Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Dell EMC PowerEdgeサーバーに関するセキュアコア サーバー有効化ガイド

Summary: このドキュメントでは、選択したDell EMC PowerEdgeサーバーでセキュアコア サーバーを有効にする方法についてのガイダンスを提供します。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

このDell KBでは、セキュアコア サーバーAQ認定サーバーを完全に有効な状態に構成するための製品固有の手順に関するガイダンスを提供します。

対象製品

構成ガイダンスは、次のDell EMCサーバー製品に適用されます。
  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525(「EPYCTM 7003シリーズ プロセッサー」)
  • PowerEdge R7525(「EPYCTM 7003シリーズ プロセッサー」)
  • PowerEdge C6525(「EPYCTM 7003シリーズ プロセッサー」)
  • Dell EMC AX-7525(EPYCTM 7003シリーズ プロセッサーのみ)
  • Dell EMC AX-750
  • Dell EMC AX-650

BIOSの設定

以下は、セキュア コアを有効にするために使用する特定のプラットフォーム用のBIOSの最小バージョンです。
これは、 Dellサポート ページ から入手できます。
 
プラットフォーム名 BIOSの最小バージョン
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3..8
Dell EMC AX-650 1.3.8
 
メモ:システムはUEFIモードで起動する必要があります。UEFIモードは、[System BIOS Settings]/[Boot Settings]のBIOS設定で設定する必要があります。

システムBIOS設定 - UEFI起動モード
     
       2.セキュア ブートを有効にする
必要があります。セキュア ブートは、BIOS設定のSystem BIOS Settings/System Securityで設定する必要があります。
システムBIOS設定 - システム セキュリティ

    3.  サーバーにはTPM 2.0が必要であり、以下に示すように必要な設定でTPM 2.0を有効にする必要があります。
  • [TPM Security]は、[System BIOS Settings\System Security]で[ON]に設定する必要があります 
  • その他の設定は、BIOS Settings\System Security\TPM Advanced Settingsで設定する必要があります。
    • [TPM PPI Bypass]と[TPM PPI Bypass Clear]を有効にする必要があります。
    • TPMアルゴリズムの選択は「SHA 256」に設定する必要があります
  • TPMの最小FWバージョン:
    • TPM 2.0 – 7.2.2.0
    • CTPMの7.51.6405.5136
TPMの詳細セットアップ

TPMの詳細設定

       4.    DRTM(Dynamic Root of Trust for Measurement)は、BIOSで有効にする必要があります。インテル サーバーの場合は、以下のBIOS設定を有効にして、DRTMを有効にする必要があります。
  • Direct Memory Access Protection」が[System BIOS Settings\Processor Settings]にあります。 
  • System BIOS Settings\System Securityにある「Intel(R) TXT」。
プロセッサー設定
TXT 設定

    AMDサーバーの場合は、下のBIOS設定を有効にして、DRTMを有効にする必要があります。
  • [System BIOS Settings\Processor Settings]の[Direct Memory Access Protection]。
  • System BIOS Settings\System Securityの「AMD DRTM」
AMD DRTM

    5.    IOMMUと仮想化拡張機能はBIOSで有効にする必要があります。インテル サーバーの場合、IOMMUおよび仮想化拡張機能は、システムBIOS設定\プロセッサー設定で「仮想化テクノロジー」を有効にして有効にする必要があります。
インテル バーチャライゼーション・テクノロジー

AMDサーバーの場合、次のBIOS設定でIOMMUおよび仮想化拡張機能を有効にする必要があります。
  • [Virtualization Technology]の[System BIOS Settings]\[Processor Settings]
  • システムBIOS設定\プロセッサー設定でのIOMMUサポート。

AMD IOMMU

      AMDサーバーの場合は、System BIOS Settings\Processor settingsで、Secure Memory Encryption (SME)とTransparent Secure Memory Encryption (TSME)を有効にします。」
Secure Memory Encryption(SME)およびTransparent SME(TSME)

[OS Settings] 

プラットフォーム固有のドライバーのインストール 

インテル サーバーの場合、チップセット ドライバー(バージョン: 10.1.18793.8276以降)をインストールする必要があります。AMDサーバーの場合、チップセット ドライバー(バージョン: 2.18.30.202以降)をインストールする必要があります。(AMD DRTM用ドライバーはこのドライバー パッケージの一部です)。これらのドライバーは https://www.dell.com/support/home/?app=products からダウンロードできます ->
サーバーモデル名を入力し、「ドライバーおよびダウンロード」セクションに移動し、OSをWindows Server 2022 LTSCとして選択し、チップセットドライバーを探します。
たとえば、PowerEdge R650の場合は、「Intel Lewisburg C62x Series Chipset Drivers」をインストールする必要があります。
                 PowerEdge R6525の場合は、「AMD SP3 MILANシリーズ チップセット用ドライバー」をインストールする必要があります。

VBS、HVCI、System Guardのレジストリー キーを設定する

コマンド プロンプトから次のコマンドを実行します。-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "有効" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "ロック" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "有効" /t REG_DWORD /d 1 /f

メモ:これらのコマンドを実行した後、システムは再起動サイクルに入るはずです。上記の操作は、以下のPowerShellスクリプトを実行することで実行できます。
 

セキュアコアの状態を確認する 

すべてのセキュアコア機能が正しく構成され、実行されていることを確認するには、次の手順に従います。

TPM 2.0

PowerShellでget-tpmを実行し、次のことを確認します。
Get-TPM

セキュア ブート、カーネルDMA保護、VBS、HVCI、System Guard

コマンド プロンプトからmsinfo32を起動し、次の値を確認します。

  • セキュア ブート状態が「オン」です
  • 「カーネルDMA保護」が「オン」です
  • [Virtualization-Based Security]が[Running]になっている
  • 「Virtualization-Based Security Services Running」には、「Hypervisor enforced Code Integrity」と「Secure Launch」という値が含まれています。
12.png

13.png

サポート

ハードウェアとファームウェアの問題については、Dellサポートにお問い合わせください。OSとソフトウェアの問題については、Microsoftサポート
にお問い合わせください

Affected Products

Microsoft Windows Server 2022
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 31 Jan 2022
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.