PowerEdge : Guide d’activation des serveurs Secured-core

Summary: Cet article fournit des conseils sur les étapes spécifiques au produit pour configurer les serveurs à cœur sécurisé sur un état entièrement activé.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Produits applicables

Les conseils de configuration s’appliquent aux produits de serveurs Dell Technologies suivants :

  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 (« processeurs EPYCTM série 7003 »)
  • PowerEdge R7525 (« processeurs EPYCTM série 7003 »)
  • PowerEdge C6525 (« processeurs EPYCTM série 7003 »)
  • Dell EMC AX-7525 (processeurs EPYCTM série 7003 uniquement)
  • Dell EMC AX-750
  • Dell EMC AX-650

Définition de paramètres BIOS

Vous trouverez ci-dessous la version minimale du BIOS pour la plateforme spécifique à utiliser pour activer Secure Core. 
Vous pouvez l’obtenir sur la page de support Dell .

Nom de la plate-forme Version minimale du BIOS
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3.8
Dell EMC AX-650 1.3.8

 

Remarque : Le système doit être démarré en mode UEFI (Unified Extensible Firmware Interface). Le mode UEFI doit être défini dans les paramètres du BIOS dans Système Paramètres > du BIOS Paramètres d’amorçage.


Paramètres du BIOS du système Mode de démarrage UEFI
     
       2. Secure Boot doit être activé.
           Secure Boot doit être défini dans le BIOS, dans System BIOS Settings System Security>.
Paramètres BIOS du système Sécurité du système

    3. Le serveur doit disposer du module TPM (Trusted Platform Module) 2.0 et il doit être activé comme indiqué ci-dessous.

  • La sécurité TPM doit être définie sur ACTIVÉ dans Paramètres du BIOS du système Sécurité > du système 
  • Les autres paramètres doivent être définis dans BIOS Settings System > Security > TPM Advanced Settings
    • Les options PPI (Physical Presence Interface) Bypass (PPI) et TPM PPI Bypass doivent être activées.
    • La sélection de l’algorithme TPM doit être définie sur « SHA 256 »
  • Version minimale du firmware du module TPM :
    • TPM 2.0 - 7.2.2.0
    • CTPM 7.51.6405.5136

Configuration avancée du module TPM

Paramètres TPM Advanced

       4. La racine de confiance dynamique pour les mesures (DRTM) doit être activée dans le BIOS. Pour les serveurs Intel, DRTM doit être activé en activant les paramètres BIOS ci-dessous :

  • Protection de l’accès direct à la mémoire dans les paramètres > du BIOS du système Paramètres du processeur
  • Intel(R) TXT dans les paramètres du BIOS du système Sécurité > du système

Paramètres du processeur
Paramètres TXT

    Pour le serveur AMD, DRTM doit être activé. Les paramètres du BIOS ci-dessous l’autorisent :

  • « Protection de l’accès direct à la mémoire » dans Paramètres > du BIOS du système Paramètres du processeur
  • « AMD DRTM » dans Paramètres du BIOS du système Sécurité > du système

AMD DRTM

    5. L’unité de gestion de la mémoire d’entrée-sortie (IOMMU) et l’extension de virtualisation doivent être activées dans le BIOS.

Pour le serveur Intel, IOMMU et Virtualization Extension doivent être activés en activant « Virtualization Technology » dans System BIOS Settings > Processor settings. 
Intel Virtualization Technology

Pour le serveur AMD, IOMMU et Virtualization Extension doivent être activés avec les paramètres BIOS ci-dessous :

  • « Virtualization Technology » dans System BIOS Settings > Processor Settings
  • Prise en charge d’IOMMU dans les paramètres > du BIOS du système Paramètres du processeur


AMD IOMMU

      Pour le serveur AMD, dans System BIOS Settings > Processor settings, activez Secure Memory Encryption (SME) et Transparent Secure Memory Encryption (TSME).
Chiffrement de la mémoire sécurisée (SME) et SME transparent (TSME)

Paramètres OS 

Installer des pilotes propres à la plate-forme 

Pour les serveurs Intel, le pilote du chipset (version : 10.1.18793.8276 et versions ultérieures) doivent être installés. 
Pour les serveurs AMD, le pilote du chipset (version : 2.18.30.202 et versions ultérieures) doit être installé.

Ces pilotes peuvent être téléchargés à partir de la page de support Dell :

saisissez le nom du modèle du serveur, accédez à la section « Pilotes et téléchargements », choisissez Système d’exploitation Windows Server 2022 LTSC et recherchez le pilote du chipset.

Par exemple, pour PowerEdge R650, « Intel Lewisburg C62x Series Chipset Drivers » doit être installé.
                 Pour le système PowerEdge R6525, les « pilotes de chipset AMD SP3 série MILAN » doivent être installés.

Configurer les clés de registre pour VBS, HVCI et System Guard

Exécutez la commande suivante à partir de l’invite de commande :

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f
Remarque : Lesystème doit être redémarré après l’exécution de ces commandes. Les opérations ci-dessus peuvent être effectuées en exécutant le script PowerShell ci-dessous.

Confirmer l’état du cœur sécurisé 

Pour confirmer que toutes les fonctionnalités du cœur sécurisé sont correctement configurées et en cours d’exécution, procédez comme suit :

TPM 2.0

Exécutez get-tpm dans un PowerShell, puis confirmez les éléments suivants :
Get-TPM

Secure Boot, protection DMA du noyau, VBS, HVCI et System Guard

Lancer msinfo32 à partir de l’invite de commande, puis confirmez les valeurs suivantes :

  • « Secure Boot State » est défini sur « On »
  • « Kernel DMA Protection » est défini sur « On »
  • « Virtualization-Based Security » est défini sur « Running »
  • « Services de sécurité basés sur la virtualisation en cours d’exécution » contient les valeurs « Hypervisor-enforced Code Integrity » et « Secure Launch »

MSINFO32 Confirmation des paramètres 

MSINFO32 Confirmation des réglages 2 

Support

Pour les problèmes matériels et de firmware, contactez le support
Dell. Pour les problèmes liés au système d’exploitation et aux logiciels, contactez le support MicrosoftCe lien hypertexte renvoie à un site Web extérieur à Dell Technologies.
 

Affected Products

ax-650, AX-750, AX-7525, Microsoft Windows Server 2022, PowerEdge C6520, PowerEdge C6525, PowerEdge MX750c, PowerEdge R450, PowerEdge R550, PowerEdge R650

Products

PowerEdge R650xs, PowerEdge R6525, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7525, PowerEdge T550, PowerEdge XR11, PowerEdge XR12
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 11 Dec 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.