PowerEdge: Umožňovací příručka pro servery se zabezpečeným jádrem

Použitelné produkty

Pokyny ke konfiguraci platí pro následující serverové produkty Dell Technologies:

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 ("procesory EPYCTM řady 7003")
• PowerEdge R7525 ("procesory EPYCTM řady 7003")
• PowerEdge C6525 ("procesory EPYCTM řady 7003")
• Dell EMC AX-7525 (pouze procesory EPYCTM řady 7003)
• Dell EMC AX-750
• Dell EMC AX-650

Nastavení systému BIOS

Níže je uvedena minimální verze systému BIOS pro konkrétní platformu, která se má použít k povolení zabezpečeného jádra. 
To lze získat na stránce podpory společnosti Dell .

     
       2. Musí být povoleno zabezpečené spouštění.
           Možnost Secure Boot je třeba v systému BIOS nastavit v nabídce System BIOS Settings, System Security>.


    3. Server musí mít modul TPM (Trusted Platform Module) 2.0 a musí být povolen, jak je uvedeno níže.

• Zabezpečení TPM musí být v nastavení > systému BIOS nastaveno na hodnotu ON Zabezpečení systému 
• Další nastavení je třeba provést v nabídce Nastavení > systému BIOS Zabezpečení > systému Pokročilá nastavení TPM.
  • Musí být povolena funkce Přemostění rozhraní fyzické přítomnosti (PPI) modulu TPM a vymazání vymazání přemostění TPM PPI.
  • Výběr algoritmu čipu TPM by měl být nastaven na hodnotu "SHA 256".
• Minimální verze firmwaru modulu TPM:
  • TPM 2.0 - 7.2.2.0
  • CTPM 7.51.6405.5136

       4. V systému BIOS musí být povolena funkce DRTM (Dynamic Root of Trust for Measurement). V případě serverů Intel je třeba povolit funkci DRTM povolením níže uvedených nastavení systému BIOS:

• Direct Memory Access Protection v nastaveních > systému BIOS, nastavení procesoru. 
• Intel(R) TXT v nastavení systému BIOS Zabezpečení > systému

    U serverů AMD by měla být povolena funkce DRTM. Níže uvedená nastavení systému BIOS tuto možnost povolují:

• "Direct Memory Access Protection" v nastavení > systému BIOS Nastavení procesoru
• "AMD DRTM" v nabídce System BIOS Settings System Security (Zabezpečení > systému)

    5. V systému BIOS musí být povolena funkce IOMMU (Input-Output Memory Management Unit) a Virtualization Extension.

Pro servery Intel je třeba povolit IOMMU a Virtualization Extension povolením možnosti "Virtualization Technology" v nastavení > systému BIOS a nastavení procesoru. 


V případě serveru AMD je třeba povolit IOMMU a Virtualization Extension s níže uvedenými nastaveními systému BIOS:

• "Virtualization Technology" v nastavení > systému BIOS Nastavení procesoru
• Podpora IOMMU v nastavení > systému BIOS Nastavení procesoru

      V nastavení systému BIOS > a nastavení procesoru povolte u serveru AMD možnost Secure Memory Encryption (SME) a Transparent Secure Secure Memory Encryption (TSME).

OS Settings 

Instalace ovladačů specifických pro danou platformu 

V případě serverů Intel ovladač čipové sady (verze: 10.1.18793.8276 a vyšší). 
Pro servery AMD ovladač čipové sady (verze: 2.18.30.202 a vyšší).

Tyto ovladače lze stáhnout ze stránky podpory společnosti Dell:

Zadejte název modelu serveru, přejděte do části "Ovladače a soubory ke stažení", vyberte operační systém jako Windows Server 2022 LTSC a vyhledejte ovladač čipové sady.

Příklad: Pro server PowerEdge R650 je třeba nainstalovat "Ovladače čipové sady Intel Lewisburg řady C62x".
                 Pro server PowerEdge R6525 je třeba nainstalovat ovladač čipové sady AMD SP3 MILAN Series.

Konfigurace klíčů registru pro VBS, HVCI a Ochrana systému

Z příkazového řádku spusťte následující příkaz:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f

Potvrzení stavu zabezpečeného jádra 

Pokud chcete ověřit, že jsou všechny funkce zabezpečeného jádra správně nakonfigurované a spuštěné, postupujte podle následujících kroků:

TPM 2.0

Spustit get-tpm v prostředí PowerShell a potvrďte následující:

Zabezpečené spouštění, ochrana DMA jádra, VBS, HVCI a ochrana systému

Uvedení msinfo32 v příkazovém řádku a potvrďte následující hodnoty:

• Stav "Secure Boot State" je "On"
• "Kernel DMA Protection" je "On"
• "Virtualization-Based Security" je spuštěno.
• Položka "Virtualization-Based Security Services Running" obsahuje hodnoty "Hypervisor-enforced Code Integrity" a "Secure Launch"

Podpora

V případě problémů s hardwarem a firmwarem kontaktujte podporu
společnosti Dell. V případě problémů s operačním systémem a softwarem se obraťte na podporu společnosti Microsoft.