Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Guide d’activation des serveurs à noyau sécurisé sur les serveurs Dell EMC PowerEdge

Summary: Ce document fournit des conseils sur l’activation des serveurs à cœur sécurisé sur certains serveurs Dell EMC PowerEdge.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Cet article de la base de connaissances Dell fournit des conseils sur les étapes spécifiques au produit pour configurer les serveurs Secured-core certifiés AQ à un état entièrement activé.

Produits applicables

Les instructions de configuration s’appliquent aux produits de serveur Dell EMC suivants.
  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 (« processeurs EPYCTM série 7003 »)
  • PowerEdge R7525 (« processeurs EPYCTM série 7003 »)
  • PowerEdge C6525 (« processeurs EPYCTM série 7003 »)
  • Dell EMC AX-7525 (processeurs EPYCTM série 7003 uniquement)
  • Dell EMC AX-750
  • Dell EMC AX-650

Définition de paramètres BIOS

Vous trouverez ci-dessous la version minimale du BIOS pour la plateforme spécifique à utiliser pour activer Secure Core. 
Vous pouvez l’obtenir à partir de la page de support Dell .
 
Nom de la plate-forme Version minimale du BIOS
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3..8
Dell EMC AX-650 1.3.8
 
NOTE:Le système doit être démarré en mode UEFI. Le mode UEFI doit être défini dans les paramètres du BIOS, sous System BIOS Settings/Boot Settings.

Paramètres du BIOS du système - Mode de démarrage UEFI
     
       2. Secure Boot doit être activé
Il doit être défini dans les paramètres du BIOS sous Paramètres du BIOS du système/Sécurité du système.
Paramètres du BIOS du système - Sécurité du système

    3.  Le serveur doit disposer d’un module TPM 2.0 et il doit être activé avec les paramètres requis, comme indiqué ci-dessous.
  • La sécurité TPM à doit être définie sur ACTIVÉ dans Paramètres du BIOS du système\Sécurité des systèmes 
  • Les autres paramètres doivent être définis dans BIOS Settings\System Security\TPM Advanced Settings.
    • Les options TPM PPI Bypass et TPM PPI Bypass Clear doivent être activées.
    • La sélection de l’algorithme TPM doit être définie sur « SHA 256 »
  • Version minimale du firmware du module TPM :
    • TPM 2.0 – 7.2.2.0
    • CTPM 7.51.6405.5136
Configuration avancée du module TPM

Paramètres TPM Advanced

       4.    La technologie DRTM (Dynamic Trust Trust for Measurement) doit être activée dans le BIOS. Pour les serveurs Intel, DRTM doit être activé en activant les paramètres du BIOS ci-dessous :
  • « Protection de l’accès direct à la mémoire » dans Paramètres du BIOS du système\Paramètres du processeur. 
  • « Intel(R) TXT » dans System BIOS Settings\System Security.
Paramètres du processeur
Paramètres TXT

    Pour les serveurs AMD, DRTM doit être activé en activant les paramètres ci-dessous du BIOS.
  • « Direct Memory Access Protection » dans System BIOS Settings\Processor Settings.
  • « AMD DRTM » dans System BIOS Settings\System Security
AMD DRTM

    5.    IOMMU et Virtualization Extension doivent être activés dans le BIOS. Pour le serveur Intel, IOMMU et Virtualization Extension doivent être activés en activant « Virtualization Technology » sous System BIOS Settings \Processor Settings. 
Intel Virtualization Technology

Pour le serveur AMD, IOMMU et Virtualization Extension doivent être activés avec les paramètres du BIOS ci-dessous :
  • « Virtualization Technology » dans System BIOS Settings\Processor Settings
  • Prise en charge d’IOMMU dans System BIOS Settings\Processor Settings.

AMD IOMMU

      Pour le serveur AMD, sous Paramètres du BIOS du système\Paramètres du processeur, activez le chiffrement de la mémoire sécurisée (SME) et le chiffrement de la mémoire sécurisé transparent (TSME). »
Chiffrement de la mémoire sécurisée (SME) et SME transparent (TSME)

Paramètres OS 

Installation des pilotes propres à la plate-forme 

Pour les serveurs Intel, le pilote du chipset (version : 10.1.18793.8276 et versions ultérieures) doivent être installés. Pour les serveurs AMD, pilote du chipset (version : 2.18.30.202 et versions ultérieures) doit être installé. (Le pilote AMD DRTM fait partie de ce package de pilotes.) Ces pilotes peuvent être téléchargés à partir de https://www.dell.com/support/home/?app=products Entrez>
le nom du modèle du serveur, accédez à la section « Pilote et téléchargements », choisissez Système d’exploitation Windows Server 2022 LTSC et recherchez le pilote du chipset.
Par exemple, pour PowerEdge R650, « Intel Lewisburg C62x Series Chipset Drivers » doit être installé.
                 Pour le système PowerEdge R6525, l’option « AMD SP3 MILAN Series Chipset driver » doit être installée.

Configurer les clés de registre pour VBS, HVCI et System Guard

Exécutez ce qui suit à partir de l’invite de commande :-
reg add « HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard » /v « EnableVirtualizationBasedSecurity » /t REG_DWORD /d 1 /f reg add « HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard » /v « RequirePlatformSecurityFeatures » /t REG_DWORD /d 3 /f reg add « HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard » /v « Locked » /t REG_DWORD /d 0 /f


reg add « HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity » /v « Enabled » /t REG_DWORD /d 1 /f reg add « HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity » /v « Locked » /t REG_DWORD /d 0 /f reg add « HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard » /v « Enabled » /t REG_DWORD /d 1 /f

NOTE:Après avoir exécuté ces commandes, le système doit lancer un cycle de redémarrage. Les opérations ci-dessus peuvent être effectuées en exécutant le script PowerShell ci-dessous.
 

Confirmer l’état du cœur sécurisé 

Pour confirmer que toutes les fonctionnalités du cœur sécurisé sont correctement configurées et en cours d’exécution, procédez comme suit :

TPM 2.0

Exécutez get-tpm dans un PowerShell et confirmez les éléments suivants :
Get-TPM

Secure Boot, protection DMA du noyau, VBS, HVCI et System Guard

Lancez msinfo32 à partir de l’invite de commande et confirmez les valeurs suivantes :

  • « Secure Boot State » est défini sur « On »
  • « Kernel DMA Protection » est défini sur « On »
  • « Virtualization-Based Security » est défini sur « Running »
  • « Virtualization-Based Security Services Running » contient les valeurs « Hypervisor enforced Code Integrity » et « Secure Launch »
12.png

13.png

Support

Pour les problèmes matériels et de firmware, contactez le support Dell. Pour les problèmes liés au système d’exploitation et aux logiciels, contactez le support Microsoft

Affected Products

Microsoft Windows Server 2022
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 31 Jan 2022
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.