Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Руководство по внедрению серверов с защищенным ядром на серверах Dell EMC PowerEdge

Summary: В этом документе содержится руководство по включению серверов с защищенным ядром на отдельных серверах Dell EMC PowerEdge.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

В этой статье базы знаний Dell содержатся инструкции по конкретным продуктам для настройки серверов с защищенным ядром, сертифицированных AQ, для работы полностью включенного состояния.

Применимые продукты

Руководство по настройке относится к следующим серверам Dell EMC.
  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 (процессоры серии EPYC™ 7003»)
  • PowerEdge R7525 (процессоры серии EPYC™ 7003»)
  • PowerEdge C6525 (процессоры EPYCTM серии 7003»)
  • Dell EMC AX-7525 (только процессоры EPYCTM серии 7003)
  • Dell EMC AX-750
  • Dell EMC AX-650

Параметры BIOS

Ниже приведена минимальная версия BIOS для конкретной платформы, которая будет использоваться для включения защищенного ядра. 
Его можно получить на странице поддержки Dell .
 
Имя платформы Минимальная версия BIOS
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3..8
Dell EMC AX-650 1.3.8
 
ПРИМЕЧАНИЕ:Система должна загрузиться в режиме UEFI. Режим UEFI должен быть установлен в настройках BIOS в разделе System BIOS Settings/Boot Settings.

Настройки BIOS — режим загрузки UEFI
     
       2. Secure Boot должна быть включена Secure Boot должна быть установлена
в настройках BIOS в разделе System BIOS Settings/System Security.
Настройки BIOS — безопасность системы

    3.  Сервер должен иметь модуль TPM 2.0 и его необходимо включить с требуемыми настройками, как указано ниже.
  • Параметр «Безопасность TPM в» должен быть установлен в значение «ВКЛ» в пункте Параметры BIOS системы/Безопасность системы. 
  • Другие параметры необходимо задать в разделе Параметры BIOS/Безопасность системы/Дополнительные настройки TPM.
    • Должны быть включены функции Обход PPI TPM и Очистка обхода PPI TPM.
    • Для параметра «Выбор алгоритма TPM» должно быть задано значение «SHA 256».
  • Минимальная версия микропрограммы модуля TPM:
    • TPM 2.0 – 7.2.2.0
    • СТПМ 7.51.6405.5136
Дополнительные параметры TPM

Дополнительные параметры TPM

       4.    В BIOS необходимо включить DRTM (динамический корень доверия для измерений). Для сервера Intel необходимо включить DRTM, включив следующие настройки BIOS:
  • Защита прямого доступа к памяти» в System BIOS Settings\Processor Settings. 
  • «Intel(R) TXT» в меню «Настройки BIOS»\«Безопасность системы».
Параметры процессора
Настройки TXT

    Для сервера AMD необходимо включить DRTM, включив следующие настройки BIOS.
  • «Защита прямого доступа к памяти» в разделе System BIOS Settings\Processor Settings.
  • «AMD DRTM» в разделе «Настройки BIOS»\«Безопасность системы»
AMD DRTM

    5.    В BIOS должны быть включены IOMMU и расширение виртуализации. Для сервера Intel IOMMU и расширение виртуализации должны быть включены, включив «Virtualization Technology» в разделе System BIOS Settings \Processor Settings. 
Технология виртуализации Intel

Для сервера AMD следует включить IOMMU и расширение виртуализации с приведенными ниже настройками BIOS:
  • «Технология виртуализации» в System BIOS Settings \Processor Settings
  • Поддержка IOMMU в разделе System BIOS Settings > Processor Settings.

AMD IOMMU

      Для сервера AMD в разделе System BIOS Settings\Processor Settings включите Secure Memory Encryption (SME) и Transparent Secure Memory Encryption (TSME). »
Secure Memory Encryption (SME) и Transparent SME (TSME)

Настройки ОС 

Установка драйверов для конкретной платформы 

Для серверов Intel драйвер набора микросхем (версия: 10.1.18793.8276 и выше). Для серверов AMD: драйвер набора микросхем (версия: 2.18.30.202 и выше). (Драйвер AMD DRTM входит в этот пакет драйверов.) Эти драйверы можно скачать из https://www.dell.com/support/home/?app=products ->
Введите название модели сервера, перейдите в раздел «Драйверы и загружаемые материалы», выберите ОС Windows Server 2022 LTSC и найдите драйвер набора микросхем.
Например, для Poweredge R650 должны быть установлены драйверы набора микросхем Intel Lewisburg серии C62x.
                 Для Poweredge R6525 должен быть установлен драйвер для набора микросхем AMD MILAN с пакетом обновления 3.

Настройка разделов реестра для VBS, HVCI и System Guard

Выполните следующую команду из командной строки:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

ПРИМЕЧАНИЕ:После выполнения этих команд система должна перейти в цикл перезагрузки. Вышеуказанные операции можно выполнить, выполнив приведенный ниже сценарий PowerShell.
 

Проверьте состояние защищенного ядра 

Чтобы убедиться, что все функции защищенного ядра правильно настроены и работают, выполните следующие действия.

TPM 2.0

Запустите get-tpm в PowerShell и подтвердите следующее:
Get-TPM

Безопасная загрузка, защита DMA ядра, VBS, HVCI и System Guard

Запустите msinfo32 из командной строки и подтвердите следующие значения:

  • «Состояние безопасной загрузки» — «Вкл.»
  • «Kernel DMA Protection» находится в состоянии «On»
  • «Безопасность на основе виртуализации» находится в состоянии «Выполняется»
  • «Службы безопасности на основе виртуализации выполняются» содержит значение «Принудительная целостность кода низкоуровневой оболочки» и «Безопасный запуск»
12.png

13.png

Поддержка

При возникновении проблем с оборудованием и микропрограммой обратитесь в службу поддержки Dell При возникновении проблем с ОС и ПО обратитесь в службу поддержки
Microsoft

Affected Products

Microsoft Windows Server 2022
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 31 Jan 2022
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.