PowerEdge: Aktiveringsmanual för servrar med säker kärna

Summary: Den här artikeln innehåller vägledning för produktspecifika steg för att konfigurera servrar med skyddad kärna till ett fullständigt aktiverat tillstånd.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Tillämpliga produkter

Konfigurationsvägledningen gäller följande Dell Technologies-serverprodukter:

  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 ("EPYCTM 7003-seriens processorer")
  • PowerEdge R7525 ("EPYCTM 7003-seriens processorer")
  • PowerEdge C6525 ("EPYCTM 7003-seriens processorer")
  • Dell EMC AX-7525 (endast processorer i EPYCTM 7003-serien)
  • Dell EMC AX-750
  • Dell EMC AX-650

BIOS-inställningar

Nedan visas den lägsta versionen av BIOS för en specifik plattform som ska användas för att aktivera Secure Core. 
Detta kan erhållas från Dells supportsida .

Plattformsnamn Lägsta BIOS-version
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3.8
Dell EMC AX-650 1.3.8

 

Obs! Systemet måste startas i UEFI-läge (Unified Extensible Firmware Interface). UEFI-läget ska ställas in med BIOS-inställningarna i Startinställningar för system-BIOS>.


System-BIOS Inställningar UEFI-startläge
     
       2. Säker uppstart måste vara aktiverat.
           Säker uppstart måste ställas in i BIOS i system-BIOS-inställningar > , systemsäkerhet.
Inställningar för system-BIOS Systemsäkerhet

    3. Servern måste ha Trusted Platform Module (TPM) 2.0 och den måste aktiveras enligt nedan.

  • TPM Security måste ställas in som ON i system-BIOS Settings > System Security 
  • Övriga inställningar måste anges i BIOS-inställningar > Systemsäkerhet > Avancerade TPM-inställningar
    • TPM Physical Presence Interface (PPI) Bypass och TPM PPI Bypass Clear måste vara aktiverade.
    • Valet av TPM-algoritm ska ställas in på "SHA 256"
  • Lägsta version av fast programvara för TPM:
    • TPM 2.0 - 7.2.2.0
    • CTPM 7.51.6405.5136

Avancerade TPM-inställningar

Avancerade TPM-inställningar

       4. DRTM (Dynamic Root of Trust for Measurement) måste vara aktiverat i BIOS. För Intel-servrar bör DRTM aktiveras genom att nedanstående BIOS-inställningar aktiveras:

  • Direct Memory Access Protection i system-BIOS-inställningar > processorinställningar
  • Intel(R) TXT i system-BIOS Inställningar > Systemsäkerhet

Processorinställningar
TXT-inställningar

    För AMD-servrar ska DRTM vara aktiverat. BIOS-inställningarna nedan möjliggör detta:

  • "Direct Memory Access Protection" i system-BIOS-inställningar > Processorinställningar
  • "AMD DRTM" i system-BIOS Inställningar > Systemsäkerhet

AMD DRTM

    5. Input-Output Memory Management Unit (IOMMU) och Virtualization Extension måste vara aktiverade i BIOS.

För Intel Server bör IOMMU och Virtualization Extension aktiveras genom aktivering av "Virtualization Technology" i system-BIOS-inställningar > , processorinställningar
Intel Virtualization-teknik

För AMD-servrar ska IOMMU och Virtualization Extension aktiveras med nedanstående BIOS-inställningar:

  • "Virtualiseringsteknik" i system-BIOS-inställningar > processorinställningar
  • IOMMU-stöd i system-BIOS-inställningar > processorinställningar


AMD IOMMU

      För AMD-servern aktiverar du SME (Secure Memory Encryption) och Transparent Secure Memory Encryption (TSME) i processorinställningarna för system-BIOS-inställningar>.
Secure Memory Encryption (SME) och Transparent SME (TSME)

OS-inställningar 

Installera plattformsspecifika drivrutiner 

För Intel-servrar, kretsuppsättningsdrivrutin (version: 10.1.18793.8276 och senare) installeras. 
För AMD-servrar, kretsuppsättningsdrivrutin (version: 2.18.30.202 och senare) installeras.

Dessa drivrutiner kan laddas ner från Dells supportsida:

Ange serverns modellnamn, gå till avsnittet "Drivrutiner och hämtningsbara filer", välj OS som Windows Server 2022 LTSC och leta efter kretsuppsättningsdrivrutinen.

Exempel: För PowerEdge R650 ska "Intel Lewisburg C62x Series Chipset Drivers" vara installerat.
                 För PowerEdge R6525 ska "AMD SP3 MILAN Series Chipset Drivers" vara installerat.

Konfigurera registernycklar för VBS, HVCI och System Guard

Kör följande från kommandotolken:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f
Obs! System bör startas om när du har kört dessa kommandon. Ovanstående åtgärder kan utföras genom att köra nedanstående PowerShell-skript.

Bekräfta tillståndet för skyddad kärna 

Följ stegen nedan för att bekräfta att alla Secured-core-funktioner är korrekt konfigurerade och körs:

TPM 2.0

Kör get-tpm i en PowerShell och bekräfta följande:
Hämta TPM

Säker start, DMA-skydd för kärnan, VBS, HVCI och systemskydd

Lansering msinfo32 från kommandotolken och bekräfta följande värden:

  • Secure Boot State står som "On"
  • "Kernel DMA Protection" är "På"
  • "Virtualization-Based Security" är "Running"
  • "Virtualization-Based Security Services Running" innehåller värdena "Hypervisor-enforced Code Integrity" och "Secure Launch"

MSINFO32 Bekräftelse av inställningar 

MSINFO32 Bekräftelse av inställningar 2 

Support

För problem med maskinvara och fast programvara kontaktar du Dells support
För problem med operativsystem och programvara kontaktar du Microsofts supportDen här hyperlänken tar dig till en webbplats utanför Dell Technologies.
 

Affected Products

ax-650, AX-750, AX-7525, Microsoft Windows Server 2022, PowerEdge C6520, PowerEdge C6525, PowerEdge MX750c, PowerEdge R450, PowerEdge R550, PowerEdge R650

Products

PowerEdge R650xs, PowerEdge R6525, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7525, PowerEdge T550, PowerEdge XR11, PowerEdge XR12
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 11 Dec 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.