本 Dell KB 提供產品特定步驟的指南，以將安全核心伺服器和 AQ 認證伺服器設定為完整啟用狀態。

適用產品

本組態指南適用於下列 Dell EMC 伺服器產品。

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 （「EPYCTM 7003 系列處理器」）
• PowerEdge R7525 （以下稱「EPYCTM 7003 系列處理器」）
• PowerEdge C6525 （以下稱「EPYCTM 7003 系列處理器」）
• Dell EMC AX-7525 （僅限 EPYCTM 7003 系列處理器）
• Dell EMC AX-750
• Dell EMC AX-650

BIOS 設定

以下是特定平台用於啟用安全核心的最低 BIOS 版本。
這可以從 Dell 支援頁面 取得。
 

平台名稱	最低 BIOS 版本
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2.必須啟用
安全開機 必須在系統 BIOS 設定/系統安全性的 BIOS 設定中設定安全開機。


    3.  伺服器必須具有 TPM 2.0，並且必須使用如下所述的所需設置來啟用。

• 在系統 BIOS 設定\系統安全性中，TPM 安全性必須設為開啟 
• 其他設定必須在 BIOS 設定\系統安全性\TPM 進階設定」中設定。
  • 必須啟用 TPM PPI 旁路和 TPM PPI 旁路清除。
  • TPM 演算法選項應設為「SHA 256」
• TPM 的最低韌體版本：
  • TPM 2.0 – 7.2.2.0
  • CTPM 7.51.6405.5136

       4.    必須在 BIOS 啟用 DRTM （用於測量的動態根信任）。若為 Intel 伺服器，應啟用以下 BIOS 設定來啟用 DRTM：

• 直接記憶體存取保護」。 
• 「Intel（R） TXT」位於「系統 BIOS 設定」\「系統安全性」。

    若為 AMD 伺服器，應透過啟用以下 BIOS 設定來啟用 DRTM。

• 在「系統 BIOS 設定」\「處理器設定」中的「直接記憶體存取保護」。
• 「AMD DRTM」位於系統 BIOS 設定\系統安全性

    5.    必須在 BIOS 啟用 IOMMU 和虛擬化擴充功能。若為 Intel 伺服器，應在系統 BIOS 設定\處理器設定中啟用「虛擬化技術」，以啟用 IOMMU 和虛擬化擴充功能。


若為 AMD 伺服器，應使用以下 BIOS 設定啟用 IOMMU 和虛擬化延伸功能：

• 系統 BIOS 設定\處理器設定中的「虛擬化技術」
• 「系統 BIOS 設定」\「處理器設定」中的 IOMMU 支援。

      針對 AMD 伺服器的系統 BIOS 設定\處理器設定，啟用安全記憶體加密 （SME） 和透明安全記憶體加密 （TSME）。」

OS 設定 

安裝平台特定的驅動程式 

若為 Intel 伺服器，晶片組驅動程式 （版本：應安裝 10.1.18793.8276 及更新版本）。若為 AMD 伺服器，晶片組驅動程式 （版本：應安裝 2.18.30.202 及更新版本。（AMD DRTM 驅動程式是此驅動程式套件的一部分。）這些驅動程式可從 https://www.dell.com/support/home/?app=products>
下載，輸入伺服器型號名稱，前往「驅動程式與下載」區段，選擇作業系統作為 Windows Server 2022 LTSC，並尋找晶片組驅動程式。
例如，若為 PowerEdge R650，則應安裝「Intel Lewisburg C62x 系列晶片組驅動程式」。
                 若為 PowerEdge R6525，應安裝「AMD SP3 MILAN 系列晶片組驅動程式」。

設定 VBS、HVCI 和 System Guard 的登錄機碼

從命令提示字元執行下列命令：-
reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “EnableVirtualizationBasedSecurity” /t REG_DWORD /d 1 /f reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “RequirePlatformSecurityFeatures” /t REG_DWORD /d 3 /f reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “Locked” /t REG_DWORD /d 0 /f


註冊新增 “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity” /v “Enabled” /t REG_DWORD /d 1 /f reg 新增 “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity” /v “Locked” /t REG_DWORD /d 0 /f reg 新增 “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios \SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f

 

確認安全核心狀態 

若要確認所有安全核心功能均已正確設定並執行，請執行以下步驟：

TPM 2.0

在 PowerShell 中執行 get-tpm，並確認下列事項：

安全開機、核心 DMA 保護、VBS、HVCI 和系統保護

從命令提示字元啟動 msinfo32，並確認下列值：

• 「Secure Boot State」為「On」
• 「核心 DMA 保護」為「開啟」
• 「虛擬化安全性」正在「執行中」
• 「虛擬化安全性服務執行中」包含值「Hypervisor 強制代碼完整性」和「安全啟動」

支援

若有硬體和韌體問題，請聯絡 Dell支援部門。若有作業系統和軟體問題，請聯絡 Microsoft 支援
部門