HP Onboard Administrator Benutzerhandbuch
Seite 27
Zugriffs auf Onboard Administrator finden Sie unter „Konfigurieren des HP BladeSystem c7000
Gehäuses und der Gehäusegeräte“ (
„Konfigurieren des HP BladeSystem c7000-Gehäuses und von
Gehäusekomponenten“ auf Seite 103
●
Überprüfen der physischen Verkabelung
An dem BladeSystem-Gehäuse können viele Kabel angeschlossen sein. Die an die
Verbindungsmodul-Switch-Module angeschlossenen Kabel sind im Allgemeinen für
Produktionsnetzwerk-Datenverkehr vorgesehen. Alle anderen Kabel und Ports sind im
Allgemeinen für den Datenverkehr des Gehäuse-Management-Netzwerks vorgesehen und
sollten sorgfältig inspiziert werden.
◦
Stellen Sie sicher, dass Gehäuse-Link-Ports nur mit Gehäuse-Link-Ports anderer Gehäuse
verbunden sind.
◦
Untersuchen Sie die seriellen Onboard Administrator-Ports auf unbefugte Verbindungen.
◦
Untersuchen Sie die Onboard Administrator-USB-Ports auf unbefugte Verbindungen.
●
Sichern des Insight Display-LCD-Bedienfeldes
Das Insight Display-LCD-Bedienfeld ermöglicht die Konfiguration und Überwachung wichtiger
Onboard Administrator-Einstellungen, z. B. die Konfiguration der Netzwerkadresse und das Ein-/
Ausschalten von Server Blade-Einschüben, um nur einige kritische BladeSystem-Funktionen zu
nennen. HP empfiehlt, das Insight Display-LCD-Bedienfeld insbesondere in einem
Rechenzentrum mit mehreren Mietern durch eine PIN-Nummer zu schützen. Zudem schreiben
bestimmte behördliche oder branchenspezifische Normen wie z. B. PCI möglicherweise vor,
dass alle Schnittstellen durch eine PIN-Nummer bzw. ein Kennwort zu schützen sind, auch
wenn sie keinen physischen Zugriff erfordern.
Die Tasten des Insight Display-LCD-Bedienfelds sind im FIPS-Modus ON/DEBUG
standardmäßig gesperrt. Weitere Informationen finden Sie unter „Registerkarte ‚FIPS‘“
(
Registerkarte „FIPS“ auf Seite 129
).
Festlegen der Werkseinstellungen vor der Hardware-Bereitstellung
Durch redundante Hardware soll sichergestellt werden, dass alle Einstellungen vorhanden sind,
so dass das Onboard Administrator-Standby-Modul bei einem Ausfall des aktiven Onboard
Administrator-Moduls die aktive Rolle übernehmen kann. Dies bedeutet, dass Informationen des
lokalen Benutzerkontos auf dem Onboard Administrator-Standby-Modul dupliziert werden. Wenn
„Enclosure IP Mode“ (Gehäuse-IP-Modus) konfiguriert ist, dann wird der private Schlüssel, der für die
SSL-Kommunikation verwendet wird, auch auf dem Onboard Administrator-Standby-Modul
gespeichert. (Der Gehäuse-IP-Modus ist standardmäßig nicht konfiguriert.) Je nach den
Sicherheitsanforderungen für das Rechenzentrum, sollten kritische Sicherheitsparameter in der
Hardware gelöscht werden, bevor ein Gehäuse oder die Komponenten innerhalb des Gehäuses,
wie Onboard Administrator, VC und iLO für BladeSystem außer Betrieb genommen oder erneut
bereitgestellt werden.
Um sicherzustellen, dass alle kritischen Sicherheitsparameter gelöscht werden, stellen Sie die
Werkseinstellungen mit SET FACTORY wieder her. Zudem kann das Administrator-Kennwort auf die
Werkseinstellung „toe-tag“ eingestellt werden. Dazu kann das Kennwort manuell geändert oder ein
serielles Kabel angeschlossen und das Verfahren für vergessene Kennwörter aufgerufen werden.
Anweisungen finden Sie unter „Wiederherstellen des Administratorkennwortes“ (
Administratorkennworts auf Seite 15
Isolieren des Management-Netzwerks
Ganz gleich wie sicher ein Gerät zu sein scheint, ist es immer wieder mit neuen Attacken und
Sicherheitsrisiken zu rechnen. HP rät als vorbeugende Maßnahme in Übereinstimmung mit den
optimalen Vorgehensweisen der Branche sehr dazu, das Management-Netzwerk vom
DEWW
Sicherheitshinweise 17