Tämä Dellin tietämyskannan artikkeli sisältää ohjeet tuotekohtaisiin vaiheisiin, joilla suojatun ytimen palvelimet AQ-sertifioidut palvelimet määritetään tilaan, jossa suojaus on käytössä.

Soveltuvat tuotteet

Määritysohjeet koskevat seuraavia Dell EMC -palvelintuotteita.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 ("EPYCTM 7003 -sarjan suorittimet")
• PowerEdge R7525 ("EPYCTM 7003 -sarjan suorittimet")
• PowerEdge C6525 ("EPYCTM 7003 -sarjan suorittimet")
• Dell EMC AX-7525 (vain EPYCTM 7003 -sarjan suorittimet)
• Dell EMC AX-750
• Dell EMC AX-650

BIOS-asetukset

Alla on turvallisen ytimen käyttöönottoon käytettävän ympäristön BIOSin vähimmäisversio. 
Opas on saatavilla Dellin tukisivulta .
 

Alustan nimi	Vanhin tuettu BIOS-versio
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. Secure Boot on otettava käyttöön
. Suojattu käynnistys on määritettävä BIOS-asetuksissa kohdassa System BIOS Settings / System Security (Järjestelmän BIOS-asetukset/Järjestelmän suojaus).


    3.  Palvelimessa on oltava TPM 2.0 ja se on otettava käyttöön alla mainituilla vaadituilla asetuksilla.

• TPM Security at -asetuksena on oltava ON kohdassa System BIOS Settings\System Security 
• Muut asetukset on määritettävä kohdassa BIOS Settings\System Security\TPM Advanced Settings.
  • TPM PPI Bypass ja TPM PPI Bypass Clear on otettava käyttöön.
  • TPM Algorithm Selection -asetukseksi on määritettävä SHA 256
• TPM:n laiteohjelmistoversio vähintään:
  • TPM 2.0–7.2.2.0
  • CTPM 7.51.6405.5136

       4.    DRTM (Dynamic Root of Trust for Measurement) on otettava käyttöön BIOSissa. Intel-palvelimessa DRTM on otettava käyttöön ottamalla se käyttöön alla BIOS-asetukset: -

• Direct Memory Access Protection" kohdassa System BIOS Settings\Processor Settings. 
• "Intel(R) TXT" kohdassa System BIOS Settings\System Security.

    AMD-palvelimessa DRTM on otettava käyttöön BIOS-asetusten alapuolella.

• "Direct Memory Access Protection" kohdassa BIOS-asetukset\Suorittimen asetukset.
• "AMD DRTM" kohdassa Järjestelmän BIOS-asetukset\Järjestelmän suojaus

    5.    IOMMU ja virtualisointilaajennus on otettava käyttöön BIOSissa. Intel-palvelimissa IOMMU ja virtualisointilaajennus on otettava käyttöön ottamalla Virtualization Technology käyttöön järjestelmän BIOS-asetuksista \Suorittimen asetukset. 


AMD-palvelimessa IOMMU ja virtualisointilaajennus on otettava käyttöön alla olevilla BIOS-asetuksilla:

• "Virtualization Technology" järjestelmän BIOS-asetuksissa \ Suorittimen asetukset
• IOMMU-tuki järjestelmän BIOS-asetuksissa \ Suorittimen asetukset.

      Ota AMD-palvelimelle käyttöön Järjestelmän BIOS-asetukset\Suoritinasetukset-kohdassa SME (Secure Memory Intelligence) ja TSME (Transparent Secure Memory Encryption). "

Käyttöjärjestelmäasetukset 

Käyttöympäristökohtaisten ohjainten asentaminen 

Intel-palvelimille piirisarjan ajuri (versio: 10.1.18793.8276 ja uudemmat) tulisi asentaa. AMD-palvelimille, piirisarjan ajuri (versio: 2.18.30.202 ja uudemmat) tulisi asentaa. (AMD DRTM -ohjain on osa tätä ajuripakettia.) Ajurit voi ladata osoitteesta https://www.dell.com/support/home/?app=products ->
Kirjoita palvelimen mallin nimi, siirry Ohjaimet ja ladattavat tiedostot -osioon, valitse käyttöjärjestelmäksi Windows Server 2022 LTSC ja etsi piirisarjan ajuri.
Esimerkiksi Poweredge R650:lle on asennettava Intel Lewisburg C62x Series Chipset Drivers.
                 Poweredge R6525:een on asennettava AMD SP3 MILAN Series Chipset Driver.

VBS-, HVCI- ja System Guard -rekisteriavainten määrittäminen

Suorita seuraava komentokehotteessa:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

 

Suojatun ytimen tilan vahvistaminen 

Varmista seuraavasti, että kaikki suojatun ytimen ominaisuudet on määritetty oikein ja että ne ovat käynnissä:

TPM 2.0

Suorita get-tpm PowerShellissä ja vahvista seuraavat asiat:

Suojattu käynnistys, ytimen DMA-suojaus, VBS, HVCI ja System Guard

Käynnistä msinfo32 komentokehotteesta ja vahvista seuraavat arvot:

• Secure Boot State on On On
• Kernel DMA Protection on On On
• Virtualisointiin perustuva suojaus on käynnissä
• Virtualization-Based Security Services Running sisältää arvot Hypervisor pakotettu koodin eheys ja Secure Launch

Tuki

Jos sinulla on laitteisto- ja laiteohjelmisto-ongelmia, ota yhteys Dellintukeen Jos sinulla on käyttöjärjestelmä- ja ohjelmisto-ongelmia, ota yhteyttä Microsoft-tukeen