Bu Dell KB, Güvenli Çekirdekli Sunucular AQ sertifikalı sunucuları tam etkin bir duruma yapılandırmak için ürüne özel adımlar için bir rehberlik sağlar.

Uygulanabilir ürünler

Yapılandırma kılavuzu aşağıdaki Dell EMC sunucu ürünleri için geçerlidir.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 ("EPYCTM 7003 serisi işlemciler")
• PowerEdge R7525 ("EPYCTM 7003 serisi işlemciler")
• PowerEdge C6525 ("EPYCTM 7003 serisi işlemciler")
• Dell EMC AX-7525 (yalnızca EPYCTM 7003 serisi işlemciler)
• Dell EMC AX-750
• Dell EMC AX-650

BIOS Ayarları

Aşağıda, güvenli çekirdeği etkinleştirmek için kullanılacak belirli bir platform için minimum BIOS sürümü verilmiştir. 
Bu, Dell destek sayfasından edinilebilir.
 

Platform Adı	Minimum BIOS Sürümü
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. Güvenli Önyükleme etkinleştirilmelidir
Güvenli Önyükleme, Sistem BIOS Ayarları/Sistem Güvenliği konumundaki BIOS ayarlarında ayarlanmalıdır.


    3.  Sunucuda TPM 2.0 olmalı ve aşağıda belirtildiği gibi gerekli ayarlarla etkinleştirilmelidir.

• TPM Güvenliği konumu, Sistem BIOS Ayarları\Sistem Güvenliği bölümünde AÇIK olarak ayarlanmalıdır 
• Diğer Ayarlar, BIOS Ayarları\Sistem Güvenliği\TPM Gelişmiş Ayarlar bölümünde ayarlanmalıdır.
  • TPM PPI Atlama ve TPM PPI Atlama Temizleme etkinleştirilmelidir.
  • TPM Algoritma Seçimi "SHA 256" olarak ayarlanmalıdır
• TPM'nin Minimum FW Sürümü:
  • TPM 2.0 - 7.2.2.0
  • CTPM 7.51.6405.5136

       4.    DRTM (Ölçüm için Dinamik Güven Kökü) BIOS'ta etkinleştirilmelidir. Intel sunucusu için, aşağıdaki BIOS Ayarları etkinleştirilerek DRTM etkinleştirilmelidir:-

• Sistem BIOS Ayarları\İşlemci Ayarları nda "Doğrudan Bellek Erişim Koruması". 
• Sistem BIOS Ayarları\Sistem Güvenliği bölümünde "Intel(R) TXT".

    AMD sunucusunda, aşağıdaki BIOS Ayarları etkinleştirilerek DRTM etkinleştirilmelidir.

• Sistem BIOS Ayarları\İşlemci Ayarları nda "Doğrudan Bellek Erişim Koruması".
• Sistem BIOS Ayarları\Sistem Güvenliği bölümünde "AMD DRTM"

    5.    IOMMU ve Sanallaştırma Uzantısı BIOS'ta etkinleştirilmelidir. Intel Server IOMMU ve Sanallaştırma Uzantısı için, Sistem BIOS Ayarları \İşlemci Ayarları konumunda "Sanallaştırma Teknolojisi" etkinleştirilerek etkinleştirilmelidir. 


AMD Server için IOMMU ve Sanallaştırma Uzantısı aşağıdaki BIOS ayarlarıyla etkinleştirilmelidir:

• Sistem BIOS Ayarları \İşlemci Ayarları konumunda "Sanallaştırma Teknolojisi"
• Sistem BIOS Ayarları \İşlemci Ayarları konumunda IOMMU Desteği.

      AMD sunucusu için Sistem BIOS Ayarları \İşlemci ayarlarında Güvenli Bellek Şifrelemesi'ni (SME) ve Şeffaf Güvenli Bellek Şifrelemesi'ni (TSME) etkinleştirin. )

OS Settings (OS Ayarları) 

Platforma özel sürücüleri yükleyin 

Intel Sunucular için, yonga seti sürücüsü (sürüm: 10.1.18793.8276 ve üzeri) yüklenmelidir. AMD Sunucuları için, Yonga Seti sürücüsü (sürüm: 2.18.30.202 ve üzeri) yüklenmelidir. (AMD DRTM sürücüsü bu sürücü paketinin bir parçasıdır.). Bu sürücüler https://www.dell.com/support/home/?app=products adresinden indirilebilir ->
Sunucu model adını girin, "Sürücü ve İndirmeler" bölümüne gidin, Windows Server 2022 LTSC olarak işletim sistemini seçin ve yonga seti sürücüsünü arayın.
Örnek, PowerEdge R650 için "Intel Lewisburg C62x Serisi Yonga Seti Sürücüleri" yüklenmelidir.
                 PowerEdge R6525 için "AMD SP3 MILAN Serisi Yonga Seti sürücüsü" yüklenmelidir.

VBS, HVCI ve System Guard için kayıt defteri anahtarlarının yapılandırılması

Komut isteminden aşağıdakileri çalıştırın:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

 

Güvenli çekirdek durumunu onaylayın 

Tüm Güvenli çekirdek özelliklerinin doğru şekilde yapılandırıldığını ve çalıştığını onaylamak için aşağıdaki adımları izleyin:

TPM 2.0

PowerShell'de get-tpm komutunu çalıştırın ve aşağıdakileri onaylayın:

Güvenli önyükleme, Çekirdek DMA Koruması, VBS, HVCI ve Sistem Koruması

Komut isteminden msinfo32'yi başlatın ve aşağıdaki değerleri onaylayın:

• Secure Boot State" "On" (Güvenli Önyükleme Durumu)
• Çekirdek DMA Koruması" "Açık"
• "Sanallaştırma Tabanlı Güvenlik" "Çalışıyor"
• Virtualization-Based Security Services Running", "Hypervisor tarafından zorunlu kılınan Code Integrity" ve "Secure Launch" değerini içerir

Destek

Donanım ve Bellenim sorunları için Delldesteğine başvurun İşletim sistemi ve yazılım sorunları için Microsoft desteğine
başvurun