使用 SEMM 保护和管理 Surface Hub

  • 项目
  • 适用于:
    Surface Hub 2S, Surface Hub 3

使用 Microsoft Surface 企业管理模式 (SEMM) 管理统一可扩展固件接口 (UEFI) 一个或多个 Surface Hub 设备上的设置。

管理组件

SEMM 允许你控制 Surface Hub 上的各种硬件组件,包括:

  • 板载音频
  • 有线局域网
  • 蓝牙
  • WLAN
  • 占用传感器

高级设置

使用 Surface IT 工具包中包含的 Surface UEFI 配置器,可以启用或禁用以下 UEFI 设置:

安全性

  • SMT (同时多线程)

靴子

  • 用于 PXE 启动的 IPv6
  • 备用启动
  • 启动顺序锁
  • USB 启动

UEFI Front Page

  • 设备
  • 靴子
  • 日期/时间
  • EnableOSMigration (Surface Hub 2S 仅)

UEFI 密码

UEFI 是一种高级固件接口,可取代传统 BIOS,提供更高的安全性、更快的启动时间和对新式硬件的支持。 设置 UEFI 密码可防止对固件设置进行未经授权的更改,从而增加额外的保护层。 请务必设置强密码并安全地存储它。

提示

有关配置 SEMM 设置的安全影响的详细信息,请参阅 使用 SEMM 管理 UEFI 设置SEMM UEFI 设置参考

下载 Surface IT 工具包和 Surface Hub 2S 驱动程序和固件

在单独的电脑上,请执行以下步骤:

  1. 下载 Surface IT 工具包,其中包括 Surface UEFI 配置器
  2. 按照 Surface IT Toolkit 入门中的安装说明进行操作。

准备 SEMM 证书

首次使用 UEFI 配置器之前,需要准备证书来保护 SEMM 包:

  • 大型企业:使用组织的安全基础结构生成证书。
  • 中型企业:考虑从受信任的合作伙伴提供商获取证书,尤其是在缺少专用 IT 安全资源的情况下。
  • 自签名证书:对于较小的设置,可以使用 PowerShell 生成自签名证书。 有关详细信息,请参阅 自签名证书指南Surface 企业管理模式证书要求

警告

若要从 SEMM 取消注册设备并还原对 UEFI 设置的控制,必须具有用于注册设备的 SEMM 证书。 如果此证书丢失或损坏,则无法取消注册。 确保备份并保护 SEMM 证书。

创建 SEMM 包

若要为 Surface Hub 创建 SEMM 包,请在单独的电脑上使用 Surface IT 工具包执行以下步骤:

  1. 打开 Surface IT Toolkit,选择“ UEFI 配置器”,然后选择“ 配置设备”。

    Surface UEFI 配置器启动屏幕的屏幕截图。

  2. 在“设备配置和认证”页上,配置以下项,然后选择“ 下一步”:

    • 选择“部署生成”:选择 “DFI”。
    • 导入证书保护:选择“ 添加”,浏览证书 (.pfx 文件) ,并输入关联的密码。
    • 选择“DFI 包类型:选择 配置包”。
    • 选择“设备”:选择 “Surface Hub”,然后选择“ Surface Hub 2S ”或 “Surface Hub 3”。

    设备配置和认证的屏幕截图。

  3. 导航到“设备配置设置”页:

    显示要打开或关闭的组件和高级设置的屏幕截图。

    • “UEFI 密码”下,选择“ 设置或修改密码”,然后输入并确认密码。

    为 Surface Hub 设置 UEFI 密码的屏幕截图。

  4. 将 U 盘插入电脑。 驱动器将格式化,并且将擦除其上的所有文件。 选择“ 创建 ”以生成 SEMM 包。

  5. 完成后,记下证书指纹的最后两个字符,然后选择“ 完成”。 名为 DfciUpdate.dfi 的 SEMM 包现已可供使用。

    显示成功为 Surface Hub 2S 创建 SEMM 包的屏幕截图。

将 SEMM 包应用到 Surface Hub 2S 或 Surface Hub 3

若要应用 SEMM 包并将 Surface Hub 注册到 SEMM,请执行以下操作:

  1. 将带有 SEMM 包的 USB 驱动器插入 Surface Hub 上的 USB-A 端口。
  2. 关闭 Surface Hub。
  3. 长按“ 调高音量 ”按钮,然后按 “电源 ”按钮。 一直按住 音量, 直到出现 UEFI 菜单。

了解详细信息