В этой статье базы знаний Dell содержатся инструкции по конкретным продуктам для настройки серверов с защищенным ядром, сертифицированных AQ, для работы полностью включенного состояния.

Применимые продукты

Руководство по настройке относится к следующим серверам Dell EMC.

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 (процессоры серии EPYC™ 7003»)
• PowerEdge R7525 (процессоры серии EPYC™ 7003»)
• PowerEdge C6525 (процессоры EPYCTM серии 7003»)
• Dell EMC AX-7525 (только процессоры EPYCTM серии 7003)
• Dell EMC AX-750
• Dell EMC AX-650

Параметры BIOS

Ниже приведена минимальная версия BIOS для конкретной платформы, которая будет использоваться для включения защищенного ядра. 
Его можно получить на странице поддержки Dell .
 

Имя платформы	Минимальная версия BIOS
PowerEdge R750	1.3.8
PowerEdge R750xa	1.3.8
PowerEdge R650	1.3.8
PowerEdge MX750c	1.3.8
PowerEdge C6520	1.3.8
PowerEdge R750xs	1.3.8
PowerEdge R650xs	1.3.8
PowerEdge R450	1.3.8
PowerEdge R550	1.3.8
PowerEdge R6525	2.3.6
PowerEdge R7525	2.3.6
PowerEdge C6525	2.3.6
Dell EMC AX-7525	2.3.6
Dell EMC AX-750	1.3..8
Dell EMC AX-650	1.3.8

 

     
       2. Secure Boot должна быть включена Secure Boot должна быть установлена
в настройках BIOS в разделе System BIOS Settings/System Security.


    3.  Сервер должен иметь модуль TPM 2.0 и его необходимо включить с требуемыми настройками, как указано ниже.

• Параметр «Безопасность TPM в» должен быть установлен в значение «ВКЛ» в пункте Параметры BIOS системы/Безопасность системы. 
• Другие параметры необходимо задать в разделе Параметры BIOS/Безопасность системы/Дополнительные настройки TPM.
  • Должны быть включены функции Обход PPI TPM и Очистка обхода PPI TPM.
  • Для параметра «Выбор алгоритма TPM» должно быть задано значение «SHA 256».
• Минимальная версия микропрограммы модуля TPM:
  • TPM 2.0 – 7.2.2.0
  • СТПМ 7.51.6405.5136

       4.    В BIOS необходимо включить DRTM (динамический корень доверия для измерений). Для сервера Intel необходимо включить DRTM, включив следующие настройки BIOS:

• Защита прямого доступа к памяти» в System BIOS Settings\Processor Settings. 
• «Intel(R) TXT» в меню «Настройки BIOS»\«Безопасность системы».

    Для сервера AMD необходимо включить DRTM, включив следующие настройки BIOS.

• «Защита прямого доступа к памяти» в разделе System BIOS Settings\Processor Settings.
• «AMD DRTM» в разделе «Настройки BIOS»\«Безопасность системы»

    5.    В BIOS должны быть включены IOMMU и расширение виртуализации. Для сервера Intel IOMMU и расширение виртуализации должны быть включены, включив «Virtualization Technology» в разделе System BIOS Settings \Processor Settings. 


Для сервера AMD следует включить IOMMU и расширение виртуализации с приведенными ниже настройками BIOS:

• «Технология виртуализации» в System BIOS Settings \Processor Settings
• Поддержка IOMMU в разделе System BIOS Settings > Processor Settings.

      Для сервера AMD в разделе System BIOS Settings\Processor Settings включите Secure Memory Encryption (SME) и Transparent Secure Memory Encryption (TSME). »

Настройки ОС 

Установка драйверов для конкретной платформы 

Для серверов Intel драйвер набора микросхем (версия: 10.1.18793.8276 и выше). Для серверов AMD: драйвер набора микросхем (версия: 2.18.30.202 и выше). (Драйвер AMD DRTM входит в этот пакет драйверов.) Эти драйверы можно скачать из https://www.dell.com/support/home/?app=products ->
Введите название модели сервера, перейдите в раздел «Драйверы и загружаемые материалы», выберите ОС Windows Server 2022 LTSC и найдите драйвер набора микросхем.
Например, для Poweredge R650 должны быть установлены драйверы набора микросхем Intel Lewisburg серии C62x.
                 Для Poweredge R6525 должен быть установлен драйвер для набора микросхем AMD MILAN с пакетом обновления 3.

Настройка разделов реестра для VBS, HVCI и System Guard

Выполните следующую команду из командной строки:-
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f reg add "HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard" /v "Enabled" /t REG_DWORD /d 1 /f

 

Проверьте состояние защищенного ядра 

Чтобы убедиться, что все функции защищенного ядра правильно настроены и работают, выполните следующие действия.

TPM 2.0

Запустите get-tpm в PowerShell и подтвердите следующее:

Безопасная загрузка, защита DMA ядра, VBS, HVCI и System Guard

Запустите msinfo32 из командной строки и подтвердите следующие значения:

• «Состояние безопасной загрузки» — «Вкл.»
• «Kernel DMA Protection» находится в состоянии «On»
• «Безопасность на основе виртуализации» находится в состоянии «Выполняется»
• «Службы безопасности на основе виртуализации выполняются» содержит значение «Принудительная целостность кода низкоуровневой оболочки» и «Безопасный запуск»

Поддержка

При возникновении проблем с оборудованием и микропрограммой обратитесь в службу поддержки Dell При возникновении проблем с ОС и ПО обратитесь в службу поддержки
Microsoft