Denne Dell-kunnskapsartikkelen gir veiledning for produktspesifikke trinn for å konfigurere AQ-sertifiserte servere med sikret kjerne til en fullstendig aktivert tilstand.

Gjeldende produkter

Konfigurasjonsveiledningen gjelder for følgende Dell EMC-serverprodukter.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 («EPYCTM-prosessorer i 7003-serien»)
• PowerEdge R7525 ("EPYCTM-prosessorer i 7003-serien")
• PowerEdge C6525 («EPYCTM-prosessorer i 7003-serien»)
• Dell EMC AX-7525 (kun prosessorer i EPYCTM 7003-serien)
• Dell EMC AX-750
• Dell EMC AX-650

BIOS-innstillinger

Nedenfor finner du minimumsversjonen av BIOS for en bestemt plattform som skal brukes for å aktivere sikker kjerne. 
Dette kan hentes fra Dells støtteside .
 

Plattformnavn	Minimumsversjon av BIOS
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. Sikker oppstart må være aktivert
. Sikker oppstart må angis i BIOS-innstillingene under System-BIOS-innstillinger/Systemsikkerhet.


    3.  Serveren må ha TPM 2.0, og den må aktiveres med nødvendige innstillinger som nevnt nedenfor.

• TPM-sikkerhet ved må angis som PÅ i System-BIOS-innstillinger\Systemsikkerhet 
• Andre innstillinger må angis under BIOS-innstillinger\Systemsikkerhet\Avanserte innstillinger for TPM.
  • TPM PPI-forbikobling og Slett TPM PPI-forbikobling må være aktivert.
  • Valg av TPM-algoritme skal angis som "SHA 256"
• Minimum fastvareversjon av TPM:
  • TPM 2.0 – 7.2.2.0
  • CTPM 7.51.6405.5136

       4.    DRTM (Dynamic Root of Trust for måling) må være aktivert i BIOS. For Intel-server, bør DRTM aktiveres, ved å aktivere under BIOS-innstillinger: -

• Direct Memory Access Protection på system-BIOS-innstillinger\Prosessorinnstillinger. 
• "Intel(R) TXT" på System BIOS Settings\System Security.

    For AMD-server bør DRTM aktiveres ved å aktivere under BIOS-innstillinger.

• "Direct Memory Access Protection" under System BIOS Settings\Processor Settings.
• "AMD DRTM" på System BIOS Settings\System Security

    5.    IOMMU og virtualiseringsutvidelse må aktiveres på BIOS. IOMMU og utvidelsen virtualisering for Intel Server bør aktiveres ved å aktivere "Virtualization Technology" i System BIOS Settings \ Processor Settings. 


For AMD Server bør IOMMU og Virtualization Extension aktiveres med under BIOS-innstillingene: -

• "Virtualization Technology" i System BIOS Settings \Processor Settings
• IOMMU-støtte på System BIOS Settings \ Processor Settings.

      For AMD-serveren aktiverer du Secure Memory Encryption (SME) og Transparent Secure Memory Encryption (TSME) for AMD-serveren i System BIOS Settings \Processor settings. »

Operativsysteminnstillinger 

Installere plattformspesifikke drivere 

For Intel-servere, brikkesettdriver (versjon: 10.1.18793.8276 og nyere) bør installeres. For AMD-servere, brikkesettdriver (versjon: 2.18.30.202 og nyere) bør installeres. (AMD DRTM-driveren er en del av denne driverpakken.) Disse driverne kan lastes ned fra https://www.dell.com/support/home/?app=products ->
Skriv inn servermodellnavnet, gå til delen "Driver og nedlastinger", velg OS som Windows Server 2022 LTSC og se etter brikkesettdriver.
For eksempel: For Poweredge R650 bør brikkesettdrivere i Intel Lewisburg C62x-serien være installert.
                 For PowerEdge R6525 bør "AMD SP3 MILAN-serien brikkesettdriver" installeres.

Konfigurere registernøkler for VBS, HVCI og System Guard

Kjør følgende fra ledeteksten:-
reg legg til "HKLM \ SYSTEM \ CurrentControlSet \ Control \ DeviceGuard" / v "EnableVirtualizationBasedSecurity" / t REG_DWORD / d 1 / f reg legg til "HKLM \ SYSTEM \ CurrentControlSet \ Control \ DeviceGuard" / v "RequirePlatformSecurityFeatures" / t REG_DWORD / d 3 / f reg add "HKLM \ SYSTEM \ CurrentControlSet \ Control \ DeviceGuard" / v "Locked" / t REG_DWORD / d 0 / f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

 

Bekreft tilstanden Sikret kjerne 

Følg trinnene nedenfor for å bekrefte at alle funksjonene for Secured-core er riktig konfigurert og kjører:

TPM 2.0

Kjør get-tpm i en PowerShell, og bekreft følgende:

Sikker oppstart, DMA-kjernebeskyttelse, VBS, HVCI og systembeskyttelse

Start msinfo32 fra ledeteksten, og bekreft følgende verdier:

• "Secure Boot State" er "On"
• "DMA-kjernebeskyttelse" er "På"
• "Virtualiseringsbasert sikkerhet" er "Running"
• "Virtualiseringsbaserte sikkerhetstjenester som kjører" inneholder verdien "Hypervisor håndhevet kodeintegritet" og "Sikker lansering"

Support

Ved problemer med maskinvare og fastvare kontakter du Dells kundestøtte Kontakt Microsofts kundestøtte
for problemer med operativsystem og programvare