Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Przewodnik po włączaniu serwerów Secured-core w serwerach Dell EMC PowerEdge

Summary: Niniejszy dokument zawiera wskazówki dotyczące włączania serwerów secured-core w wybranych serwerach Dell EMC PowerEdge.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Ta baza wiedzy firmy Dell zawiera wskazówki dotyczące konkretnych kroków w celu skonfigurowania serwerów Secured-core z certyfikatem AQ do stanu pełnego włączenia.

Odpowiednie produkty

Wskazówki dotyczące konfiguracji mają zastosowanie do następujących serwerów Dell EMC.
  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 ("procesory EPYCTM z serii 7003")
  • PowerEdge R7525 ("procesory z serii EPYCTM 7003")
  • PowerEdge C6525 (procesory z serii EPYCTM 7003)
  • Dell EMC AX-7525 (tylko procesory EPYCTM z serii 7003)
  • Dell EMC AX-750
  • Dell EMC AX-650

Ustawienia BIOS

Poniżej przedstawiono minimalną wersję systemu BIOS dla danej platformy, która ma być używana w celu włączenia bezpiecznego rdzenia. 
Można go uzyskać na stronie pomocy technicznej firmy Dell .
 
Nazwa platformy Minimalna wersja systemu BIOS
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3..8
Dell EMC AX-650 1.3.8
 
UWAGA:System musi być uruchomiony w trybie UEFI. Tryb UEFI należy ustawić w ustawieniach systemu BIOS w sekcji Ustawienia systemu BIOS/Ustawienia rozruchu.

Ustawienia systemu BIOS — tryb rozruchu UEFI
     
       2. Funkcja Secure Boot musi być włączona
Funkcję Secure Boot należy ustawić w ustawieniach systemu BIOS w sekcji System BIOS Settings/System Security.
Ustawienia systemu BIOS — zabezpieczenia systemu

    3.  Serwer musi mieć moduł TPM 2.0 i musi być włączony z wymaganymi ustawieniami wymienionymi poniżej.
  • Zabezpieczenia modułu TPM należy ustawić jako włączone w systemie: Ustawienia systemu BIOS\Zabezpieczenia systemu 
  • Pozostałe ustawienia należy ustawić w sekcji Ustawienia systemu BIOS\Zabezpieczenia systemu\Ustawienia zaawansowane modułu TPM.
    • Opcje TPM PPI Bypass i TPM PPI Clear muszą być włączone.
    • Wybór algorytmu modułu TPM powinien być ustawiony na "SHA 256".
  • Minimalna wersja oprogramowania wewnętrznego modułu TPM:
    • TPM 2.0 – 7.2.2.0
    • CTPM 7.51.6405.5136
Konfiguracja zaawansowana modułu TPM

Ustawienia zaawansowane modułu TPM

       4.    DRTM (Dynamic Root of Trust for Measurement ) musi być włączony w systemie BIOS. W przypadku serwerów Intel funkcję DRTM należy włączyć, włączając poniższe ustawienia systemu BIOS:
  • Bezpośrednia ochrona dostępu do pamięci" w menu Ustawienia systemu BIOS \ Ustawienia procesora. 
  • "Intel(R) TXT" w menu System BIOS Settings\System Security.
Ustawienia procesora
Ustawienia TXT

    W przypadku serwerów AMD należy włączyć funkcję DRTM, włączając poniższe ustawienia systemu BIOS.
  • "Direct Memory Access Protection" w menu System BIOS Settings\Processor Settings.
  • "AMD DRTM" w menu System BIOS Settings\System Security
AMD DRTM

    5.    W systemie BIOS należy włączyć IOMMU i Virtualization Extension. W przypadku serwera Intel Server IOMMU i rozszerzenie wirtualizacji należy włączyć, włączając opcję "Technologia wirtualizacji" w menu System BIOS Settings \ Processor Settings. 
Technologia Intel Virtualization

W przypadku serwera AMD należy włączyć rozszerzenia IOMMU i Virtualization Extension z poniższymi ustawieniami systemu BIOS:
  • "Virtualization Technology" w menu System BIOS Settings \Processor Settings
  • Obsługa IOMMU w menu System BIOS Settings \ Processor Settings.

AMD IOMMU

      W przypadku serwera AMD w obszarze System BIOS Settings \ Processor settings włącz Secure Memory Encryption (SME) i Transparent Secure Memory Encryption (TSME). ”
Bezpieczne szyfrowanie pamięci (SME) i Transparent SME (TSME)

Ustawienia OS 

Instalacja sterowników specyficznych dla platformy 

W przypadku serwerów Intel sterownik chipsetu (wersja: 10.1.18793.8276 i nowsze). W przypadku serwerów AMD: sterownik chipsetu (wersja: 2.18.30.202 i nowsze). (Sterownik AMD DRTM jest częścią tego pakietu sterowników). Sterowniki te można pobrać ze strony https://www.dell.com/support/home/?app=products ->
Wprowadź nazwę modelu serwera, przejdź do sekcji "Sterowniki i pliki do pobrania", wybierz system operacyjny jako Windows Server 2022 LTSC i poszukaj sterownika chipsetu.
Przykład: w przypadku serwera PowerEdge R650 należy zainstalować sterowniki chipsetu "Intel Lewisburg C62x Series".
                 W przypadku serwera PowerEdge R6525 należy zainstalować sterownik chipsetu z serii AMD SP3 MILAN.

Konfiguracja kluczy rejestru dla VBS, HVCI i System Guard

W wierszu polecenia uruchom następujące polecenie:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Zablokowane" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Włączone" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Zablokowane" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Włączone" /t REG_DWORD /d 1 /f

UWAGA:Po uruchomieniu tych poleceń system powinien przejść do ponownego uruchomienia. Powyższe operacje można wykonać, uruchamiając poniższy skrypt PowerShell.
 

Potwierdź stan Secured-core 

Aby potwierdzić, że wszystkie funkcje Secured-core są prawidłowo skonfigurowane i działają, wykonaj następujące czynności:

TPM 2.0

Uruchom polecenie get-tpm w programie PowerShell i potwierdź następujące elementy:
Pobieranie modułu TPM

Bezpieczny rozruch, ochrona DMA jądra, VBS, HVCI i System Guard

Uruchom msinfo32 z wiersza poleceń i potwierdź następujące wartości:

  • Stan bezpiecznego rozruchu jest włączony
  • Opcja "Kernel DMA Protection" jest włączona
  • Usługa "Virtualization-Based Security" jest uruchomiona
  • Opcja "Uruchomione usługi zabezpieczeń oparte na wirtualizacji" zawiera wartości "Integralność kodu wymuszona przez monitor maszyny wirtualnej" i "Bezpieczne uruchamianie"
12.png

13.png

Wsparcie

W przypadku problemów ze sprzętem i oprogramowaniem wewnętrznym należy skontaktować się z pomocą techniczną firmy Dell. W przypadku problemów z systemem operacyjnym i oprogramowaniem należy skontaktować się z pomocą techniczną
firmy Microsoft

Affected Products

Microsoft Windows Server 2022
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 31 Jan 2022
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.