Ta baza wiedzy firmy Dell zawiera wskazówki dotyczące konkretnych kroków w celu skonfigurowania serwerów Secured-core z certyfikatem AQ do stanu pełnego włączenia.

Odpowiednie produkty

Wskazówki dotyczące konfiguracji mają zastosowanie do następujących serwerów Dell EMC.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 ("procesory EPYCTM z serii 7003")
• PowerEdge R7525 ("procesory z serii EPYCTM 7003")
• PowerEdge C6525 (procesory z serii EPYCTM 7003)
• Dell EMC AX-7525 (tylko procesory EPYCTM z serii 7003)
• Dell EMC AX-750
• Dell EMC AX-650

Ustawienia BIOS

Poniżej przedstawiono minimalną wersję systemu BIOS dla danej platformy, która ma być używana w celu włączenia bezpiecznego rdzenia. 
Można go uzyskać na stronie pomocy technicznej firmy Dell .
 

Nazwa platformy	Minimalna wersja systemu BIOS
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. Funkcja Secure Boot musi być włączona
Funkcję Secure Boot należy ustawić w ustawieniach systemu BIOS w sekcji System BIOS Settings/System Security.


    3.  Serwer musi mieć moduł TPM 2.0 i musi być włączony z wymaganymi ustawieniami wymienionymi poniżej.

• Zabezpieczenia modułu TPM należy ustawić jako włączone w systemie: Ustawienia systemu BIOS\Zabezpieczenia systemu 
• Pozostałe ustawienia należy ustawić w sekcji Ustawienia systemu BIOS\Zabezpieczenia systemu\Ustawienia zaawansowane modułu TPM.
  • Opcje TPM PPI Bypass i TPM PPI Clear muszą być włączone.
  • Wybór algorytmu modułu TPM powinien być ustawiony na "SHA 256".
• Minimalna wersja oprogramowania wewnętrznego modułu TPM:
  • TPM 2.0 – 7.2.2.0
  • CTPM 7.51.6405.5136

       4.    DRTM (Dynamic Root of Trust for Measurement ) musi być włączony w systemie BIOS. W przypadku serwerów Intel funkcję DRTM należy włączyć, włączając poniższe ustawienia systemu BIOS:

• Bezpośrednia ochrona dostępu do pamięci" w menu Ustawienia systemu BIOS \ Ustawienia procesora. 
• "Intel(R) TXT" w menu System BIOS Settings\System Security.

    W przypadku serwerów AMD należy włączyć funkcję DRTM, włączając poniższe ustawienia systemu BIOS.

• "Direct Memory Access Protection" w menu System BIOS Settings\Processor Settings.
• "AMD DRTM" w menu System BIOS Settings\System Security

    5.    W systemie BIOS należy włączyć IOMMU i Virtualization Extension. W przypadku serwera Intel Server IOMMU i rozszerzenie wirtualizacji należy włączyć, włączając opcję "Technologia wirtualizacji" w menu System BIOS Settings \ Processor Settings. 


W przypadku serwera AMD należy włączyć rozszerzenia IOMMU i Virtualization Extension z poniższymi ustawieniami systemu BIOS:

• "Virtualization Technology" w menu System BIOS Settings \Processor Settings
• Obsługa IOMMU w menu System BIOS Settings \ Processor Settings.

      W przypadku serwera AMD w obszarze System BIOS Settings \ Processor settings włącz Secure Memory Encryption (SME) i Transparent Secure Memory Encryption (TSME). ”

Ustawienia OS 

Instalacja sterowników specyficznych dla platformy 

W przypadku serwerów Intel sterownik chipsetu (wersja: 10.1.18793.8276 i nowsze). W przypadku serwerów AMD: sterownik chipsetu (wersja: 2.18.30.202 i nowsze). (Sterownik AMD DRTM jest częścią tego pakietu sterowników). Sterowniki te można pobrać ze strony https://www.dell.com/support/home/?app=products ->
Wprowadź nazwę modelu serwera, przejdź do sekcji "Sterowniki i pliki do pobrania", wybierz system operacyjny jako Windows Server 2022 LTSC i poszukaj sterownika chipsetu.
Przykład: w przypadku serwera PowerEdge R650 należy zainstalować sterowniki chipsetu "Intel Lewisburg C62x Series".
                 W przypadku serwera PowerEdge R6525 należy zainstalować sterownik chipsetu z serii AMD SP3 MILAN.

Konfiguracja kluczy rejestru dla VBS, HVCI i System Guard

W wierszu polecenia uruchom następujące polecenie:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Zablokowane" /t REG_DWORD /d 0 /f


reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Włączone" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Zablokowane" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Włączone" /t REG_DWORD /d 1 /f

 

Potwierdź stan Secured-core 

Aby potwierdzić, że wszystkie funkcje Secured-core są prawidłowo skonfigurowane i działają, wykonaj następujące czynności:

TPM 2.0

Uruchom polecenie get-tpm w programie PowerShell i potwierdź następujące elementy:

Bezpieczny rozruch, ochrona DMA jądra, VBS, HVCI i System Guard

Uruchom msinfo32 z wiersza poleceń i potwierdź następujące wartości:

• Stan bezpiecznego rozruchu jest włączony
• Opcja "Kernel DMA Protection" jest włączona
• Usługa "Virtualization-Based Security" jest uruchomiona
• Opcja "Uruchomione usługi zabezpieczeń oparte na wirtualizacji" zawiera wartości "Integralność kodu wymuszona przez monitor maszyny wirtualnej" i "Bezpieczne uruchamianie"

Wsparcie

W przypadku problemów ze sprzętem i oprogramowaniem wewnętrznym należy skontaktować się z pomocą techniczną firmy Dell. W przypadku problemów z systemem operacyjnym i oprogramowaniem należy skontaktować się z pomocą techniczną
firmy Microsoft