Tato znalostní databáze Dell obsahuje pokyny pro postup konfigurace serverů se zabezpečeným jádrem a certifikací AQ do stavu plné povolenosti.

Použitelné produkty

Pokyny ke konfiguraci platí pro následující serverové produkty Dell EMC.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 ("procesory EPYCTM řady 7003")
• PowerEdge R7525 ("procesory EPYCTM řady 7003")
• PowerEdge C6525 ("procesory EPYCTM řady 7003")
• Dell EMC AX-7525 (pouze procesory EPYCTM řady 7003)
• Dell EMC AX-750
• Dell EMC AX-650

Nastavení systému BIOS

Níže je uvedena minimální verze systému BIOS pro konkrétní platformu, která se má použít k povolení zabezpečeného jádra. 
To lze získat na stránce podpory společnosti Dell .
 

Název platformy	Minimální verze systému BIOS
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. Zabezpečené spouštění musí být povoleno
: Zabezpečené spouštění musí být nastaveno v nastavení systému BIOS na stránce Nastavení systému BIOS / Zabezpečení systému.


    3.  Server musí mít modul TPM 2.0 a musí mít povolen požadovaná nastavení, jak je uvedeno níže.

• V části Nastavení systému BIOS / Zabezpečení systému musí být možnost TPM Security at nastavena na hodnotu ON 
• Další nastavení je nutné provést v části Nastavení systému BIOS\Zabezpečení systému\Pokročilá nastavení TPM.
  • Musí být povolena funkce Přemostění TPM PPI a vymazání vymazání přemostění TPM PPI.
  • Výběr algoritmu čipu TPM by měl být nastaven na hodnotu "SHA 256".
• Minimální verze firmwaru modulu TPM:
  • TPM 2.0 – 7.2.2.0
  • CTPM 7.51.6405.5136

       4.    V systému BIOS je nutné povolit funkci DRTM (Dynamic Root of Trust for Measurement). U serverů Intel by měl být nástroj DRTM povolen povolením níže uvedených nastavení systému BIOS:

• Direct Memory Access Protection" v nastavení systému BIOS / nastavení procesoru. 
• "Intel(R) TXT" v nastavení systému BIOS/Zabezpečení systému.

    V případě serverů AMD je třeba povolit funkci DRTM povolením v níže uvedených nastaveních systému BIOS.

• "Direct Memory Access Protection" v nastavení systému BIOS Settings/Processor Settings.
• "AMD DRTM" v nabídce System BIOS Settings\System Security

    5.    IOMMU a Virtualization Extension musí být povoleny v systému BIOS. V případě serverů Intel je třeba povolit IOMMU a Virtualization Extension povolením možnosti "Virtualization Technology" v nabídce System BIOS Settings\Processor Settings. 


V případě serveru AMD by měly být povoleny funkce IOMMU a Virtualization Extension s níže uvedenými nastaveními systému BIOS:

• "Virtualization Technology" v nastaveních systému BIOS/Nastavení procesoru
• Podpora IOMMU v nastavení systému BIOS Settings \Processor Settings.

      U serveru AMD povolte v části Nastavení systému BIOS \Nastavení procesoru možnost Secure Memory Encryption (SME) a Transparent Secure Memory Encryption (TSME). “.

OS Settings 

Instalace ovladačů specifických pro konkrétní platformu 

V případě serverů Intel ovladač čipové sady (verze: 10.1.18793.8276 a vyšší). Pro servery AMD ovladač čipové sady (verze: 2.18.30.202 a vyšší). (Ovladač AMD DRTM je součástí tohoto balíčku ovladačů.) Tyto ovladače lze stáhnout z https://www.dell.com/support/home/?app=products –>
Zadejte název modelu serveru, přejděte do části "Ovladač a soubory ke stažení", vyberte OS jako Windows Server 2022 LTSC a vyhledejte ovladač čipové sady.
Příklad: Pro server PowerEdge R650 je třeba nainstalovat "Ovladače čipové sady Intel Lewisburg řady C62x".
                 Pro server PowerEdge R6525 by měl být nainstalován ovladač čipové sady AMD SP3 MILAN Series.

Konfigurace klíčů registru pro VBS, HVCI a funkci System Guard

Z příkazového řádku spusťte následující příkaz:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Uzamčeno" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Povoleno" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "uzamčeno" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Povoleno" /t REG_DWORD /d 1 /f

 

Potvrzení stavu zabezpečeného jádra 

Pokud chcete ověřit, že jsou všechny funkce zabezpečeného jádra správně nakonfigurované a spuštěné, postupujte podle následujících kroků:

TPM 2.0

Spusťte get-tpm v PowerShellu a potvrďte následující:

Zabezpečené spouštění, ochrana Kernel DMA, VBS, HVCI a ochrana systému

Z příkazového řádku spusťte msinfo32 a potvrďte následující hodnoty:

• Stav "Secure Boot State" je "On"
• "Kernel DMA Protection" je "On"
• "Virtualization-Based Security" je spuštěno.
• "Virtualization-Based Security Services Running" obsahuje hodnoty "Hypervisor Forced Code Integrity" a "Secure Launch"

Podpora

V případě problémů s hardwarem a firmwarem kontaktujte podporu společnosti Dell. V případě problémů s operačním systémem a softwarem se obraťte na podporu
společnosti Microsoft.