En esta base de conocimientos de Dell, se proporciona una guía sobre los pasos específicos del producto para configurar los servidores de núcleo protegido con certificación AQ en un estado completamente habilitado.

Productos aplicables

La guía de configuración se aplica a los siguientes productos de servidor Dell EMC.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 ("Procesadores EPYCTM serie 7003")
• PowerEdge R7525 ("Procesadores EPYCTM serie 7003")
• PowerEdge C6525 ("Procesadores EPYCTM serie 7003")
• Dell EMC AX-7525 (solo procesadores EPYCTM serie 7003)
• Dell EMC AX-750
• Dell EMC AX-650

Configuración del BIOS

A continuación, se muestra la versión mínima del BIOS para la plataforma específica que se utilizará para habilitar el núcleo seguro. 
Esto se puede obtener en la página de soporte de Dell .
 

Nombre de la plataforma	Versión mínima del BIOS
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. El arranque seguro debe estar habilitado
El arranque seguro debe estar establecido en la configuración del BIOS en Configuración del BIOS del sistema/Seguridad del sistema.


    3.  El servidor debe tener TPM 2.0 y debe estar habilitado con los ajustes necesarios, como se menciona a continuación.

• La seguridad del TPM se debe establecer como ON en System BIOS Settings\System Security 
• Otras configuraciones se deben establecer en Configuración del BIOS\Seguridad del sistema\Configuración avanzada de TPM.
  • La omisión de PPI del TPM y el borrado de derivación de PPI del TPM deben estar activados.
  • La selección del algoritmo de TPM debe establecerse como "SHA 256".
• Versión mínima de firmware de TPM:
  • TPM 2.0 a 7.2.2.0
  • CTPM 7.51.6405.5136

       4.    La DRTM (raíz dinámica de confianza para la medición) debe estar habilitada en el BIOS. Para el servidor Intel, DRTM debe estar habilitado, habilitando los siguientes ajustes del BIOS:

• Protección de acceso directo a la memoria" en Configuración del BIOS del sistema\Configuración del procesador. 
• "Intel(R) TXT" en System BIOS Settings\System Security.

    En el caso de los servidores AMD, DRTM debe estar habilitado habilitando los siguientes ajustes del BIOS.

• "Protección de acceso directo a la memoria" en Configuración del BIOS del sistema\Configuración del procesador.
• "AMD DRTM" en Ajustes del BIOS del sistema\Seguridad del sistema

    5.    IOMMU y la extensión de virtualización deben estar habilitadas en el BIOS. Para Intel Server IOMMU y la extensión de virtualización se deben habilitar mediante la habilitación de "Tecnología de virtualización" en Configuración del BIOS del sistema\Configuración del procesador. 


Para el servidor AMD, IOMMU y la extensión de virtualización deben estar habilitadas con los siguientes ajustes del BIOS:

• "Virtualization Technology" en System BIOS Settings\Processor Settings
• Compatibilidad con IOMMU en System BIOS Settings\Processor Settings.

      Para el servidor AMD, en los ajustes del BIOS del sistema\ajustes del procesador, active Secure Memory Encryption (SME) y Transparent Secure Memory Encryption (TSME). ”

Configuración del OS 

Instalar controladores específicos de la plataforma 

En el caso de los servidores Intel, el controlador de chipset (versión: 10.1.18793.8276 y superior). En el caso de los servidores AMD, el controlador del chipset (versión: 2.18.30.202 y superior). (El controlador AMD DRTM forma parte de este paquete de controladores). Estos controladores se pueden descargar desde https://www.dell.com/support/home/?app=products>
: ingrese el nombre del modelo del servidor, vaya a la sección "Controladores y descargas", elija el SO como Windows Server 2022 LTSC y busque el controlador del chipset.
Por ejemplo, para PowerEdge R650, se debe instalar "Intel Lewisburg C62x Series Chipset Drivers".
                 Para PowerEdge R6525, se debe instalar "Controlador de chipset AMD SP3 serie MILAN".

Configurar claves de registro para VBS, HVCI y System Guard

Ejecute lo siguiente en el símbolo del sistema:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

 

Confirme el estado de núcleo protegido 

Para confirmar que todas las funciones de Núcleo protegido están correctamente configuradas y en ejecución, siga los pasos que se indican a continuación:

TPM 2.0

Ejecute get-tpm en un PowerShell y confirme lo siguiente:

Arranque seguro, protección DMA del kernel, VBS, HVCI y System Guard

Inicie msinfo32 desde el símbolo del sistema y confirme los siguientes valores:

• "Secure Boot State" es "On"
• "Kernel DMA Protection" está "On"
• "Seguridad basada en virtualización" está "en ejecución"
• "Servicios de seguridad basados en virtualización en ejecución" contiene el valor "Integridad de código impuesta por el hipervisor" e "Inicio seguro"

Soporte

Para problemas de hardware y firmware, comuníquese con el soporte de Dell. Para problemas de SO y software, comuníquese con el soporte de
Microsoft