Dell EMC PowerEdge 服务器上安全核心服务器启用指南
Summary: 本文档提供有关在选定 Dell EMC PowerEdge 服务器上启用安全核心服务器的指导。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
本戴尔知识库文章提供了将安全核心服务器和经 AQ 认证的服务器配置为完全启用状态的产品特定步骤指南。
这可以从 戴尔支持页面 获得。
2.必须启用
安全启动。必须在系统 BIOS 设置/系统安全性的 BIOS 设置中设置安全启动。
3. 服务器必须具有 TPM 2.0,并且必须使用如下所示的所需设置启用。
4. DRTM(用于测量的动态信任根)必须在 BIOS 中启用。对于英特尔服务器,应启用 DRTM,方法是启用以下 BIOS 设置:
对于 AMD 服务器,应通过启用以下 BIOS 设置来启用 DRTM。
5. IOMMU 和 Virtualization Extension 必须在 BIOS 中启用。对于英特尔服务器,应通过在系统 BIOS 设置\处理器设置中启用“虚拟化技术”来启用 IOMMU 和虚拟化扩展。
对于 AMD 服务器,应使用以下 BIOS 设置启用 IOMMU 和虚拟化扩展:
对于 AMD 服务器,在系统 BIOS 设置\处理器设置中,启用安全内存加密 (SME) 和透明安全内存加密 (TSME)。”
输入服务器型号名称,转到“驱动程序和下载”部分,选择操作系统作为 Windows Server 2022 LTSC 并查找芯片组驱动程序。
例如,对于 Poweredge R650,应安装“Intel Lewisburg C62x 系列芯片组驱动程序”。
对于 Poweredge R6525,应安装“AMD SP3 MILAN 系列芯片组驱动程序”。
reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “EnableVirtualizationBasedSecurity” /t REG_DWORD /d 1 /f reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “RequirePlatformSecurityFeatures” /t REG_DWORD /d 3 /f reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “Locked” /t REG_DWORD /d 0 /f
reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity” /v “Enabled” /t REG_DWORD /d 1 /f reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity” /v “Locked” /t REG_DWORD /d 0 /f reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f
对于操作系统和软件问题,请联系 Microsoft 支持
适用产品
配置指导适用于以下 Dell EMC 服务器产品。- PowerEdge R750
- PowerEdge R750xa
- PowerEdge R650
- PowerEdge MX750c
- PowerEdge C6520
- PowerEdge R750xs
- PowerEdge R650xs
- PowerEdge R450
- PowerEdge R550
- PowerEdge T550
- PowerEdge XR11
- PowerEdge XR12
- PowerEdge R6525(“EPYCTM 7003 系列处理器”)
- PowerEdge R7525(“EPYCTM 7003 系列处理器”)
- PowerEdge C6525(“EPYCTM 7003 系列处理器”)
- Dell EMC AX-7525(仅限 EPYCTM 7003 系列处理器)
- Dell EMC AX-750
- Dell EMC AX-650
BIOS 设置
以下是用于启用安全核心的特定平台的最低 BIOS 版本。这可以从 戴尔支持页面 获得。
| 平台名称 | 最低 BIOS 版本 |
| PowerEdge R750 | 1.3.8 |
| PowerEdge R750xa | 1.3.8 |
| PowerEdge R650 | 1.3.8 |
| PowerEdge MX750c | 1.3.8 |
| PowerEdge C6520 | 1.3.8 |
| PowerEdge R750xs | 1.3.8 |
| PowerEdge R650xs | 1.3.8 |
| PowerEdge R450 | 1.3.8 |
| PowerEdge R550 | 1.3.8 |
| PowerEdge R6525 | 2.3.6 |
| PowerEdge R7525 | 2.3.6 |
| PowerEdge C6525 | 2.3.6 |
| Dell EMC AX-7525 | 2.3.6 |
| Dell EMC AX-750 | 1.3..8 |
| Dell EMC AX-650 | 1.3.8 |
注意:系统必须在 UEFI 模式下启动。UEFI 模式应在 BIOS 设置中的系统 BIOS 设置/引导设置中设置。
2.必须启用
安全启动。必须在系统 BIOS 设置/系统安全性的 BIOS 设置中设置安全启动。
3. 服务器必须具有 TPM 2.0,并且必须使用如下所示的所需设置启用。
- 必须在系统 BIOS 设置\系统安全中将 TPM 安全设置为开启
- 其他设置必须在 BIOS Settings\System Security\TPM Advanced Settings中进行设置。
- 必须启用“TPM PPI 旁路”和“TPM PPI 旁路清除”。
- TPM 算法选择应设置为“SHA 256”
- TPM 的最低固件版本:
- TPM 2.0 – 7.2.2.0
- CTPM 7.51.6405.5136
4. DRTM(用于测量的动态信任根)必须在 BIOS 中启用。对于英特尔服务器,应启用 DRTM,方法是启用以下 BIOS 设置:
- 直接内存访问保护”。
- System BIOS Settings\System Security中的“Intel(R) TXT”。
对于 AMD 服务器,应通过启用以下 BIOS 设置来启用 DRTM。
- System BIOS Settings\Processor Settings中的“Direct Memory Access Protection”。
- System BIOS Settings\System Security 中的“AMD DRTM”
5. IOMMU 和 Virtualization Extension 必须在 BIOS 中启用。对于英特尔服务器,应通过在系统 BIOS 设置\处理器设置中启用“虚拟化技术”来启用 IOMMU 和虚拟化扩展。
对于 AMD 服务器,应使用以下 BIOS 设置启用 IOMMU 和虚拟化扩展:
- 系统 BIOS 设置\处理器设置中的“虚拟化技术”
- System BIOS Settings\Processor Settings中的 IOMMU Support。
对于 AMD 服务器,在系统 BIOS 设置\处理器设置中,启用安全内存加密 (SME) 和透明安全内存加密 (TSME)。”
OS Settings
安装平台特定的驱动程序
对于英特尔服务器,芯片组驱动程序(版本:10.1.18793.8276 及更高版本)安装。对于 AMD 服务器,芯片组驱动程序(版本:2.18.30.202 及更高版本)安装。(AMD DRTM 驱动程序是此驱动程序包的一部分。)这些驱动程序可以从 https://www.dell.com/support/home/?app=products 下载 ->输入服务器型号名称,转到“驱动程序和下载”部分,选择操作系统作为 Windows Server 2022 LTSC 并查找芯片组驱动程序。
例如,对于 Poweredge R650,应安装“Intel Lewisburg C62x 系列芯片组驱动程序”。
对于 Poweredge R6525,应安装“AMD SP3 MILAN 系列芯片组驱动程序”。
配置 VBS、HVCI 和 System Guard 的注册表项
从命令提示符运行以下命令:-reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “EnableVirtualizationBasedSecurity” /t REG_DWORD /d 1 /f reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “RequirePlatformSecurityFeatures” /t REG_DWORD /d 3 /f reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard” /v “Locked” /t REG_DWORD /d 0 /f
reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity” /v “Enabled” /t REG_DWORD /d 1 /f reg add “HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity” /v “Locked” /t REG_DWORD /d 0 /f reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f
注意:运行这些命令后,系统应重新启动。可以通过运行下面的 PowerShell 脚本来执行上述操作。
确认安全核心状态
要确认所有安全核心功能均已正确配置并运行,请执行以下步骤:TPM 2.0
在 PowerShell 中运行 get-tpm 并确认以下各项:
安全启动、内核 DMA 保护、VBS、HVCI 和系统防护
从命令提示符启动 msinfo32 并确认以下值:
- “Secure Boot State”为“On”
- “Kernel DMA Protection”处于“On”状态
- “基于虚拟化的安全性”正在“运行”
- “Virtualization-Based Security Services Running”包含值“Hypervisor enforced Code Integrity”和“Secure Launch”
支持
对于硬件和固件问题,请联系 戴尔支持对于操作系统和软件问题,请联系 Microsoft 支持
Affected Products
Microsoft Windows Server 2022Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 31 Jan 2022
Version: 1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.