Este Dell KB fornece uma orientação para as etapas específicas do produto para configurar servidores de núcleo seguro com certificação AQ para um estado totalmente habilitado.

Produtos aplicáveis

A orientação de configuração aplica-se aos seguintes produtos de servidor da Dell EMC.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 ("Processadores EPYCTM série 7003")
• PowerEdge R7525 ("Processadores EPYCTM série 7003")
• PowerEdge C6525 ("Processadores EPYCTM série 7003")
• Dell EMC AX-7525 (somente processadores EPYCTM série 7003)
• Dell EMC AX-750
• Dell EMC AX-650

Configurações do BIOS

Veja abaixo a versão mínima do BIOS para uma plataforma específica a ser usada para habilitar o núcleo seguro. 
Isso pode ser obtido na página de suporte da Dell .
 

Nome da plataforma	Versão mínima do BIOS
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. A inicialização segura deve estar ativada
, a inicialização segura deve ser definida nas configurações do BIOS em Configurações do BIOS do sistema/Segurança do sistema.


    3.  O servidor deve ter o TPM 2.0 e deve estar ativado com as configurações necessárias, conforme mencionado abaixo.

• A segurança do TPM em deve ser definida como ON em System BIOS Settings\System Security 
• Outras configurações devem ser definidas em BIOS Settings\System Security\TPM Advanced Settings.
  • TPM PPI Bypass e TPM PPI Bypass Clear devem estar ativados.
  • A seleção do algoritmo TPM deve ser definida como "SHA 256"
• Versão mínima de firmware do TPM:
  • TPM 2.0 a 7.2.2.0
  • CTPM 7.51.6405.5136

       4.    A DRTM (raiz dinâmica de confiança para medição) deve ser ativada no BIOS. Para o servidor Intel, a DRTM deve ser ativada, ativando as configurações abaixo do BIOS:-

• Direct Memory Access Protection" em System BIOS Settings\Processor Settings. 
• "Intel(R) TXT" em Configurações do BIOS do sistema\Segurança do sistema.

    Para o servidor AMD, a DRTM deve ser ativada, ativando abaixo as configurações do BIOS.

• "Direct Memory Access Protection" em System BIOS Settings\Processor Settings.
• "AMD DRTM" em Configurações do BIOS do sistema\Segurança do sistema

    5.    IOMMU e extensão de virtualização devem ser ativados no BIOS. Para Intel Server IOMMU e Virtualization Extension devem ser ativados ativando "Virtualization Technology" em System BIOS Settings \Processor Settings. 


Para o servidor AMD, o IOMMU e a extensão de virtualização devem ser ativados com as configurações abaixo do BIOS:

• "Virtualization Technology" em System BIOS Settings \Processor Settings
• Suporte a IOMMU em System BIOS Settings \Processor Settings.

      Para o servidor AMD, nas configurações System BIOS Settings\Processor, habilite Secure Memory Encryption (SME) e Transparent Secure Memory Encryption (TSME). "

Configurações do SO 

Instalar drivers específicos da plataforma 

Para servidores Intel, driver do chipset (versão: 10.1.18793.8276 e superior) deve ser instalado. Para servidores AMD, driver do chipset (versão: 2.18.30.202 e superior) deve ser instalado. (O driver AMD DRTM faz parte deste pacote de drivers.). É possível fazer download desses drivers https://www.dell.com/support/home/?app=products ->
Digite o nome do modelo do servidor, acesse a seção "Driver & Downloads", escolha SO como Windows Server 2022 LTSC e procure o driver do chipset.
Por exemplo, para o PowerEdge R650, "Intel Lewisburg C62x Series Chipset Drivers" devem ser instalados.
                 Para o PowerEdge R6525, "AMD SP3 MILAN Series Chipset driver" deve ser instalado.

Configurar chaves de registro para VBS, HVCI e System Guard

Execute o seguinte no prompt de comando:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

 

Confirme o estado de núcleo protegido 

Para confirmar se todos os recursos de núcleo seguro estão configurados e em execução corretamente, siga as etapas abaixo:

TPM 2.0

Execute get-tpm em um PowerShell e confirme o seguinte:

Secure boot, Kernel DMA Protection, VBS, HVCI e System Guard

Inicie msinfo32 no prompt de comando e confirme os seguintes valores:

• "Secure Boot State" é "On"
• "Kernel DMA Protection" está "On"
• "Segurança baseada em virtualização" está "Em execução"
• "Serviços de segurança baseados em virtualização em execução" contém o valor "Hypervisor enforced code integrity" e "Secure Launch"

Serviço de suporte

Para problemas de hardware e firmware, entre em contato com o suporte da DellPara problemas de sistema operacional e software, entre em contato com o suporte
da Microsoft