PowerEdge: Guia de ativação de servidores de núcleo seguro
Summary: Este artigo fornece orientações sobre etapas específicas do produto para configurar servidores de núcleo seguro para um estado totalmente habilitado.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Produtos aplicáveis
A orientação de configuração aplica-se aos seguintes produtos de servidor da Dell Technologies:
- PowerEdge R750
- PowerEdge R750xa
- PowerEdge R650
- PowerEdge MX750c
- PowerEdge C6520
- PowerEdge R750xs
- PowerEdge R650xs
- PowerEdge R450
- PowerEdge R550
- PowerEdge T550
- PowerEdge XR11
- PowerEdge XR12
- PowerEdge R6525 ("Processadores EPYCTM série 7003")
- PowerEdge R7525 ("Processadores EPYCTM série 7003")
- PowerEdge C6525 ("Processadores EPYCTM série 7003")
- Dell EMC AX-7525 (somente processadores EPYCTM série 7003)
- Dell EMC AX-750
- Dell EMC AX-650
Configurações do BIOS
Veja abaixo a versão mínima do BIOS para uma plataforma específica a ser usada para habilitar o núcleo seguro.
Isso pode ser obtido na página Suporte Dell .
| Nome da plataforma | Versão mínima do BIOS |
| PowerEdge R750 | 1.3.8 |
| PowerEdge R750xa | 1.3.8 |
| PowerEdge R650 | 1.3.8 |
| PowerEdge MX750c | 1.3.8 |
| PowerEdge C6520 | 1.3.8 |
| PowerEdge R750xs | 1.3.8 |
| PowerEdge R650xs | 1.3.8 |
| PowerEdge R450 | 1.3.8 |
| PowerEdge R550 | 1.3.8 |
| PowerEdge R6525 | 2.3.6 |
| PowerEdge R7525 | 2.3.6 |
| PowerEdge C6525 | 2.3.6 |
| Dell EMC AX-7525 | 2.3.6 |
| Dell EMC AX-750 | 1.3.8 |
| Dell EMC AX-650 | 1.3.8 |
Nota: O sistema deve ser inicializado no modo UEFI (Unified Extensible Firmware Interface). O modo UEFI deve ser definido nas configurações do BIOS em Configurações do BIOS do sistema Configurações > de inicialização.
2. A inicialização segura precisa estar ativada.
A Inicialização segura precisa ser definida no BIOS , em Configurações > do BIOS do sistemaSegurança do sistema.
3. O servidor deve ter o Trusted Platform Module (TPM) 2.0 e deve ser ativado conforme mencionado abaixo.
- A segurança do TPM deve ser definida como ON em System BIOS Settings > System Security
- Outras configurações devem ser definidas em Configurações do BIOS, > Segurança > do sistema, TPM, Configurações avançadas
- As opções Physical Presence Interface (PPI) Bypass (TPI) Bypass e TPM PPI Bypass Clear devem estar ativadas.
- A seleção do algoritmo TPM deve ser definida como "SHA 256"
- Versão mínima do firmware do TPM:
TPM 2.0 - 7.2.2.0CTPM 7.51.6405.5136
4. A raiz de confiança dinâmica para medição (DRTM) deve ser ativada no BIOS. Para o servidor Intel, o DRTM deve ser ativado ativando as configurações de BIOS abaixo:
- Proteção de acesso direto à memória nas configurações > do BIOS do sistema Configurações do processador.
- Intel(R) TXT nas configurações > do BIOS do sistema Segurança do sistema
Para o servidor AMD, a DRTM deve estar ativada. As configurações do BIOS abaixo o habilitam:
- "Direct Memory Access Protection" em Configurações > do BIOS do sistema Configurações do processador
- "AMD DRTM" em Configurações do BIOS > do sistema Segurança do sistema
5. A unidade de gerenciamento de memória de entrada e saída (IOMMU) e a extensão de virtualização devem ser ativadas no BIOS.
Para servidores Intel, a IOMMU e a extensão de virtualização devem ser ativadas ativando a "Tecnologia de virtualização" nas configurações > do BIOS do sistema Configurações do processador. 
Para o servidor AMD, a IOMMU e a extensão de virtualização devem ser ativadas com as configurações de BIOS abaixo:
- "Virtualization Technology" em Configurações > do BIOS do sistema Configurações do processador
- Suporte a IOMMU nas configurações > do BIOS do sistema Configurações do processador
Para o servidor AMD, nas configurações do processador de configurações do BIOS > do sistema , habilite a criptografia de memória segura (SME) e a criptografia de memória segura transparente (TSME).
Configurações do SO
Instalar drivers específicos da plataforma
Para servidores Intel, driver do chipset (versão: 10.1.18793.8276 e superior) deve ser instalado.
Para servidores AMD, driver do chipset (versão: 2.18.30.202 e superior) deve ser instalado.
É possível fazer download desses drivers na página de suporte da Dell:
digite o nome do modelo do servidor, acesse a seção "Drivers e downloads", escolha o sistema operacional como Windows Server 2022 LTSC e procure o driver do chipset.
Por exemplo, para o PowerEdge R650, "Intel Lewisburg C62x Series Chipset Drivers" devem ser instalados.
Para o PowerEdge R6525, "AMD SP3 MILAN Series Chipset Drivers" devem ser instalados.
Configurar chaves de registro para VBS, HVCI e System Guard
Execute o seguinte no prompt de comando:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f
Nota: O sistema sdeve ser reinicializado após a execução desses comandos. As operações acima podem ser executadas executando o script abaixo do PowerShell.
Confirme o estado de núcleo protegido
Para confirmar se todos os recursos de núcleo seguro estão configurados e em execução corretamente, siga as etapas abaixo:
TPM 2.0
Execute get-tpm em um PowerShell e confirme o seguinte:
Inicialização segura, proteção contra DMA do kernel, VBS, HVCI e System Guard
Abra msinfo32 No prompt de comando, confirme os seguintes valores:
- "Secure Boot State" é "On"
- "Kernel DMA Protection" está "On"
- "Segurança baseada em virtualização" está "Em execução"
- "Virtualization-Based Security Services Running" contém o valor "Hypervisor-enforced Code Integrity" e "Secure Launch"
Serviço de suporte
Para problemas de hardware e firmware, entre em contato com o suporte
da Dell Para problemas de sistema operacional e software, entre em contato com o suporte da Microsoft
Affected Products
ax-650, AX-750, AX-7525, Microsoft Windows Server 2022, PowerEdge C6520, PowerEdge C6525, PowerEdge MX750c, PowerEdge R450, PowerEdge R550, PowerEdge R650Products
PowerEdge R650xs, PowerEdge R6525, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7525, PowerEdge T550, PowerEdge XR11, PowerEdge XR12Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 11 Dec 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.