Skip to main content
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products

Güvenli çekirdekli Sunucular Dell EMC PowerEdge Sunucularında Etkinleştirme Kılavuzu

Summary: Bu belge, seçilen Dell EMC PowerEdge sunucularında güvenli çekirdekli sunucuları etkinleştirme konusunda bir rehberlik sağlar.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.

Instructions

Bu Dell KB, Güvenli Çekirdekli Sunucular AQ sertifikalı sunucuları tam etkin bir duruma yapılandırmak için ürüne özel adımlar için bir rehberlik sağlar.

Uygulanabilir ürünler

Yapılandırma kılavuzu aşağıdaki Dell EMC sunucu ürünleri için geçerlidir.
  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 ("EPYCTM 7003 serisi işlemciler")
  • PowerEdge R7525 ("EPYCTM 7003 serisi işlemciler")
  • PowerEdge C6525 ("EPYCTM 7003 serisi işlemciler")
  • Dell EMC AX-7525 (yalnızca EPYCTM 7003 serisi işlemciler)
  • Dell EMC AX-750
  • Dell EMC AX-650

BIOS Ayarları

Aşağıda, güvenli çekirdeği etkinleştirmek için kullanılacak belirli bir platform için minimum BIOS sürümü verilmiştir. 
Bu, Dell destek sayfasından edinilebilir.
 
Platform Adı Minimum BIOS Sürümü
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3..8
Dell EMC AX-650 1.3.8
 
NOT:Sistem UEFI modunda önyüklenmelidir. UEFI modu, Sistem BIOS Ayarları/Önyükleme Ayarları bölümündeki BIOS ayarlarında ayarlanmalıdır.

Sistem BIOS Ayarları - UEFI önyükleme modu
     
       2. Güvenli Önyükleme etkinleştirilmelidir
Güvenli Önyükleme, Sistem BIOS Ayarları/Sistem Güvenliği konumundaki BIOS ayarlarında ayarlanmalıdır.
Sistem BIOS ayarları - Sistem Güvenliği

    3.  Sunucuda TPM 2.0 olmalı ve aşağıda belirtildiği gibi gerekli ayarlarla etkinleştirilmelidir.
  • TPM Güvenliği konumu, Sistem BIOS Ayarları\Sistem Güvenliği bölümünde AÇIK olarak ayarlanmalıdır 
  • Diğer Ayarlar, BIOS Ayarları\Sistem Güvenliği\TPM Gelişmiş Ayarlar bölümünde ayarlanmalıdır.
    • TPM PPI Atlama ve TPM PPI Atlama Temizleme etkinleştirilmelidir.
    • TPM Algoritma Seçimi "SHA 256" olarak ayarlanmalıdır
  • TPM'nin Minimum FW Sürümü:
    • TPM 2.0 - 7.2.2.0
    • CTPM 7.51.6405.5136
TPM Gelişmiş ayarları

TPM Gelişmiş ayarları

       4.    DRTM (Ölçüm için Dinamik Güven Kökü) BIOS'ta etkinleştirilmelidir. Intel sunucusu için, aşağıdaki BIOS Ayarları etkinleştirilerek DRTM etkinleştirilmelidir:-
  • Sistem BIOS Ayarları\İşlemci Ayarları nda "Doğrudan Bellek Erişim Koruması". 
  • Sistem BIOS Ayarları\Sistem Güvenliği bölümünde "Intel(R) TXT".
İşlemci Ayarları
TXT Ayarları

    AMD sunucusunda, aşağıdaki BIOS Ayarları etkinleştirilerek DRTM etkinleştirilmelidir.
  • Sistem BIOS Ayarları\İşlemci Ayarları nda "Doğrudan Bellek Erişim Koruması".
  • Sistem BIOS Ayarları\Sistem Güvenliği bölümünde "AMD DRTM"
AMD DRTM

    5.    IOMMU ve Sanallaştırma Uzantısı BIOS'ta etkinleştirilmelidir. Intel Server IOMMU ve Sanallaştırma Uzantısı için, Sistem BIOS Ayarları \İşlemci Ayarları konumunda "Sanallaştırma Teknolojisi" etkinleştirilerek etkinleştirilmelidir. 
Intel Sanallaştırma Teknolojisi

AMD Server için IOMMU ve Sanallaştırma Uzantısı aşağıdaki BIOS ayarlarıyla etkinleştirilmelidir:
  • Sistem BIOS Ayarları \İşlemci Ayarları konumunda "Sanallaştırma Teknolojisi"
  • Sistem BIOS Ayarları \İşlemci Ayarları konumunda IOMMU Desteği.

AMD IOMMU

      AMD sunucusu için Sistem BIOS Ayarları \İşlemci ayarlarında Güvenli Bellek Şifrelemesi'ni (SME) ve Şeffaf Güvenli Bellek Şifrelemesi'ni (TSME) etkinleştirin. )
Güvenli Bellek Şifreleme (SME) ve Şeffaf SME (TSME)

OS Settings (OS Ayarları) 

Platforma özel sürücüleri yükleyin 

Intel Sunucular için, yonga seti sürücüsü (sürüm: 10.1.18793.8276 ve üzeri) yüklenmelidir. AMD Sunucuları için, Yonga Seti sürücüsü (sürüm: 2.18.30.202 ve üzeri) yüklenmelidir. (AMD DRTM sürücüsü bu sürücü paketinin bir parçasıdır.). Bu sürücüler https://www.dell.com/support/home/?app=products adresinden indirilebilir ->
Sunucu model adını girin, "Sürücü ve İndirmeler" bölümüne gidin, Windows Server 2022 LTSC olarak işletim sistemini seçin ve yonga seti sürücüsünü arayın.
Örnek, PowerEdge R650 için "Intel Lewisburg C62x Serisi Yonga Seti Sürücüleri" yüklenmelidir.
                 PowerEdge R6525 için "AMD SP3 MILAN Serisi Yonga Seti sürücüsü" yüklenmelidir.

VBS, HVCI ve System Guard için kayıt defteri anahtarlarının yapılandırılması

Komut isteminden aşağıdakileri çalıştırın:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

NOT:Bu komutları çalıştırdıktan sonra sistem yeniden başlatma döngüsüne geçmelidir. Yukarıdaki İşlemler Aşağıdaki PowerShell Betiği Çalıştırılarak Gerçekleştirilebilir.
 

Güvenli çekirdek durumunu onaylayın 

Tüm Güvenli çekirdek özelliklerinin doğru şekilde yapılandırıldığını ve çalıştığını onaylamak için aşağıdaki adımları izleyin:

TPM 2.0

PowerShell'de get-tpm komutunu çalıştırın ve aşağıdakileri onaylayın:
TPM'yi Al

Güvenli önyükleme, Çekirdek DMA Koruması, VBS, HVCI ve Sistem Koruması

Komut isteminden msinfo32'yi başlatın ve aşağıdaki değerleri onaylayın:

  • Secure Boot State" "On" (Güvenli Önyükleme Durumu)
  • Çekirdek DMA Koruması" "Açık"
  • "Sanallaştırma Tabanlı Güvenlik" "Çalışıyor"
  • Virtualization-Based Security Services Running", "Hypervisor tarafından zorunlu kılınan Code Integrity" ve "Secure Launch" değerini içerir
12.png

13.png

Destek

Donanım ve Bellenim sorunları için Delldesteğine başvurun İşletim sistemi ve yazılım sorunları için Microsoft desteğine
başvurun

Affected Products

Microsoft Windows Server 2022
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 31 Jan 2022
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.