Denna kunskapsbasartikel från Dell innehåller en vägledning för produktspecifika steg för att konfigurera AQ-certifierade servrar med skyddad kärna till ett fullt aktiverat tillstånd.

Tillämpliga produkter

Konfigurationsvägledningen gäller för följande Dell EMC-serverprodukter.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 ("EPYCTM 7003-seriens processorer")
• PowerEdge R7525 ("EPYCTM 7003-seriens processorer")
• PowerEdge C6525 ("EPYCTM 7003-seriens processorer")
• Dell EMC AX-7525 (endast processorer i EPYCTM 7003-serien)
• Dell EMC AX-750
• Dell EMC AX-650

BIOS-inställningar

Nedan visas den lägsta versionen av BIOS för en specifik plattform som ska användas för att aktivera Secure Core. 
Detta kan erhållas från Dells supportsida .
 

Plattformsnamn	Lägsta BIOS-version
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. Säker start måste vara aktiverat
Säker start måste ställas in med BIOS-inställningarna i System-BIOS-inställningar/Systemsäkerhet.


    3.  Servern måste ha TPM 2.0 och den måste aktiveras med de inställningar som krävs enligt nedan.

• TPM Security på måste ställas in som ON i System-BIOS Settings\System Security 
• Övriga inställningar måste anges under BIOS-inställningar\Systemsäkerhet\Avancerade TPM-inställningar.
  • TPM PPI Bypass (Förbigå TPM) och TPM PPI Bypass Clear (Rensa förbi) måste vara aktiverade.
  • Valet av TPM-algoritm ska ställas in på "SHA 256"
• Minsta version av den fasta programvaran för TPM:
  • TPM 2.0–7.2.2.0
  • CTPM 7.51.6405.5136

       4.    DRTM (Dynamic Root of Trust for Measurement) måste aktiveras i BIOS. För Intel-servrar ska DRTM aktiveras genom att nedanstående BIOS-inställningar aktiveras:

• Direct Memory Access Protection" i System BIOS Settings\Processor Settings. 
• "Intel(R) TXT" i menyn System-BIOS Settings\System Security.

    För AMD-servrar ska DRTM aktiveras genom att nedanstående BIOS-inställningar aktiveras.

• "Direct Memory Access Protection" i systemets BIOS-inställningar\Processorinställningar.
• "AMD DRTM" i System-BIOS Inställningar\Systemsäkerhet

    5.    IOMMU och Virtualization Extension måste aktiveras i BIOS. För Intel Server bör IOMMU och Virtualization Extension aktiveras genom att aktivera "Virtualization Technology" i System BIOS Settings \Processor Settings. 


För AMD-server ska IOMMU och Virtualization Extension aktiveras med nedanstående BIOS-inställningar:

• "Virtualization Technology" i System-BIOS Settings \Processor Settings
• IOMMU-stöd vid system-BIOS Settings \Processor Settings.

      För AMD-servern går du till System BIOS Settings \Processor settings och aktiverar Secure Memory Encryption (SME) och Transparent Secure Memory Encryption (TSME). ”

OS-inställningar 

Installera plattformsspecifika drivrutiner 

För Intel-servrar, kretsuppsättningsdrivrutin (version: 10.1.18793.8276 och senare) installeras. För AMD-servrar, kretsuppsättningsdrivrutin (version: 2.18.30.202 och senare) installeras. (AMD DRTM-drivrutinen ingår i det här drivrutinspaketet.). Dessa drivrutiner kan laddas ner från https://www.dell.com/support/home/?app=products –>
Ange serverns modellnamn, gå till avsnittet "Drivrutiner och hämtningsbara filer", välj OS som Windows Server 2022 LTSC och leta efter kretsuppsättningsdrivrutinen.
Exempel: För PowerEdge R650 ska "Intel Lewisburg C62x Series Chipset Drivers" vara installerat.
                 För PowerEdge R6525 ska drivrutinen för kretsuppsättningen AMD SP3 MILAN-serien vara installerad.

Konfigurera registernycklar för VBS, HVCI och System Guard

Kör följande från kommandotolken:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg lägg till "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg lägg till "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg lägg till "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

 

Bekräfta tillståndet för skyddad kärna 

Följ stegen nedan för att bekräfta att alla Secured-core-funktioner är korrekt konfigurerade och körs:

TPM 2.0

Kör get-tpm i en PowerShell och bekräfta följande:

Säker start, kärn-DMA-skydd, VBS, HVCI och System Guard

Starta msinfo32 från kommandotolken och bekräfta följande värden:

• Secure Boot State står som "On"
• "Kernel DMA Protection" är "På"
• "Virtualization-Based Security" är "Running"
• "Virtualization-Based Security Services Running" innehåller värdena "Hypervisor enforced Code Integrity" och "Secure Launch"

Support

För problem med maskinvara och fast programvara kontaktar du Dellssupport För problem med operativsystem och programvara kontaktar du Microsofts support