PowerEdge:安全核心服务器启用指南
Summary: 本文提供有关将安全核心服务器配置为完全启用状态的产品特定步骤的指导。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
适用产品
配置指导适用于以下 Dell Technologies 服务器产品:
- PowerEdge R750
- PowerEdge R750xa
- PowerEdge R650
- PowerEdge MX750c
- PowerEdge C6520
- PowerEdge R750xs
- PowerEdge R650xs
- PowerEdge R450
- PowerEdge R550
- PowerEdge T550
- PowerEdge XR11
- PowerEdge XR12
- PowerEdge R6525(“EPYCTM 7003 系列处理器”)
- PowerEdge R7525(“EPYCTM 7003 系列处理器”)
- PowerEdge C6525(“EPYCTM 7003 系列处理器”)
- Dell EMC AX-7525(仅限 EPYCTM 7003 系列处理器)
- Dell EMC AX-750
- Dell EMC AX-650
BIOS 设置
以下是用于启用安全核心的特定平台的最低 BIOS 版本。
这可以从 戴尔支持页面 获得。
| 平台名称 | 最低 BIOS 版本 |
| PowerEdge R750 | 1.3.8 |
| PowerEdge R750xa | 1.3.8 |
| PowerEdge R650 | 1.3.8 |
| PowerEdge MX750c | 1.3.8 |
| PowerEdge C6520 | 1.3.8 |
| PowerEdge R750xs | 1.3.8 |
| PowerEdge R650xs | 1.3.8 |
| PowerEdge R450 | 1.3.8 |
| PowerEdge R550 | 1.3.8 |
| PowerEdge R6525 | 2.3.6 |
| PowerEdge R7525 | 2.3.6 |
| PowerEdge C6525 | 2.3.6 |
| Dell EMC AX-7525 | 2.3.6 |
| Dell EMC AX-750 | 1.3.8 |
| Dell EMC AX-650 | 1.3.8 |
提醒:系统必须在统一可扩展固件接口 (UEFI) 模式下启动。UEFI 模式应在系统 BIOS 设置 > 引导设置中的 BIOS 设置中设置。
2.必须启用安全启动。
必须在 BIOS 中的系统 BIOS 设置 > 系统安全中设置安全启动。
3.服务器必须具有可信平台模块 (TPM) 2.0,并且必须按如下所述启用。
- 必须在系统 BIOS 设置>系统安全中将 TPM 安全设置为开启
- 其他设置必须在 BIOS 设置>系统安全 > TPM 高级设置中进行设置
- 必须启用“TPM 物理存在接口 (PPI) 旁路”和“TPM PPI 旁路清除”。
- TPM 算法选择应设置为“SHA 256”
- TPM 的最低固件版本:
TPM 2.0 - 7.2.2.0CTPM 7.51.6405.5136
4.必须在 BIOS 中启用动态可信度量根 (DRTM)。对于英特尔服务器,应通过启用以下 BIOS 设置来启用 DRTM:
- 系统 BIOS 设置>处理器设置中的直接内存访问保护。
- 系统 BIOS 设置>中的英特尔(R) TXT 系统安全性
对于 AMD 服务器,应启用 DRTM。下面的 BIOS 设置可启用它:
- 系统 BIOS 设置 > 处理器设置中的“直接内存访问保护”
- 系统 BIOS 设置 > 中的“AMD DRTM” 系统安全性
5.必须在 BIOS 中启用输入输出内存管理单元 (IOMMU) 和虚拟化扩展。
对于英特尔服务器 IOMMU 和虚拟化扩展,应通过在 系统 BIOS 设置 > 处理器设置中启用“虚拟化技术”。
对于 AMD 服务器,应使用以下 BIOS 设置启用 IOMMU 和虚拟化扩展:
- System BIOS SettingsProcessor > Settings中的“Virtualization Technology”
- 系统 BIOS 设置>中的 IOMMU 支持 处理器设置
对于 AMD 服务器,在 系统 BIOS 设置 > 处理器 设置中,启用安全内存加密 (SME) 和透明安全内存加密 (TSME)。
OS Settings
安装平台特定的驱动程序
对于英特尔服务器,芯片组驱动程序(版本:10.1.18793.8276 及更高版本)安装。
对于 AMD 服务器,芯片组驱动程序(版本:2.18.30.202 及更高版本)安装。
这些驱动程序可从 戴尔支持页面下载:
输入服务器型号名称,转至“驱动程序和下载”部分,选择作系统作为 Windows Server 2022 LTSC,然后查找芯片组驱动程序。
例如,对于 PowerEdge R650,应安装“Intel Lewisburg C62x 系列芯片组驱动程序”。
对于 PowerEdge R6525,应安装“AMD SP3 MILAN 系列芯片组驱动程序”。
配置 VBS、HVCI 和 System Guard 的注册表项
从命令提示符运行以下命令:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f
提醒:运行这些命令后,系统应重新启动。可以通过运行以下 PowerShell 脚本来执行上述作。
确认安全核心状态
要确认所有安全核心功能均已正确配置并运行,请执行以下步骤:
TPM 2.0
在该节点上运行 get-tpm 在 PowerShell 中,并确认以下内容:
安全启动、内核 DMA 保护、VBS、HVCI 和系统防护
启动 msinfo32 从命令提示符处,确认以下值:
- “Secure Boot State”为“On”
- “Kernel DMA Protection”处于“On”状态
- “基于虚拟化的安全性”正在“运行”
- “Virtualization-Based Security Services Running”包含值“Hypervisor-enforced Code Integrity”和“Secure Launch”
支持
对于硬件和固件问题,请联系 戴尔支持
对于作系统和软件问题,请联系 Microsoft 支持
Affected Products
ax-650, AX-750, AX-7525, Microsoft Windows Server 2022, PowerEdge C6520, PowerEdge C6525, PowerEdge MX750c, PowerEdge R450, PowerEdge R550, PowerEdge R650Products
PowerEdge R650xs, PowerEdge R6525, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7525, PowerEdge T550, PowerEdge XR11, PowerEdge XR12Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 11 Dec 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.