Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Guia de ativação de servidores de núcleo seguro nos servidores Dell EMC PowerEdge

Summary: Este documento fornece uma orientação sobre como habilitar servidores de núcleo seguro em servidores Dell EMC PowerEdge selecionados.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Este Dell KB fornece uma orientação para as etapas específicas do produto para configurar servidores de núcleo seguro com certificação AQ para um estado totalmente habilitado.

Produtos aplicáveis

A orientação de configuração aplica-se aos seguintes produtos de servidor da Dell EMC.
  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 ("Processadores EPYCTM série 7003")
  • PowerEdge R7525 ("Processadores EPYCTM série 7003")
  • PowerEdge C6525 ("Processadores EPYCTM série 7003")
  • Dell EMC AX-7525 (somente processadores EPYCTM série 7003)
  • Dell EMC AX-750
  • Dell EMC AX-650

Configurações do BIOS

Veja abaixo a versão mínima do BIOS para uma plataforma específica a ser usada para habilitar o núcleo seguro. 
Isso pode ser obtido na página de suporte da Dell .
 
Nome da plataforma Versão mínima do BIOS
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3..8
Dell EMC AX-650 1.3.8
 
NOTA:O sistema deve ser inicializado no modo UEFI. O modo UEFI deve ser definido nas configurações do BIOS em Configurações do BIOS do sistema/Configurações de inicialização.

Configurações do BIOS do sistema - modo de inicialização UEFI
     
       2. A inicialização segura deve estar ativada
, a inicialização segura deve ser definida nas configurações do BIOS em Configurações do BIOS do sistema/Segurança do sistema.
Configurações do BIOS do sistema - Segurança do sistema

    3.  O servidor deve ter o TPM 2.0 e deve estar ativado com as configurações necessárias, conforme mencionado abaixo.
  • A segurança do TPM em deve ser definida como ON em System BIOS Settings\System Security 
  • Outras configurações devem ser definidas em BIOS Settings\System Security\TPM Advanced Settings.
    • TPM PPI Bypass e TPM PPI Bypass Clear devem estar ativados.
    • A seleção do algoritmo TPM deve ser definida como "SHA 256"
  • Versão mínima de firmware do TPM:
    • TPM 2.0 a 7.2.2.0
    • CTPM 7.51.6405.5136
Configuração avançada do TPM

Configurações avançadas do TPM

       4.    A DRTM (raiz dinâmica de confiança para medição) deve ser ativada no BIOS. Para o servidor Intel, a DRTM deve ser ativada, ativando as configurações abaixo do BIOS:-
  • Direct Memory Access Protection" em System BIOS Settings\Processor Settings. 
  • "Intel(R) TXT" em Configurações do BIOS do sistema\Segurança do sistema.
Configurações do processador
Configurações de TXT

    Para o servidor AMD, a DRTM deve ser ativada, ativando abaixo as configurações do BIOS.
  • "Direct Memory Access Protection" em System BIOS Settings\Processor Settings.
  • "AMD DRTM" em Configurações do BIOS do sistema\Segurança do sistema
AMD DRTM

    5.    IOMMU e extensão de virtualização devem ser ativados no BIOS. Para Intel Server IOMMU e Virtualization Extension devem ser ativados ativando "Virtualization Technology" em System BIOS Settings \Processor Settings. 
Tecnologia de virtualização Intel

Para o servidor AMD, o IOMMU e a extensão de virtualização devem ser ativados com as configurações abaixo do BIOS:
  • "Virtualization Technology" em System BIOS Settings \Processor Settings
  • Suporte a IOMMU em System BIOS Settings \Processor Settings.

AMD IOMMU

      Para o servidor AMD, nas configurações System BIOS Settings\Processor, habilite Secure Memory Encryption (SME) e Transparent Secure Memory Encryption (TSME). "
Secure Memory Encryption (SME) e Transparent SME (TSME)

Configurações do SO 

Instalar drivers específicos da plataforma 

Para servidores Intel, driver do chipset (versão: 10.1.18793.8276 e superior) deve ser instalado. Para servidores AMD, driver do chipset (versão: 2.18.30.202 e superior) deve ser instalado. (O driver AMD DRTM faz parte deste pacote de drivers.). É possível fazer download desses drivers https://www.dell.com/support/home/?app=products ->
Digite o nome do modelo do servidor, acesse a seção "Driver & Downloads", escolha SO como Windows Server 2022 LTSC e procure o driver do chipset.
Por exemplo, para o PowerEdge R650, "Intel Lewisburg C62x Series Chipset Drivers" devem ser instalados.
                 Para o PowerEdge R6525, "AMD SP3 MILAN Series Chipset driver" deve ser instalado.

Configurar chaves de registro para VBS, HVCI e System Guard

Execute o seguinte no prompt de comando:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

NOTA:Depois de executar esses comandos, o sistema deverá iniciar o ciclo de reinicialização. As operações acima podem ser executadas abaixo do script do PowerShell.
 

Confirme o estado de núcleo protegido 

Para confirmar se todos os recursos de núcleo seguro estão configurados e em execução corretamente, siga as etapas abaixo:

TPM 2.0

Execute get-tpm em um PowerShell e confirme o seguinte:
Obter-TPM

Secure boot, Kernel DMA Protection, VBS, HVCI e System Guard

Inicie msinfo32 no prompt de comando e confirme os seguintes valores:

  • "Secure Boot State" é "On"
  • "Kernel DMA Protection" está "On"
  • "Segurança baseada em virtualização" está "Em execução"
  • "Serviços de segurança baseados em virtualização em execução" contém o valor "Hypervisor enforced code integrity" e "Secure Launch"
12.png

13.png

Serviço de suporte

Para problemas de hardware e firmware, entre em contato com o suporte da DellPara problemas de sistema operacional e software, entre em contato com o suporte
da Microsoft

Affected Products

Microsoft Windows Server 2022
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 31 Jan 2022
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.