Deze Dell KB biedt richtlijnen voor productspecifieke stappen om AQ-gecertificeerde servers met beveiligde kern te configureren naar een volledig ingeschakelde status.

Toepasselijke producten

De configuratierichtlijnen zijn van toepassing op de volgende Dell EMC serverproducten.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 ("EPYCTM 7003 serie processors")
• PowerEdge R7525 ("EPYCTM 7003 serie processors")
• PowerEdge C6525 ("EPYCTM 7003 serie processors")
• Dell EMC AX-7525 (alleen processors uit de EPYCTM 7003-serie)
• Dell EMC AX-750
• Dell EMC AX-650

BIOS-instellingen

Hieronder vindt u de minimale versie van het BIOS voor het specifieke platform dat moet worden gebruikt voor het inschakelen van Secure Core. 
Deze kunt u verkrijgen op de Dell supportpagina .
 

Platformnaam	Minimale BIOS-versie
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. Veilig opstarten moet zijn ingeschakeld
Veilig opstarten moet worden ingesteld via de BIOS-instellingen op Systeem-BIOS-instellingen/Systeembeveiliging.


    3.  De server moet beschikken over TPM 2.0 en deze moet zijn ingeschakeld met de vereiste instellingen zoals hieronder vermeld.

• TPM-beveiliging op moet worden ingesteld als AAN bij System BIOS Settings\System Security 
• Andere instellingen moeten worden ingesteld bij BIOS-instellingen\Systeembeveiliging\geavanceerde TPM-instellingen.
  • TPM PPI Bypass en TPM PPI Bypass Clear moeten zijn ingeschakeld.
  • Selectie van TPM-algoritme moet worden ingesteld op "SHA 256"
• Minimum FW-versie van TPM:
  • TPM 2.0 – 7.2.2.0
  • CTPM 7.51.6405.5136

       4.    DRTM (Dynamic Root of Trust for Measurement) moet zijn ingeschakeld in het BIOS. Voor Intel Server moet DRTM zijn ingeschakeld door de onderstaande BIOS-instellingen in te schakelen: -

• Direct Memory Access Protection" bij System BIOS Settings\Processor Settings. 
• "Intel(R) TXT" bij System BIOS Settings\System Security.

    Voor de AMD-server moet DRTM zijn ingeschakeld door de onderstaande BIOS-instellingen in te schakelen.

• "Direct Memory Access Protection" bij System BIOS Settings\Processor Settings.
• "AMD DRTM" bij System BIOS Settings\System Security

    5.    IOMMU en Virtualization Extension moeten zijn ingeschakeld in het BIOS. Voor Intel Server moeten IOMMU en Virtualization Extension worden ingeschakeld door "Virtualization Technology" in te schakelen bij System BIOS Settings \Processor Settings. 


Voor AMD Server moeten IOMMU en Virtualization Extension zijn ingeschakeld met de onderstaande BIOS-instellingen: -

• "Virtualization Technology" bij System BIOS Settings \Processor Settings
• IOMMU-ondersteuning bij System BIOS Settings \Processor Settings.

      Voor de AMD-server schakelt u bij de System BIOS Settings \Processor settings Secure Memory Encryption (SME) en Transparent Secure Memory Encryption (TSME) in. "

Instellingen besturingssysteem 

Platformspecifieke drivers installeren 

Voor Intel servers, chipsetdriver (versie: 10.1.18793.8276 en hoger) moeten worden geïnstalleerd. Voor AMD-servers wordt de chipsetdriver (versie: 2.18.30.202 en hoger) moeten worden geïnstalleerd. (AMD DRTM-driver maakt deel uit van dit driverpakket.). Deze drivers kunnen worden gedownload van https://www.dell.com/support/home/?app=products Voer>
de modelnaam van de server in, ga naar het gedeelte 'Drivers en downloads', kies het besturingssysteem als Windows Server 2022 LTSC en zoek naar de chipsetdriver.
Voor PowerEdge R650 moeten bijvoorbeeld Intel Lewisburg C62x Series Chipset Drivers worden geïnstalleerd.
                 Voor de Poweredge R6525 moet de "AMD SP3 MILAN Series Chipset driver" worden geïnstalleerd.

Registersleutels voor VBS, HVCI en System Guard configureren

Voer het volgende uit vanuit de opdrachtprompt:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

 

De beveiligde core-status bevestigen 

Volg de onderstaande stappen om te controleren of alle Secured-core-functies correct zijn geconfigureerd en worden uitgevoerd:

TPM 2.0

Voer get-tpm uit in een PowerShell en bevestig het volgende:

Secure boot, Kernel DMA Protection, VBS, HVCI en System Guard

Start msinfo32 vanuit de opdrachtprompt en controleer de volgende waarden:

• "Secure Boot State" is "Aan"
• "Kernel DMA Protection" is "On"
• "Virtualization-Based Security" wordt "uitgevoerd"
• "Virtualization-Based Security Services Running" bevat de waarde "Hypervisor forced Code Integrity" en "Secure Launch"

Support

Neem voor hardware- en firmwareproblemen contact op met DellSupport Neem voor problemen met het besturingssysteem en SW contact op met Microsoft Support