFI:

Безопасность

  • SMT (одновременная многопотооковая)

Загрузка

  • IPv6 для загрузки PXE
  • Альтернативная загрузка
  • Блокировка порядка загрузки
  • USB-загрузка

Интерфейсная страница UEFI

  • Устройства
  • Загрузка
  • Дата и время
  • EnableOSMigration (только Surface Hub 2S)

Пароль UEFI

UEFI — это расширенный интерфейс встроенного ПО, который заменяет традиционный BIOS, обеспечивая повышенную безопасность, более быстрое время загрузки и поддержку современного оборудования. Установка пароля UEFI добавляет дополнительный уровень защиты, предотвращая несанкционированное изменение параметров встроенного ПО. Обязательно установите надежный пароль и сохраните его в безопасном виде.

Совет

Дополнительные сведения о последствиях настройки параметров SEMM для безопасности см. в статье Управление параметрами UEFI с помощью SEMM и UEFI SEMM.

Скачивание драйверов и встроенного ПО Surface IT Toolkit и Surface Hub 2S

На отдельном компьютере выполните следующие действия.

  1. Скачайте surface IT Toolkit, который включает в себя конфигуратор Surface UEFI.
  2. Следуйте инструкциям по установке в разделе Начало работы с SURFACE IT Toolkit.

Подготовка сертификата SEMM

Прежде чем использовать конфигуратор UEFI в первый раз, необходимо подготовить сертификат для защиты пакета SEMM:

  • Крупные предприятия. Создание сертификатов с помощью инфраструктуры безопасности вашей организации.
  • Средние предприятия. Рассмотрите возможность получения сертификатов от доверенных поставщиков партнеров, особенно если у вас нет выделенных ресурсов ит-безопасности.
  • Самозаверяющие сертификаты. Для небольших настроек можно создать самозаверяющий сертификат с помощью PowerShell. Дополнительные сведения см. в руководстве по самозаверяющем сертификату и Требования к сертификатам в режиме управления Surface Enterprise.

Warning

Чтобы отменить регистрацию устройства в SEMM и восстановить контроль над параметрами UEFI, необходимо иметь сертификат SEMM, используемый для регистрации устройства. Если этот сертификат потерян или поврежден, отменить регистрацию будет невозможно. Убедитесь, что вы создаете резервную копию и защитите сертификат SEMM.

Создание пакета SEMM

Чтобы создать пакет SEMM для Surface Hub, выполните следующие действия с помощью набора средств ИТ-отделов Surface на отдельном компьютере.

  1. Откройте Surface IT Toolkit, выберите UEFI Configurator, а затем — Настроить устройства.

    Снимок экрана: начальный экран конфигуратора Surface UEFI.

  2. На странице Конфигурация и сертификация устройства настройте следующие элементы, а затем нажмите кнопку Далее:

    • Выберите Сборка развертывания: выберите DFI.
    • Импорт защиты сертификатов. Выберите Добавить, найдите сертификат (PFX-файл) и введите связанный пароль.
    • Выберите Тип пакета DFI: выберите Пакет конфигурации.
    • Выберите Устройство: выберите Surface Hub, а затем — Surface Hub 2S или Surface Hub 3.

    Снимок экрана: конфигурация и сертификация устройств.

  3. Перейдите на страницу Параметры конфигурации устройства:

    Снимок экрана: компоненты и дополнительные параметры для включения или отключения.

    • В разделе Пароль UEFI выберите Задать или Изменить пароль, а затем введите и подтвердите пароль.

    Снимок экрана: установка пароля UEFI для Surface Hub.

  4. Вставьте USB-накопитель в компьютер. Диск будет отформатирован, и все файлы на нем будут удалены. Выберите Создать , чтобы создать пакет SEMM.

  5. По завершении обратите внимание на последние два символа отпечатка сертификата, а затем нажмите кнопку Готово. Пакет SEMM с именем DfciUpdate.dfi теперь готов к использованию.

    Снимок экрана: успешное создание пакета SEMM для Surface Hub 2S.

Применение пакета SEMM к Surface Hub 2S или Surface Hub 3

Чтобы применить пакет SEMM и зарегистрировать Surface Hub в SEMM, выполните следующие действия.

  1. Вставьте USB-накопитель с пакетом SEMM в порт USB-A на Surface Hub.
  2. Отключите Surface Hub.
  3. Нажмите и удерживайте кнопку Увеличения громкости , а затем нажмите кнопку Питания . Удерживайте том до тех пор, пока не появится меню UEFI.

Подробнее