Ця база знань Dell містить вказівки щодо конкретних кроків для конкретного продукту для налаштування серверів, сертифікованих AQ із захищеним ядром, до повністю ввімкненого стану.

Застосовні продукти

Інструкції з налаштування стосуються наведених нижче серверних продуктів Dell EMC.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 (процесори серії EPYCTM 7003)
• PowerEdge R7525 ("процесори серії EPYCTM 7003")
• PowerEdge C6525 («процесори серії EPYCTM 7003»)
• Dell EMC AX-7525 (тільки для процесорів серії EPYCTM 7003)
• Dell EMC AX-750
• Dell EMC AX-650

Налаштування BIOS

Нижче наведено мінімальну версію BIOS для конкретної платформи, яка буде використовуватися для включення безпечного ядра. 
Це можна отримати на сторінці підтримки Dell .
 

Назва платформи	Мінімальна версія BIOS
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. Безпечне завантаження має бути ввімкнено
Безпечне завантаження має бути встановлено в налаштуваннях BIOS у розділі Налаштування BIOS системи/Безпека системи.


    3.  Сервер повинен мати модуль TPM 2.0, і його потрібно ввімкнути з необхідними налаштуваннями, як зазначено нижче.

• TPM Security має бути встановлено як ON у розділі Параметри системного BIOS\Безпека системи 
• Інші параметри потрібно встановити в розділі Налаштування BIOS\Безпека системи\Розширені налаштування модуля TPM.
  • Необхідно ввімкнути функції TPM PPI Bypass і TPM PPI Bypass Clear.
  • Вибір алгоритму TPM повинен бути встановлений як "SHA 256"
• Мінімальна FW-версія TPM:
  • TPM 2.0–7.2.2.0
  • CTPM 7.51.6405.5136

       4.    DRTM (Dynamic Root of Trust for Measurement) повинен бути включений в BIOS. Для сервера Intel DRTM слід увімкнути, увімкнувши нижче налаштування BIOS:

• Захист прямого доступу до пам'яті» в налаштуваннях системного BIOS\Налаштування процесора. 
• "Intel(R) TXT" у налаштуваннях системного BIOS\Безпека системи.

    Для сервера AMD DRTM слід увімкнути, увімкнувши його нижче Налаштування BIOS.

• "Прямий захист доступу до пам'яті" в налаштуваннях системного BIOS\Налаштування процесора.
• "AMD DRTM" у налаштуваннях системного BIOS\Безпека системи

    5.    IOMMU та розширення віртуалізації повинні бути включені в BIOS. Для Intel Server розширення IOMMU та віртуалізації слід увімкнути, увімкнувши "Технологію віртуалізації" в розділі Налаштування BIOS системи \ Налаштування процесора. 


Для сервера AMD IOMMU та розширення віртуалізації повинні бути ввімкнені з наведеними нижче налаштуваннями BIOS:

• "Технологія віртуалізації" в налаштуваннях BIOS системи \Налаштування процесора
• Підтримка IOMMU в налаштуваннях BIOS системи \ Налаштування процесора.

      Для сервера AMD у Налаштуваннях системного BIOS \Налаштування процесора увімкніть Secure Memory Encryption (SME) та Transparent Secure Memory Encryption (TSME). "

Налаштування ОС 

Інсталяція драйверів для конкретної платформи 

Для серверів Intel драйвер чіпсета (версія: 10.1.18793.8276 і вище). Для серверів AMD драйвер чіпсета (версія: 2.18.30.202 і вище). (Драйвер AMD DRTM є частиною цього пакета драйверів.) Ці драйвери можна завантажити з https://www.dell.com/support/home/?app=products ->
Введіть назву моделі сервера, перейдіть до розділу «Драйвери та завантаження», виберіть ОС як Windows Server 2022 LTSC і знайдіть драйвер чіпсета.
Наприклад, для Poweredge R650 слід встановити «Драйвери чіпсета серії Intel Lewisburg C62x».
                 Для Poweredge R6525 слід встановити «Драйвер чіпсета серії AMD SP3 MILAN».

Налаштування розділів реєстру для VBS, HVCI та System Guard

Запустіть наступне з командного рядка:-
reg додайте "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg додати "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\ControlGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg додати "HKLM\System\CurrentControlSet\Control\Control\Scenarios\SystemGuard" /v "Увімкнено" /t REG_DWORD /d 1 /f

 

Підтвердьте стан захищеного ядра 

Щоб переконатися, що всі функції Secured-core правильно налаштовані та працюють, виконайте наведені нижче дії.

Модуль TPM 2.0

Запустіть get-tpm в оболонці PowerShell і підтвердьте наступне:

Безпечне завантаження, захист ядра DMA, VBS, HVCI та System Guard

Запустіть msinfo32 з командного рядка та підтвердьте такі значення:

• "Стан безпечного завантаження" має значення "Увімкнено"
• "Kernel DMA Protection" увімкнено
• "Безпека на основі віртуалізації" - це "Виконується"
• «Virtualization-Based Security Services Running» містить значення «Гіпервізор примусово виконує цілісність коду» та «Безпечний запуск»

Підтримка

Якщо у вас виникли проблеми з апаратним забезпеченням і прошивкою, зверніться до служби підтримки DellУ разі проблем з ОС і програмним забезпеченням зверніться до служби
підтримки Microsoft