Dell EMC PowerEdgeサーバーに関するセキュアコア サーバー有効化ガイド
Summary: このドキュメントでは、選択したDell EMC PowerEdgeサーバーでセキュアコア サーバーを有効にする方法についてのガイダンスを提供します。
This article applies to
This article does not apply to
Instructions
このDell KBでは、セキュアコア サーバーAQ認定サーバーを完全に有効な状態に構成するための製品固有の手順に関するガイダンスを提供します。
これは、 Dellサポート ページ から入手できます。
2.セキュア ブートを有効にする
必要があります。セキュア ブートは、BIOS設定のSystem BIOS Settings/System Securityで設定する必要があります。
3. サーバーにはTPM 2.0が必要であり、以下に示すように必要な設定でTPM 2.0を有効にする必要があります。
4. DRTM(Dynamic Root of Trust for Measurement)は、BIOSで有効にする必要があります。インテル サーバーの場合は、以下のBIOS設定を有効にして、DRTMを有効にする必要があります。
AMDサーバーの場合は、下のBIOS設定を有効にして、DRTMを有効にする必要があります。
5. IOMMUと仮想化拡張機能はBIOSで有効にする必要があります。インテル サーバーの場合、IOMMUおよび仮想化拡張機能は、システムBIOS設定\プロセッサー設定で「仮想化テクノロジー」を有効にして有効にする必要があります。
AMDサーバーの場合、次のBIOS設定でIOMMUおよび仮想化拡張機能を有効にする必要があります。
AMDサーバーの場合は、System BIOS Settings\Processor settingsで、Secure Memory Encryption (SME)とTransparent Secure Memory Encryption (TSME)を有効にします。」
サーバーモデル名を入力し、「ドライバーおよびダウンロード」セクションに移動し、OSをWindows Server 2022 LTSCとして選択し、チップセットドライバーを探します。
たとえば、PowerEdge R650の場合は、「Intel Lewisburg C62x Series Chipset Drivers」をインストールする必要があります。
PowerEdge R6525の場合は、「AMD SP3 MILANシリーズ チップセット用ドライバー」をインストールする必要があります。
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "有効" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "ロック" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "有効" /t REG_DWORD /d 1 /f
にお問い合わせください
対象製品
構成ガイダンスは、次のDell EMCサーバー製品に適用されます。- PowerEdge R750
- PowerEdge R750xa
- PowerEdge R650
- PowerEdge MX750c
- PowerEdge C6520
- PowerEdge R750xs
- PowerEdge R650xs
- PowerEdge R450
- PowerEdge R550
- PowerEdge T550
- PowerEdge XR11
- PowerEdge XR12
- PowerEdge R6525(「EPYCTM 7003シリーズ プロセッサー」)
- PowerEdge R7525(「EPYCTM 7003シリーズ プロセッサー」)
- PowerEdge C6525(「EPYCTM 7003シリーズ プロセッサー」)
- Dell EMC AX-7525(EPYCTM 7003シリーズ プロセッサーのみ)
- Dell EMC AX-750
- Dell EMC AX-650
BIOSの設定
以下は、セキュア コアを有効にするために使用する特定のプラットフォーム用のBIOSの最小バージョンです。これは、 Dellサポート ページ から入手できます。
| プラットフォーム名 | BIOSの最小バージョン |
| PowerEdge R750 | 1.3.8 |
| PowerEdge R750xa | 1.3.8 |
| PowerEdge R650 | 1.3.8 |
| PowerEdge MX750c | 1.3.8 |
| PowerEdge C6520 | 1.3.8 |
| PowerEdge R750xs | 1.3.8 |
| PowerEdge R650xs | 1.3.8 |
| PowerEdge R450 | 1.3.8 |
| PowerEdge R550 | 1.3.8 |
| PowerEdge R6525 | 2.3.6 |
| PowerEdge R7525 | 2.3.6 |
| PowerEdge C6525 | 2.3.6 |
| Dell EMC AX-7525 | 2.3.6 |
| Dell EMC AX-750 | 1.3..8 |
| Dell EMC AX-650 | 1.3.8 |
メモ:システムはUEFIモードで起動する必要があります。UEFIモードは、[System BIOS Settings]/[Boot Settings]のBIOS設定で設定する必要があります。
2.セキュア ブートを有効にする
必要があります。セキュア ブートは、BIOS設定のSystem BIOS Settings/System Securityで設定する必要があります。
3. サーバーにはTPM 2.0が必要であり、以下に示すように必要な設定でTPM 2.0を有効にする必要があります。
- [TPM Security]は、[System BIOS Settings\System Security]で[ON]に設定する必要があります
- その他の設定は、BIOS Settings\System Security\TPM Advanced Settingsで設定する必要があります。
- [TPM PPI Bypass]と[TPM PPI Bypass Clear]を有効にする必要があります。
- TPMアルゴリズムの選択は「SHA 256」に設定する必要があります
- TPMの最小FWバージョン:
- TPM 2.0 – 7.2.2.0
- CTPMの7.51.6405.5136
4. DRTM(Dynamic Root of Trust for Measurement)は、BIOSで有効にする必要があります。インテル サーバーの場合は、以下のBIOS設定を有効にして、DRTMを有効にする必要があります。
- Direct Memory Access Protection」が[System BIOS Settings\Processor Settings]にあります。
- System BIOS Settings\System Securityにある「Intel(R) TXT」。
AMDサーバーの場合は、下のBIOS設定を有効にして、DRTMを有効にする必要があります。
- [System BIOS Settings\Processor Settings]の[Direct Memory Access Protection]。
- System BIOS Settings\System Securityの「AMD DRTM」
5. IOMMUと仮想化拡張機能はBIOSで有効にする必要があります。インテル サーバーの場合、IOMMUおよび仮想化拡張機能は、システムBIOS設定\プロセッサー設定で「仮想化テクノロジー」を有効にして有効にする必要があります。
AMDサーバーの場合、次のBIOS設定でIOMMUおよび仮想化拡張機能を有効にする必要があります。
- [Virtualization Technology]の[System BIOS Settings]\[Processor Settings]
- システムBIOS設定\プロセッサー設定でのIOMMUサポート。
AMDサーバーの場合は、System BIOS Settings\Processor settingsで、Secure Memory Encryption (SME)とTransparent Secure Memory Encryption (TSME)を有効にします。」
[OS Settings]
プラットフォーム固有のドライバーのインストール
インテル サーバーの場合、チップセット ドライバー(バージョン: 10.1.18793.8276以降)をインストールする必要があります。AMDサーバーの場合、チップセット ドライバー(バージョン: 2.18.30.202以降)をインストールする必要があります。(AMD DRTM用ドライバーはこのドライバー パッケージの一部です)。これらのドライバーは https://www.dell.com/support/home/?app=products からダウンロードできます ->サーバーモデル名を入力し、「ドライバーおよびダウンロード」セクションに移動し、OSをWindows Server 2022 LTSCとして選択し、チップセットドライバーを探します。
たとえば、PowerEdge R650の場合は、「Intel Lewisburg C62x Series Chipset Drivers」をインストールする必要があります。
PowerEdge R6525の場合は、「AMD SP3 MILANシリーズ チップセット用ドライバー」をインストールする必要があります。
VBS、HVCI、System Guardのレジストリー キーを設定する
コマンド プロンプトから次のコマンドを実行します。-reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "有効" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "ロック" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "有効" /t REG_DWORD /d 1 /f
メモ:これらのコマンドを実行した後、システムは再起動サイクルに入るはずです。上記の操作は、以下のPowerShellスクリプトを実行することで実行できます。
セキュアコアの状態を確認する
すべてのセキュアコア機能が正しく構成され、実行されていることを確認するには、次の手順に従います。TPM 2.0
PowerShellでget-tpmを実行し、次のことを確認します。
セキュア ブート、カーネルDMA保護、VBS、HVCI、System Guard
コマンド プロンプトからmsinfo32を起動し、次の値を確認します。
- セキュア ブート状態が「オン」です
- 「カーネルDMA保護」が「オン」です
- [Virtualization-Based Security]が[Running]になっている
- 「Virtualization-Based Security Services Running」には、「Hypervisor enforced Code Integrity」と「Secure Launch」という値が含まれています。
サポート
ハードウェアとファームウェアの問題については、Dellサポートにお問い合わせください。OSとソフトウェアの問題については、Microsoftサポートにお問い合わせください