Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Посібник із ввімкнення серверів із захищеним ядром на серверах Dell EMC PowerEdge

Summary: Цей документ містить вказівки щодо ввімкнення серверів із захищеним ядром на вибраних серверах Dell EMC PowerEdge.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Ця база знань Dell містить вказівки щодо конкретних кроків для конкретного продукту для налаштування серверів, сертифікованих AQ із захищеним ядром, до повністю ввімкненого стану.

Застосовні продукти

Інструкції з налаштування стосуються наведених нижче серверних продуктів Dell EMC.
  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 (процесори серії EPYCTM 7003)
  • PowerEdge R7525 ("процесори серії EPYCTM 7003")
  • PowerEdge C6525 («процесори серії EPYCTM 7003»)
  • Dell EMC AX-7525 (тільки для процесорів серії EPYCTM 7003)
  • Dell EMC AX-750
  • Dell EMC AX-650

Налаштування BIOS

Нижче наведено мінімальну версію BIOS для конкретної платформи, яка буде використовуватися для включення безпечного ядра. 
Це можна отримати на сторінці підтримки Dell .
 
Назва платформи Мінімальна версія BIOS
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3..8
Dell EMC AX-650 1.3.8
 
ПРИМІТКА:Система повинна бути завантажена в режимі UEFI. Режим UEFI слід встановити в налаштуваннях BIOS у розділі Налаштування системного BIOS/Налаштування завантаження.

Налаштування системного BIOS - режим завантаження UEFI
     
       2. Безпечне завантаження має бути ввімкнено
Безпечне завантаження має бути встановлено в налаштуваннях BIOS у розділі Налаштування BIOS системи/Безпека системи.
Налаштування системного BIOS - Безпека системи

    3.  Сервер повинен мати модуль TPM 2.0, і його потрібно ввімкнути з необхідними налаштуваннями, як зазначено нижче.
  • TPM Security має бути встановлено як ON у розділі Параметри системного BIOS\Безпека системи 
  • Інші параметри потрібно встановити в розділі Налаштування BIOS\Безпека системи\Розширені налаштування модуля TPM.
    • Необхідно ввімкнути функції TPM PPI Bypass і TPM PPI Bypass Clear.
    • Вибір алгоритму TPM повинен бути встановлений як "SHA 256"
  • Мінімальна FW-версія TPM:
    • TPM 2.0–7.2.2.0
    • CTPM 7.51.6405.5136
Розширене налаштування модуля TPM

Розширені параметри модуля TPM

       4.    DRTM (Dynamic Root of Trust for Measurement) повинен бути включений в BIOS. Для сервера Intel DRTM слід увімкнути, увімкнувши нижче налаштування BIOS:
  • Захист прямого доступу до пам'яті» в налаштуваннях системного BIOS\Налаштування процесора. 
  • "Intel(R) TXT" у налаштуваннях системного BIOS\Безпека системи.
Налаштування процесора
Налаштування TXT

    Для сервера AMD DRTM слід увімкнути, увімкнувши його нижче Налаштування BIOS.
  • "Прямий захист доступу до пам'яті" в налаштуваннях системного BIOS\Налаштування процесора.
  • "AMD DRTM" у налаштуваннях системного BIOS\Безпека системи
AMD DRTM

    5.    IOMMU та розширення віртуалізації повинні бути включені в BIOS. Для Intel Server розширення IOMMU та віртуалізації слід увімкнути, увімкнувши "Технологію віртуалізації" в розділі Налаштування BIOS системи \ Налаштування процесора. 
Технологія віртуалізації Intel

Для сервера AMD IOMMU та розширення віртуалізації повинні бути ввімкнені з наведеними нижче налаштуваннями BIOS:
  • "Технологія віртуалізації" в налаштуваннях BIOS системи \Налаштування процесора
  • Підтримка IOMMU в налаштуваннях BIOS системи \ Налаштування процесора.

AMD IOMMU

      Для сервера AMD у Налаштуваннях системного BIOS \Налаштування процесора увімкніть Secure Memory Encryption (SME) та Transparent Secure Memory Encryption (TSME). "
Безпечне шифрування пам'яті (SME) та прозоре SME (TSME)

Налаштування ОС 

Інсталяція драйверів для конкретної платформи 

Для серверів Intel драйвер чіпсета (версія: 10.1.18793.8276 і вище). Для серверів AMD драйвер чіпсета (версія: 2.18.30.202 і вище). (Драйвер AMD DRTM є частиною цього пакета драйверів.) Ці драйвери можна завантажити з https://www.dell.com/support/home/?app=products ->
Введіть назву моделі сервера, перейдіть до розділу «Драйвери та завантаження», виберіть ОС як Windows Server 2022 LTSC і знайдіть драйвер чіпсета.
Наприклад, для Poweredge R650 слід встановити «Драйвери чіпсета серії Intel Lewisburg C62x».
                 Для Poweredge R6525 слід встановити «Драйвер чіпсета серії AMD SP3 MILAN».

Налаштування розділів реєстру для VBS, HVCI та System Guard

Запустіть наступне з командного рядка:-
reg додайте "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg додати "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\ControlGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg додати "HKLM\System\CurrentControlSet\Control\Control\Scenarios\SystemGuard" /v "Увімкнено" /t REG_DWORD /d 1 /f

ПРИМІТКА:Після виконання цих команд система повинна перейти до циклу перезавантаження. Вищезазначені операції можна виконати, запустивши під сценарієм PowerShell.
 

Підтвердьте стан захищеного ядра 

Щоб переконатися, що всі функції Secured-core правильно налаштовані та працюють, виконайте наведені нижче дії.

Модуль TPM 2.0

Запустіть get-tpm в оболонці PowerShell і підтвердьте наступне:
Модуль Get-TPM

Безпечне завантаження, захист ядра DMA, VBS, HVCI та System Guard

Запустіть msinfo32 з командного рядка та підтвердьте такі значення:

  • "Стан безпечного завантаження" має значення "Увімкнено"
  • "Kernel DMA Protection" увімкнено
  • "Безпека на основі віртуалізації" - це "Виконується"
  • «Virtualization-Based Security Services Running» містить значення «Гіпервізор примусово виконує цілісність коду» та «Безпечний запуск»
12.png

13.png

Підтримка

Якщо у вас виникли проблеми з апаратним забезпеченням і прошивкою, зверніться до служби підтримки DellУ разі проблем з ОС і програмним забезпеченням зверніться до служби
підтримки Microsoft

Affected Products

Microsoft Windows Server 2022
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 31 Jan 2022
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.