이 Dell KB는 보안 코어 서버 AQ 인증 서버를 완전히 활성화된 상태로 구성하는 제품별 단계에 대한 지침을 제공합니다.
해당 제품
구성 지침은 다음 Dell EMC 서버 제품에 적용됩니다.
- PowerEdge R750
- PowerEdge R750xa
- PowerEdge R650
- PowerEdge MX750c
- PowerEdge C6520
- PowerEdge R750xs
- PowerEdge R650xs
- PowerEdge R450
- PowerEdge R550
- PowerEdge T550
- PowerEdge XR11
- PowerEdge XR12
- PowerEdge R6525("EPYCTM 7003 series 프로세서")
- PowerEdge R7525 ("EPYCTM 7003 series 프로세서")
- PowerEdge C6525("EPYCTM 7003 Series 프로세서")
- Dell EMC AX-7525(EPYCTM 7003 Series 프로세서만 해당)
- Dell EMC AX-750
- Dell EMC AX-650
BIOS 설정
다음은 보안 코어를 활성화하는 데 사용할 특정 플랫폼에 대한 최소 BIOS 버전입니다.
이 내용은 Dell 지원 페이지에서 확인할 수 있습니다.
플랫폼 이름 |
최소 BIOS 버전 |
PowerEdge R750 |
1.3.8 |
PowerEdge R750xa |
1.3.8 |
PowerEdge R650 |
1.3.8 |
PowerEdge MX750c |
1.3.8 |
PowerEdge C6520 |
1.3.8 |
PowerEdge R750xs |
1.3.8 |
PowerEdge R650xs |
1.3.8 |
PowerEdge R450 |
1.3.8 |
PowerEdge R550 |
1.3.8 |
PowerEdge R6525 |
2.3.6 |
PowerEdge R7525 |
2.3.6 |
PowerEdge C6525 |
2.3.6 |
Dell EMC AX-7525 |
2.3.6 |
Dell EMC AX-750 |
1.3..8 |
Dell EMC AX-650 |
1.3.8 |
참고:시스템을 UEFI 모드로 부팅해야 합니다. UEFI 모드는 System BIOS Settings/Boot Settings의 BIOS 설정에서 설정해야 합니다.
2. 보안 부팅을 활성화해야 함: 시스템 BIOS 설정/시스템 보안의 BIOS 설정에서 보안 부팅을 설정해야
합니다.
3. 서버에 TPM 2.0이 있어야 하며 아래에 언급된 대로 필수 설정으로 활성화되어 있어야 합니다.
- TPM Security는 System BIOS Settings\System Security에서 ON으로 설정해야 합니다.
- 기타 설정은 BIOS Settings\System Security\TPM Advanced Settings에서 설정해야 합니다.
- TPM PPI 무시 및 TPM PPI 무시 지우기를 활성화해야 합니다.
- TPM 알고리듬 선택을 "SHA 256"으로 설정해야 합니다.
- TPM의 최소 FW 버전:
- TPM 2.0 – 7.2.2.0
- CTPM 7.51.6405.5136
4. BIOS에서 DRTM(Dynamic Root of Trust for Measurement)을 활성화해야 합니다. 인텔 서버의 경우 아래 BIOS 설정을 활성화하여 DRTM을 활성화해야 합니다.
- 직접 메모리 액세스 보호"를 참조하십시오.
- System BIOS Settings\System Security의 "Intel(R) TXT".
AMD 서버의 경우 아래 BIOS 설정을 활성화하여 DRTM을 활성화해야 합니다.
- System BIOS Settings\Processor Settings의 "Direct Memory Access Protection"
- System BIOS Settings\System Security의 "AMD DRTM"
5. BIOS에서 IOMMU 및 가상화 확장을 활성화해야 합니다. 인텔 서버의 경우 IOMMU 및 가상화 확장은 시스템 BIOS 설정\프로세서 설정에서 "가상화 기술"을 활성화하여 활성화해야 합니다.
AMD 서버의 경우 IOMMU 및 가상화 확장은 아래 BIOS 설정으로 활성화해야 합니다.
- System BIOS Settings\Processor Settings의 "가상화 기술"
- IOMMU 지원은 System BIOS Settings\Processor Settings에서 확인할 수 있습니다.
AMD 서버의 경우 System BIOS Settings\Processor settings에서 SME(Secure Memory Encryption) 및 TSME(Transparent Secure Memory Encryption)를 활성화합니다. "을 입력합니다.
OS 설정
플랫폼별 드라이버 설치
인텔 서버의 경우 칩셋 드라이버(버전: 10.1.18793.8276 이상)이 설치되어 있어야 합니다. AMD 서버의 경우 칩셋 드라이버(버전: 2.18.30.202 이상)을 설치해야 합니다. (AMD DRTM 드라이버는 이 드라이버 패키지의 일부입니다.) 이 드라이버는 https://www.dell.com/support/home/?app=products 에서 다운로드할 수 있습니다. 서버>
모델 이름을 입력하고 "드라이버 및 다운로드" 섹션으로 이동하여 OS를 Windows Server 2022 LTSC로 선택하고 칩셋 드라이버를 찾습니다.
예를 들어 PowerEdge R650의 경우 "Intel Lewisburg C62x Series 칩셋 드라이버"를 설치해야 합니다.
PowerEdge R6525의 경우 "AMD SP3 MILAN Series 칩셋 드라이버"를 설치해야 합니다.
VBS, HVCI 및 System Guard에 대한 레지스트리 키 구성
명령 프롬프트에서 다음을 실행합니다.-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "잠김" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "활성화" /t REG_DWORD /d 1 /f
참고:이러한 명령을 실행한 후 시스템은 재부팅 주기로 전환되어야 합니다. 위의 작업은 아래 PowerShell 스크립트를 실행하여 수행할 수 있습니다.
보안 코어 상태 확인
모든 보안 코어 기능이 올바르게 구성되고 실행되고 있는지 확인하려면 다음 단계를 수행합니다.
TPM 2.0
PowerShell에서 get-tpm을 실행하고 다음을 확인합니다.
보안 부팅, 커널 DMA 보호, VBS, HVCI 및 시스템 가드
명령 프롬프트에서 msinfo32를 시작하고 다음 값을 확인합니다.
- "Secure Boot State"가 "On"입니다.
- "Kernel DMA Protection"이 "On"입니다.
- "Virtualization-Based Security"가 "실행 중"입니다.
- "실행 중인 가상화 기반 보안 서비스"에는 "하이퍼바이저 적용 코드 무결성" 및 "보안 실행" 값이 포함됩니다.
지원
HW 및 펌웨어 문제의 경우
Dell지원에 문의 OS 및 SW 문제는
Microsoft 지원
에 문의하십시오.