Questo articolo della Knowledge Base di Dell fornisce indicazioni per la procedura specifica del prodotto per configurare i server certificati AQ su uno stato completamente abilitato.

Prodotti applicabili

Le indicazioni di configurazione si applicano ai seguenti prodotti server Dell EMC.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 ("processori EPYCTM serie 7003")
• PowerEdge R7525 ("processori EPYCTM serie 7003")
• PowerEdge C6525 ("processori EPYCTM serie 7003")
• Dell EMC AX-7525 (solo processori EPYCTM serie 7003)
• Dell EMC AX-750
• Dell EMC AX-650

Impostazioni del BIOS

Di seguito è riportata la versione minima del BIOS per la piattaforma specifica da utilizzare per abilitare Secure Core. 
Questa operazione può essere ottenuta dalla pagina del supporto Dell .
 

Nome piattaforma	Versione minima del BIOS
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. Secure Boot deve essere abilitato
Secure Boot deve essere impostato nelle impostazioni del BIOS in System BIOS Settings/System Security.


    3.  Il server deve disporre di TPM 2.0 e deve essere abilitato con le impostazioni richieste come indicato di seguito.

• TPM Security in deve essere impostato su ON in System BIOS Settings\System Security 
• È necessario configurare altre impostazioni in BIOS Settings\System Security\TPM Advanced Settings.
  • TPM PPI Bypass e TPM PPI Bypass Clear devono essere abilitati.
  • TPM Algorithm Selection deve essere impostata su "SHA 256"
• Versione minima del firmware del TPM:
  • TPM 2.0 - 7.2.2.0
  • CTPM 7.51.6405.5136

       4.    DRTM (Dynamic Root of Trust for Measurement) deve essere abilitato nel BIOS. Per il server Intel, DRTM deve essere abilitato, abilitando le seguenti impostazioni del BIOS:

• Direct Memory Access Protection" in System BIOS Settings\Processor Settings. 
• "Intel(R) TXT" in System BIOS Settings\System Security.

    Per il server AMD, DRTM deve essere abilitato abilitando le impostazioni del BIOS riportate di seguito.

• "Direct Memory Access Protection" in System BIOS Settings\Processor Settings.
• "AMD DRTM" in System BIOS Settings\System Security

    5.    IOMMU e Virtualization Extension devono essere abilitati nel BIOS. Per Intel Server, IOMMU e Virtualization Extension devono essere abilitati abilitando "Virtualization Technology" in System BIOS Settings \Processor Settings. 


Per AMD Server, IOMMU e Virtualization Extension devono essere abilitati con le seguenti impostazioni del BIOS:

• "Virtualization Technology" in System BIOS Settings \Processor Settings
• IOMMU Support in System BIOS Settings \Processor Settings.

      Per il server AMD, in System BIOS Settings \Processor settings, abilitare Secure Memory Encryption (SME) e Transparent Secure Memory Encryption (TSME). ".

Impostazioni OS 

Installazione di driver specifici della piattaforma 

Per i server Intel, driver del chipset (versione: 10.1.18793.8276 e versioni successive). Per i server AMD, driver del chipset (versione: 2.18.30.202 e versioni successive). (il driver AMD DRTM fa parte di questo pacchetto driver). Questi driver possono essere scaricati da https://www.dell.com/support/home/?app=products ->
Inserisci il nome del modello del server, vai alla sezione "Driver e download", scegli OS come Windows Server 2022 LTSC e cerca il driver del chipset.
Ad esempio, per PowerEdge R650, dovrebbe essere installato "Driver del chipset Intel Lewisburg serie C62x".
                 Per PowerEdge R6525, deve essere installato "AMD SP3 MILAN Series Chipset driver".

Configurazione delle chiavi di registro per VBS, HVCI e System Guard

Eseguire quanto segue dal prompt dei comandi:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

 

Confermare lo stato del core protetto 

Per verificare che tutte le funzioni con core protetto siano configurate e in esecuzione correttamente, attenersi alla seguente procedura:

TPM 2.0

Eseguire get-tpm in PowerShell e verificare quanto segue:

Avvio sicuro, protezione DMA del kernel, VBS, HVCI e protezione del sistema

Avviare msinfo32 dal prompt dei comandi e verificare i seguenti valori:

• "Secure Boot State" è "On"
• "Kernel DMA Protection" è "On"
• "Sicurezza basata sulla virtualizzazione" è "In esecuzione"
• "Virtualization-Based Security Services Running" contiene il valore "Hypervisor enforced Code Integrity" e "Secure Launch"

Supporto

Per problemi relativi a firmware e hardware, contattare il supporto DellPer problemi relativi a sistema operativo e software, contattare il supporto Microsoft