PowerEdge: Guía de habilitación de servidores de núcleo protegido

Productos aplicables

La guía de configuración se aplica a los siguientes productos de servidor de Dell Technologies:

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 ("Procesadores EPYCTM serie 7003")
• PowerEdge R7525 ("Procesadores EPYCTM serie 7003")
• PowerEdge C6525 ("Procesadores EPYCTM serie 7003")
• Dell EMC AX-7525 (solo procesadores EPYCTM serie 7003)
• Dell EMC AX-750
• Dell EMC AX-650

Configuración del BIOS

A continuación, se muestra la versión mínima del BIOS para la plataforma específica que se utilizará para habilitar el núcleo seguro. 
Esto se puede obtener en la página de soporte de Dell .

     
       2. El arranque seguro debe estar habilitado.
           El arranque seguro se debe establecer en el BIOS en Configuración del BIOS > del sistema Seguridad del sistema.


    3. El servidor debe tener el Módulo de plataforma segura (TPM) 2.0 y debe estar habilitado como se indica a continuación.

• La seguridad del TPM debe establecerse como ON en System BIOS Settings > System Security 
• Otras configuraciones se deben establecer en Configuración del BIOS Seguridad >> del sistema Configuración avanzada de TPM
  • La omisión de la interfaz de presencia física (PPI) del TPM y el borrado de derivación de PPI del TPM deben estar activados.
  • La selección del algoritmo de TPM debe establecerse como "SHA 256".
• Versión mínima de firmware de TPM:
  • TPM 2.0 - 7.2.2.0
  • CTPM 7.51.6405.5136

       4. La Raíz dinámica de confianza para la medición (DRTM) debe estar habilitada en el BIOS. Para el servidor Intel, DRTM se debe habilitar mediante la activación de los siguientes ajustes del BIOS:

• Protección de acceso directo a la memoria en Configuración > del BIOS del sistema Configuración del procesador. 
• Intel(R) TXT en los ajustes del BIOS del sistema Seguridad > del sistema

    Para el servidor AMD, DRTM debe estar habilitado. La configuración del BIOS a continuación lo habilita:

• "Protección de acceso directo a la memoria" en Configuración > del BIOS del sistema Configuración del procesador
• "AMD DRTM" en los ajustes del BIOS del sistema Seguridad > del sistema

    5. La unidad de administración de memoria de entrada/salida (IOMMU) y la extensión de virtualización deben estar habilitadas en el BIOS.

Para Intel Server IOMMU y la extensión de virtualización se deben habilitar mediante la habilitación de "Tecnología de virtualización" en Configuración del BIOS > del sistema Configuración del procesador. 


Para el servidor AMD, IOMMU y la extensión de virtualización deben estar habilitadas con los siguientes ajustes del BIOS:

• "Tecnología de virtualización" en Configuración > del BIOS del sistema Configuración del procesador
• Soporte de IOMMU en Configuración > del BIOS del sistema Configuración del procesador

      Para el servidor AMD, en la configuración > del BIOS del sistema Configuración del procesador , active Cifrado seguro de memoria (SME) y Cifrado de memoria seguro transparente (TSME).

Configuración del OS 

Instalar controladores específicos de la plataforma 

En el caso de los servidores Intel, el controlador de chipset (versión: 10.1.18793.8276 y superior). 
En el caso de los servidores AMD, el controlador del chipset (versión: 2.18.30.202 y superior).

Estos controladores se pueden descargar desde la página de soporte de Dell:

ingrese el nombre del modelo del servidor, vaya a la sección "Controladores y descargas", elija el SO como Windows Server 2022 LTSC y busque el controlador del chipset.

Por ejemplo, para PowerEdge R650, se debe instalar "Intel Lewisburg C62x Series Chipset Drivers".
                 Para PowerEdge R6525, se debe instalar "Controladores del chipset AMD SP3 serie MILAN".

Configurar claves de registro para VBS, HVCI y System Guard

Ejecute lo siguiente en el símbolo del sistema:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f

Confirme el estado de núcleo protegido 

Para confirmar que todas las funciones de Núcleo protegido están correctamente configuradas y en ejecución, siga los pasos que se indican a continuación:

TPM 2.0

Ejecutar get-tpm en un PowerShell y confirme lo siguiente:

Arranque seguro, protección DMA del kernel, VBS, HVCI y System Guard

Iniciar msinfo32 en el símbolo del sistema y confirme los siguientes valores:

• "Secure Boot State" es "On"
• "Kernel DMA Protection" está "On"
• "Seguridad basada en virtualización" está "en ejecución"
• "Servicios de seguridad basados en virtualización en ejecución" contiene el valor "Integridad de código impuesta por el hipervisor" e "Inicio seguro"

Soporte

Para problemas de hardware y firmware, comuníquese con el soporte de
Dell. Para problemas de SO y software, comuníquese con el soporte de Microsoft