Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Handleiding voor het inschakelen van Secured-core servers op Dell EMC PowerEdge servers

Summary: Dit document bevat richtlijnen voor het inschakelen van Secured-core servers op geselecteerde Dell EMC PowerEdge servers.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Deze Dell KB biedt richtlijnen voor productspecifieke stappen om AQ-gecertificeerde servers met beveiligde kern te configureren naar een volledig ingeschakelde status.

Toepasselijke producten

De configuratierichtlijnen zijn van toepassing op de volgende Dell EMC serverproducten.
  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 ("EPYCTM 7003 serie processors")
  • PowerEdge R7525 ("EPYCTM 7003 serie processors")
  • PowerEdge C6525 ("EPYCTM 7003 serie processors")
  • Dell EMC AX-7525 (alleen processors uit de EPYCTM 7003-serie)
  • Dell EMC AX-750
  • Dell EMC AX-650

BIOS-instellingen

Hieronder vindt u de minimale versie van het BIOS voor het specifieke platform dat moet worden gebruikt voor het inschakelen van Secure Core. 
Deze kunt u verkrijgen op de Dell supportpagina .
 
Platformnaam Minimale BIOS-versie
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3..8
Dell EMC AX-650 1.3.8
 
OPMERKING:Het systeem moet worden opgestart in de UEFI-modus. De UEFI-modus moet worden ingesteld via de BIOS-instellingen via Systeem-BIOS-instellingen/Opstartinstellingen.

Systeem-BIOS-instellingen - UEFI-opstartmodus
     
       2. Veilig opstarten moet zijn ingeschakeld
Veilig opstarten moet worden ingesteld via de BIOS-instellingen op Systeem-BIOS-instellingen/Systeembeveiliging.
BIOS-instellingen van systeem - Systeembeveiliging

    3.  De server moet beschikken over TPM 2.0 en deze moet zijn ingeschakeld met de vereiste instellingen zoals hieronder vermeld.
  • TPM-beveiliging op moet worden ingesteld als AAN bij System BIOS Settings\System Security 
  • Andere instellingen moeten worden ingesteld bij BIOS-instellingen\Systeembeveiliging\geavanceerde TPM-instellingen.
    • TPM PPI Bypass en TPM PPI Bypass Clear moeten zijn ingeschakeld.
    • Selectie van TPM-algoritme moet worden ingesteld op "SHA 256"
  • Minimum FW-versie van TPM:
    • TPM 2.0 – 7.2.2.0
    • CTPM 7.51.6405.5136
Geavanceerde TPM-installatie

Geavanceerde TPM-instellingen

       4.    DRTM (Dynamic Root of Trust for Measurement) moet zijn ingeschakeld in het BIOS. Voor Intel Server moet DRTM zijn ingeschakeld door de onderstaande BIOS-instellingen in te schakelen: -
  • Direct Memory Access Protection" bij System BIOS Settings\Processor Settings. 
  • "Intel(R) TXT" bij System BIOS Settings\System Security.
Processorinstellingen
TXT-instellingen

    Voor de AMD-server moet DRTM zijn ingeschakeld door de onderstaande BIOS-instellingen in te schakelen.
  • "Direct Memory Access Protection" bij System BIOS Settings\Processor Settings.
  • "AMD DRTM" bij System BIOS Settings\System Security
AMD DRTM

    5.    IOMMU en Virtualization Extension moeten zijn ingeschakeld in het BIOS. Voor Intel Server moeten IOMMU en Virtualization Extension worden ingeschakeld door "Virtualization Technology" in te schakelen bij System BIOS Settings \Processor Settings. 
Intel Virtualization Technology

Voor AMD Server moeten IOMMU en Virtualization Extension zijn ingeschakeld met de onderstaande BIOS-instellingen: -
  • "Virtualization Technology" bij System BIOS Settings \Processor Settings
  • IOMMU-ondersteuning bij System BIOS Settings \Processor Settings.

AMD IOMMU

      Voor de AMD-server schakelt u bij de System BIOS Settings \Processor settings Secure Memory Encryption (SME) en Transparent Secure Memory Encryption (TSME) in. "
Secure Memory Encryption (SME) en Transparent SME (TSME)

Instellingen besturingssysteem 

Platformspecifieke drivers installeren 

Voor Intel servers, chipsetdriver (versie: 10.1.18793.8276 en hoger) moeten worden geïnstalleerd. Voor AMD-servers wordt de chipsetdriver (versie: 2.18.30.202 en hoger) moeten worden geïnstalleerd. (AMD DRTM-driver maakt deel uit van dit driverpakket.). Deze drivers kunnen worden gedownload van https://www.dell.com/support/home/?app=products Voer>
de modelnaam van de server in, ga naar het gedeelte 'Drivers en downloads', kies het besturingssysteem als Windows Server 2022 LTSC en zoek naar de chipsetdriver.
Voor PowerEdge R650 moeten bijvoorbeeld Intel Lewisburg C62x Series Chipset Drivers worden geïnstalleerd.
                 Voor de Poweredge R6525 moet de "AMD SP3 MILAN Series Chipset driver" worden geïnstalleerd.

Registersleutels voor VBS, HVCI en System Guard configureren

Voer het volgende uit vanuit de opdrachtprompt:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

OPMERKING:Na het uitvoeren van deze opdrachten zou het systeem een herstartcyclus moeten doorlopen. Bovenstaande bewerkingen kunnen worden uitgevoerd door onder het PowerShell-script uit te voeren.
 

De beveiligde core-status bevestigen 

Volg de onderstaande stappen om te controleren of alle Secured-core-functies correct zijn geconfigureerd en worden uitgevoerd:

TPM 2.0

Voer get-tpm uit in een PowerShell en bevestig het volgende:
Get-TPM

Secure boot, Kernel DMA Protection, VBS, HVCI en System Guard

Start msinfo32 vanuit de opdrachtprompt en controleer de volgende waarden:

  • "Secure Boot State" is "Aan"
  • "Kernel DMA Protection" is "On"
  • "Virtualization-Based Security" wordt "uitgevoerd"
  • "Virtualization-Based Security Services Running" bevat de waarde "Hypervisor forced Code Integrity" en "Secure Launch"
12.png

13.png

Support

Neem voor hardware- en firmwareproblemen contact op met DellSupport Neem voor problemen met het besturingssysteem en SW contact op met Microsoft Support

Affected Products

Microsoft Windows Server 2022
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 31 Jan 2022
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.