Dieser Dell Wissensdatenbank-Artikel enthält eine Anleitung für produktspezifische Schritte, mit denen Secured-Core-Server, AQ-zertifizierte Server, in einen vollständig aktivierten Status versetzt werden können.

Betroffene Produkte

Die Konfigurationsanleitung gilt für die folgenden Dell EMC Serverprodukte.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 ("Prozessoren der EPYCTM 7003-Serie")
• PowerEdge R7525 ("Prozessoren der EPYCTM 7003-Serie")
• PowerEdge C6525 ("Prozessoren der EPYCTM 7003-Serie")
• Dell EMC AX-7525 (nur Prozessoren der EPYCTM 7003-Serie)
• Dell EMC AX-750
• Dell EMC AX-650

Einstellungen des BIOS

Nachfolgend finden Sie die Mindestversion des BIOS für die jeweilige Plattform, die für die Aktivierung von Secure Core verwendet werden soll. 
Diese kann von der Dell Support-Seite abgerufen werden.
 

Plattformname	Mindest-BIOS-Version
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. Secure Boot muss aktiviert sein. Secure Boot muss in
den BIOS-Einstellungen unter System-BIOS-Einstellungen/Systemsicherheit festgelegt werden.


    3.  Der Server muss über TPM 2.0 verfügen und mit den unten aufgeführten erforderlichen Einstellungen aktiviert sein.

• TPM-Sicherheit bei muss unter "System-BIOS-Einstellungen\Systemsicherheit" auf "EIN" gesetzt werden. 
• Andere Einstellungen müssen unter BIOS-Einstellungen\Systemsicherheit\Erweiterte TPM-Einstellungen festgelegt werden.
  • TPM PPI Bypass und TPM PPI Bypass Clear müssen aktiviert sein.
  • Die Auswahl des TPM-Algorithmus sollte auf "SHA 256" festgelegt werden.
• Minimale FW-Version des TPM:
  • TPM 2.0 – 7.2.2.0
  • CTPM 7.51.6405.5136

       4.    DRTM (Dynamic Root of Trust for Measurement) muss im BIOS aktiviert sein. Für Intel-Server sollte DRTM aktiviert werden, indem Sie die folgenden BIOS-Einstellungen aktivieren:

• Direct Memory Access Protection" unter "System-BIOS-Einstellungen\Prozessoreinstellungen". 
• "Intel(R) TXT" unter "System-BIOS-Einstellungen\Systemsicherheit".

    Bei AMD-Servern sollte DRTM aktiviert werden, indem Sie es unten in den BIOS-Einstellungen aktivieren.

• "Direct Memory Access Protection" unter "System-BIOS-Einstellungen\Prozessoreinstellungen".
• "AMD DRTM" unter "System BIOS Settings\System Security"

    5.    IOMMU und Virtualisierungserweiterung müssen im BIOS aktiviert werden. Für Intel Server sollten IOMMU und Virtualisierungserweiterung aktiviert werden, indem "Virtualisierungstechnologie" unter System-BIOS-Einstellungen\Prozessoreinstellungen aktiviert wird. 


Für AMD-Server müssen IOMMU und Virtualisierungserweiterung mit den folgenden BIOS-Einstellungen aktiviert werden:

• "Virtualization Technology" unter "System BIOS Settings" > "Processor Settings"
• IOMMU-Unterstützung unter "System-BIOS-Einstellungen" \"Prozessoreinstellungen".

      Aktivieren Sie für den AMD-Server unter System BIOS Settings \Processor settings Secure Memory Encryption (SME) und Transparent Secure Memory Encryption (TSME). “

OS Settings 

Installieren plattformspezifischer Treiber 

Für Intel Server, Chipsatztreiber (Version: 10.1.18793.8276 und höher) installiert sein. Für AMD-Server, Chipsatztreiber (Version: 2.18.30.202 und höher) installiert sein. (Der AMD DRTM-Treiber ist Teil dieses Treiberpakets.) Diese Treiber können von https://www.dell.com/support/home/?app=products heruntergeladen werden: Geben>
Sie den Namen des Servermodells ein, gehen Sie zum Abschnitt "Treiber und Downloads", wählen Sie als Betriebssystem Windows Server 2022 LTSC aus und suchen Sie nach dem Chipsatztreiber.
Beispiel: Für den PowerEdge R650 sollten "Intel Lewisburg C62x Series Chipset Drivers" installiert werden.
                 Beim PowerEdge R6525 sollte der "Treiber für den AMD SP3-Chipsatz der Serie MILAN" installiert werden.

Konfigurieren von Registrierungsschlüsseln für VBS, HVCI und System Guard

Führen Sie Folgendes über die Eingabeaufforderung aus:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

 

Bestätigen des Secured-Core-Status 

Gehen Sie folgendermaßen vor, um zu bestätigen, dass alle Secured-Core-Funktionen ordnungsgemäß konfiguriert sind und ausgeführt werden:

TPM 2,0

Führen Sie get-tpm in einer PowerShell aus und bestätigen Sie Folgendes:

Secure Boot, Kernel-DMA-Schutz, VBS, HVCI und System Guard

Starten Sie msinfo32 über die Eingabeaufforderung und bestätigen Sie die folgenden Werte:

• "Secure Boot State" ist "On"
• "Kernel-DMA-Schutz" ist "ein"
• "Virtualization-Based Security" wird ausgeführt
• "Virtualization-Based Security Services Running" enthält die Werte "Hypervisor enforced Code Integrity" und "Secure Launch"

Support

Wenden Sie sich bei HW- und Firmwareproblemen an den DellSupport. Wenden Sie sich bei Problemen mit dem Betriebssystem und der Software an den Microsoft-Support