Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Aktivierungshandbuch für Secured-Core-Server auf Dell EMC PowerEdge-Servern

Summary: Dieses Dokument enthält Anleitungen zur Aktivierung von Secured-Core-Servern auf ausgewählten Dell EMC PowerEdge-Servern.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Dieser Dell Wissensdatenbank-Artikel enthält eine Anleitung für produktspezifische Schritte, mit denen Secured-Core-Server, AQ-zertifizierte Server, in einen vollständig aktivierten Status versetzt werden können.

Betroffene Produkte

Die Konfigurationsanleitung gilt für die folgenden Dell EMC Serverprodukte.
  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 ("Prozessoren der EPYCTM 7003-Serie")
  • PowerEdge R7525 ("Prozessoren der EPYCTM 7003-Serie")
  • PowerEdge C6525 ("Prozessoren der EPYCTM 7003-Serie")
  • Dell EMC AX-7525 (nur Prozessoren der EPYCTM 7003-Serie)
  • Dell EMC AX-750
  • Dell EMC AX-650

Einstellungen des BIOS

Nachfolgend finden Sie die Mindestversion des BIOS für die jeweilige Plattform, die für die Aktivierung von Secure Core verwendet werden soll. 
Diese kann von der Dell Support-Seite abgerufen werden.
 
Plattformname Mindest-BIOS-Version
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3..8
Dell EMC AX-650 1.3.8
 
HINWEIS:Das System muss im UEFI-Modus gestartet werden. Der UEFI-Modus sollte in den BIOS-Einstellungen unter System-BIOS-Einstellungen/Starteinstellungen festgelegt werden.

System-BIOS-Einstellungen – UEFI-Startmodus
     
       2. Secure Boot muss aktiviert sein. Secure Boot muss in
den BIOS-Einstellungen unter System-BIOS-Einstellungen/Systemsicherheit festgelegt werden.
System-BIOS-Einstellungen – Systemsicherheit

    3.  Der Server muss über TPM 2.0 verfügen und mit den unten aufgeführten erforderlichen Einstellungen aktiviert sein.
  • TPM-Sicherheit bei muss unter "System-BIOS-Einstellungen\Systemsicherheit" auf "EIN" gesetzt werden. 
  • Andere Einstellungen müssen unter BIOS-Einstellungen\Systemsicherheit\Erweiterte TPM-Einstellungen festgelegt werden.
    • TPM PPI Bypass und TPM PPI Bypass Clear müssen aktiviert sein.
    • Die Auswahl des TPM-Algorithmus sollte auf "SHA 256" festgelegt werden.
  • Minimale FW-Version des TPM:
    • TPM 2.0 – 7.2.2.0
    • CTPM 7.51.6405.5136
Erweitertes TPM-Setup

Erweiterte TPM-Einstellungen

       4.    DRTM (Dynamic Root of Trust for Measurement) muss im BIOS aktiviert sein. Für Intel-Server sollte DRTM aktiviert werden, indem Sie die folgenden BIOS-Einstellungen aktivieren:
  • Direct Memory Access Protection" unter "System-BIOS-Einstellungen\Prozessoreinstellungen". 
  • "Intel(R) TXT" unter "System-BIOS-Einstellungen\Systemsicherheit".
Prozessoreinstellungen
TXT-Einstellungen

    Bei AMD-Servern sollte DRTM aktiviert werden, indem Sie es unten in den BIOS-Einstellungen aktivieren.
  • "Direct Memory Access Protection" unter "System-BIOS-Einstellungen\Prozessoreinstellungen".
  • "AMD DRTM" unter "System BIOS Settings\System Security"
AMD DRTM

    5.    IOMMU und Virtualisierungserweiterung müssen im BIOS aktiviert werden. Für Intel Server sollten IOMMU und Virtualisierungserweiterung aktiviert werden, indem "Virtualisierungstechnologie" unter System-BIOS-Einstellungen\Prozessoreinstellungen aktiviert wird. 
Intel Virtualisierungstechnik

Für AMD-Server müssen IOMMU und Virtualisierungserweiterung mit den folgenden BIOS-Einstellungen aktiviert werden:
  • "Virtualization Technology" unter "System BIOS Settings" > "Processor Settings"
  • IOMMU-Unterstützung unter "System-BIOS-Einstellungen" \"Prozessoreinstellungen".

AMD IOMMU

      Aktivieren Sie für den AMD-Server unter System BIOS Settings \Processor settings Secure Memory Encryption (SME) und Transparent Secure Memory Encryption (TSME). “
Secure Memory Encryption (SME) und Transparent SME (TSME)

OS Settings 

Installieren plattformspezifischer Treiber 

Für Intel Server, Chipsatztreiber (Version: 10.1.18793.8276 und höher) installiert sein. Für AMD-Server, Chipsatztreiber (Version: 2.18.30.202 und höher) installiert sein. (Der AMD DRTM-Treiber ist Teil dieses Treiberpakets.) Diese Treiber können von https://www.dell.com/support/home/?app=products heruntergeladen werden: Geben>
Sie den Namen des Servermodells ein, gehen Sie zum Abschnitt "Treiber und Downloads", wählen Sie als Betriebssystem Windows Server 2022 LTSC aus und suchen Sie nach dem Chipsatztreiber.
Beispiel: Für den PowerEdge R650 sollten "Intel Lewisburg C62x Series Chipset Drivers" installiert werden.
                 Beim PowerEdge R6525 sollte der "Treiber für den AMD SP3-Chipsatz der Serie MILAN" installiert werden.

Konfigurieren von Registrierungsschlüsseln für VBS, HVCI und System Guard

Führen Sie Folgendes über die Eingabeaufforderung aus:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

HINWEIS:Nach dem Ausführen dieser Befehle sollte das System in den Neustartzyklus wechseln. Die oben genannten Vorgänge können durch Ausführen des folgenden PowerShell-Skripts durchgeführt werden.
 

Bestätigen des Secured-Core-Status 

Gehen Sie folgendermaßen vor, um zu bestätigen, dass alle Secured-Core-Funktionen ordnungsgemäß konfiguriert sind und ausgeführt werden:

TPM 2,0

Führen Sie get-tpm in einer PowerShell aus und bestätigen Sie Folgendes:
Get-TPM

Secure Boot, Kernel-DMA-Schutz, VBS, HVCI und System Guard

Starten Sie msinfo32 über die Eingabeaufforderung und bestätigen Sie die folgenden Werte:

  • "Secure Boot State" ist "On"
  • "Kernel-DMA-Schutz" ist "ein"
  • "Virtualization-Based Security" wird ausgeführt
  • "Virtualization-Based Security Services Running" enthält die Werte "Hypervisor enforced Code Integrity" und "Secure Launch"
12.png

13.png

Support

Wenden Sie sich bei HW- und Firmwareproblemen an den DellSupport. Wenden Sie sich bei Problemen mit dem Betriebssystem und der Software an den Microsoft-Support

Affected Products

Microsoft Windows Server 2022
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 31 Jan 2022
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.