Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Upozorňovací příručka k serverům Dell EMC PowerEdge pro servery se zabezpečeným jádrem

Summary: Tento dokument obsahuje pokyny k povolení serverů se zabezpečeným jádrem ve vybraných serverech Dell EMC PowerEdge.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Tato znalostní databáze Dell obsahuje pokyny pro postup konfigurace serverů se zabezpečeným jádrem a certifikací AQ do stavu plné povolenosti.

Použitelné produkty

Pokyny ke konfiguraci platí pro následující serverové produkty Dell EMC.
  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 ("procesory EPYCTM řady 7003")
  • PowerEdge R7525 ("procesory EPYCTM řady 7003")
  • PowerEdge C6525 ("procesory EPYCTM řady 7003")
  • Dell EMC AX-7525 (pouze procesory EPYCTM řady 7003)
  • Dell EMC AX-750
  • Dell EMC AX-650

Nastavení systému BIOS

Níže je uvedena minimální verze systému BIOS pro konkrétní platformu, která se má použít k povolení zabezpečeného jádra. 
To lze získat na stránce podpory společnosti Dell .
 
Název platformy Minimální verze systému BIOS
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3..8
Dell EMC AX-650 1.3.8
 
POZNÁMKA:Systém musí být spuštěn v režimu UEFI. Režim UEFI je třeba nastavit v nastavení systému BIOS v části Nastavení systému BIOS / Nastavení spouštění.

Nastavení systému BIOS – režim spouštění UEFI
     
       2. Zabezpečené spouštění musí být povoleno
: Zabezpečené spouštění musí být nastaveno v nastavení systému BIOS na stránce Nastavení systému BIOS / Zabezpečení systému.
Nastavení systému BIOS – zabezpečení systému

    3.  Server musí mít modul TPM 2.0 a musí mít povolen požadovaná nastavení, jak je uvedeno níže.
  • V části Nastavení systému BIOS / Zabezpečení systému musí být možnost TPM Security at nastavena na hodnotu ON 
  • Další nastavení je nutné provést v části Nastavení systému BIOS\Zabezpečení systému\Pokročilá nastavení TPM.
    • Musí být povolena funkce Přemostění TPM PPI a vymazání vymazání přemostění TPM PPI.
    • Výběr algoritmu čipu TPM by měl být nastaven na hodnotu "SHA 256".
  • Minimální verze firmwaru modulu TPM:
    • TPM 2.0 – 7.2.2.0
    • CTPM 7.51.6405.5136
Pokročilé nastavení modulu TPM

Pokročilé nastavení modulu TPM

       4.    V systému BIOS je nutné povolit funkci DRTM (Dynamic Root of Trust for Measurement). U serverů Intel by měl být nástroj DRTM povolen povolením níže uvedených nastavení systému BIOS:
  • Direct Memory Access Protection" v nastavení systému BIOS / nastavení procesoru. 
  • "Intel(R) TXT" v nastavení systému BIOS/Zabezpečení systému.
Nastavení procesoru
Nastavení TXT

    V případě serverů AMD je třeba povolit funkci DRTM povolením v níže uvedených nastaveních systému BIOS.
  • "Direct Memory Access Protection" v nastavení systému BIOS Settings/Processor Settings.
  • "AMD DRTM" v nabídce System BIOS Settings\System Security
AMD DRTM

    5.    IOMMU a Virtualization Extension musí být povoleny v systému BIOS. V případě serverů Intel je třeba povolit IOMMU a Virtualization Extension povolením možnosti "Virtualization Technology" v nabídce System BIOS Settings\Processor Settings. 
Technologie Intel Virtualization

V případě serveru AMD by měly být povoleny funkce IOMMU a Virtualization Extension s níže uvedenými nastaveními systému BIOS:
  • "Virtualization Technology" v nastaveních systému BIOS/Nastavení procesoru
  • Podpora IOMMU v nastavení systému BIOS Settings \Processor Settings.

AMD IOMMU

      U serveru AMD povolte v části Nastavení systému BIOS \Nastavení procesoru možnost Secure Memory Encryption (SME) a Transparent Secure Memory Encryption (TSME). “.
Bezpečné šifrování paměti (SME) a transparentní SME (TSME)

OS Settings 

Instalace ovladačů specifických pro konkrétní platformu 

V případě serverů Intel ovladač čipové sady (verze: 10.1.18793.8276 a vyšší). Pro servery AMD ovladač čipové sady (verze: 2.18.30.202 a vyšší). (Ovladač AMD DRTM je součástí tohoto balíčku ovladačů.) Tyto ovladače lze stáhnout z https://www.dell.com/support/home/?app=products –>
Zadejte název modelu serveru, přejděte do části "Ovladač a soubory ke stažení", vyberte OS jako Windows Server 2022 LTSC a vyhledejte ovladač čipové sady.
Příklad: Pro server PowerEdge R650 je třeba nainstalovat "Ovladače čipové sady Intel Lewisburg řady C62x".
                 Pro server PowerEdge R6525 by měl být nainstalován ovladač čipové sady AMD SP3 MILAN Series.

Konfigurace klíčů registru pro VBS, HVCI a funkci System Guard

Z příkazového řádku spusťte následující příkaz:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Uzamčeno" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Povoleno" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "uzamčeno" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Povoleno" /t REG_DWORD /d 1 /f

POZNÁMKA:Po spuštění těchto příkazů by měl systém přejít do cyklu restartování. Výše uvedené operace lze provést spuštěním níže uvedeného skriptu PowerShell.
 

Potvrzení stavu zabezpečeného jádra 

Pokud chcete ověřit, že jsou všechny funkce zabezpečeného jádra správně nakonfigurované a spuštěné, postupujte podle následujících kroků:

TPM 2.0

Spusťte get-tpm v PowerShellu a potvrďte následující:
Získání modulu TPM

Zabezpečené spouštění, ochrana Kernel DMA, VBS, HVCI a ochrana systému

Z příkazového řádku spusťte msinfo32 a potvrďte následující hodnoty:

  • Stav "Secure Boot State" je "On"
  • "Kernel DMA Protection" je "On"
  • "Virtualization-Based Security" je spuštěno.
  • "Virtualization-Based Security Services Running" obsahuje hodnoty "Hypervisor Forced Code Integrity" a "Secure Launch"
12.png

13.png

Podpora

V případě problémů s hardwarem a firmwarem kontaktujte podporu společnosti Dell. V případě problémů s operačním systémem a softwarem se obraťte na podporu
společnosti Microsoft.

Affected Products

Microsoft Windows Server 2022
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 31 Jan 2022
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.