PowerEdge: Aktiveringsveiledning for servere med sikret kjerne

Summary: Denne artikkelen inneholder veiledning for produktspesifikke trinn for å konfigurere servere med sikret kjerne til en fullstendig aktivert tilstand.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Gjeldende produkter

Konfigurasjonsveiledningen gjelder for følgende Dell Technologies-serverprodukter:

  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 («EPYCTM-prosessorer i 7003-serien»)
  • PowerEdge R7525 ("EPYCTM-prosessorer i 7003-serien")
  • PowerEdge C6525 («EPYCTM-prosessorer i 7003-serien»)
  • Dell EMC AX-7525 (kun prosessorer i EPYCTM 7003-serien)
  • Dell EMC AX-750
  • Dell EMC AX-650

BIOS-innstillinger

Nedenfor finner du minimumsversjonen av BIOS for en bestemt plattform som skal brukes for å aktivere sikker kjerne. 
Dette kan hentes fra Dells støtteside .

Plattformnavn Minimumsversjon av BIOS
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3.8
Dell EMC AX-650 1.3.8

 

Merk: Systemet må startes opp i UEFI-modus (Unified Extensible Firmware Interface). UEFI-modus bør angis i BIOS-innstillingene i Oppstartsinnstillinger for system-BIOS-innstillinger>.


Innstillinger for system-BIOS UEFI-oppstartsmodus
     
       2. Sikker oppstart må være aktivert.
           Sikker oppstart må være angitt i BIOS i System-BIOS-innstillinger > Systemsikkerhet.
Innstillinger for system-BIOS Systemsikkerhet

    3. Serveren må ha Trusted Platform Module (TPM) 2.0, og den må være aktivert som nevnt nedenfor.

  • TPM-sikkerhet må angis som PÅ i system-BIOS-innstillingene > Systemsikkerhet 
  • Andre innstillinger må angis i BIOS-innstillinger > Systemsikkerhet > Avanserte TPM-innstillinger
    • TPM Physical Presence Interface (PPI)-forbikobling og sletting av TPM PPI-forbikobling må være aktivert.
    • Valg av TPM-algoritme skal angis som "SHA 256"
  • Minste fastvareversjon av TPM:
    • TPM 2.0 - 7.2.2.0
    • CTPM 7.51.6405.5136

Avansert TPM-oppsett

Avanserte TPM-innstillinger

       4. Dynamic Root of Trust for Measurement (DRTM) må være aktivert i BIOS. For Intel-server bør DRTM aktiveres ved å aktivere BIOS-innstillinger nedenfor:

  • Beskyttelse av direkte minnetilgang i system-BIOS-innstillinger > , prosessorinnstillinger
  • Intel(R) TXT i system-BIOS-innstillinger > Systemsikkerhet

Prosessorinnstillinger
TXT-innstillinger

    For AMD-server bør DRTM være aktivert. BIOS-innstillingene nedenfor aktiverer det:

  • "Direct Memory Access Protection" i system-BIOS-innstillinger > Prosessorinnstillinger
  • "AMD DRTM" på System-BIOS-innstillinger > Systemsikkerhet

AMD DRTM

    5. Input Output Memory Management Unit (IOMMU) og virtualiseringsutvidelse må aktiveres i BIOS.

IOMMU og virtualiseringsutvidelsen for Intel Server bør aktiveres ved å aktivere "Virtualization Technology" i system-BIOS-innstillingene > , prosessorinnstillingene
Intel virtualiseringsteknologi

For AMD Server bør IOMMU og virtualiseringsutvidelsen aktiveres med følgende BIOS-innstillinger:

  • "Virtualization Technology" i system-BIOS-innstillinger > Prosessorinnstillinger
  • IOMMU-støtte i system-BIOS-innstillinger > Prosessorinnstillinger


AMD IOMMU

      For AMD-serveren i prosessorinnstillingene for system-BIOS-innstillinger > aktiverer du sikker minnekryptering (SME) og gjennomsiktig sikker minnekryptering (TSME).
Sikker minnekryptering (SME) og gjennomsiktig SME (TSME)

Operativsysteminnstillinger 

Installere plattformspesifikke drivere 

For Intel-servere, brikkesettdriver (versjon: 10.1.18793.8276 og nyere) bør installeres. 
For AMD-servere, brikkesettdriver (versjon: 2.18.30.202 og nyere) bør installeres.

Disse driverne kan lastes ned fra Dells støtteside:

Skriv inn navnet på servermodellen, gå til delen "Driver og nedlastinger", velg OS som Windows Server 2022 LTSC og se etter brikkesettdriver.

For eksempel: For PowerEdge R650 bør brikkesettdrivere i Intel Lewisburg C62x-serien være installert.
                 For PowerEdge R6525 bør "AMD SP3 MILAN-serien brikkesettdrivere" installeres.

Konfigurere registernøkler for VBS, HVCI og Systembeskyttelse

Kjør følgende fra ledeteksten:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f
Merk: System bør startes på nytt etter at du har kjørt disse kommandoene. Operasjonene ovenfor kan utføres ved å kjøre under PowerShell-skriptet.

Bekreft tilstanden Sikret kjerne 

Følg trinnene nedenfor for å bekrefte at alle funksjonene for Secured-core er riktig konfigurert og kjører:

TPM 2.0

Kjør get-tpm i et PowerShell, og bekreft følgende:
Get-TPM

Sikker oppstart, DMA-kjernebeskyttelse, VBS, HVCI og systembeskyttelse

Lansering msinfo32 fra ledeteksten, og bekreft følgende verdier:

  • "Secure Boot State" er "On"
  • "DMA-kjernebeskyttelse" er "På"
  • "Virtualiseringsbasert sikkerhet" er "Running"
  • "Virtualiseringsbaserte sikkerhetstjenester som kjører" inneholder verdien "Hypervisor-håndhevet kodeintegritet" og "Sikker lansering"

Bekreftelse av innstillinger for MSINFO32 

Bekreftelse av innstillinger 2 for msinfo32 

Support

Ved problemer med maskinvare og fastvare kontakter du Dells kundestøtteKontakt Microsofts kundestøtte
for problemer med operativsystem og programvareDenne hyperkoblingen tar deg til et nettsted utenfor Dell Technologies.
 

Affected Products

ax-650, AX-750, AX-7525, Microsoft Windows Server 2022, PowerEdge C6520, PowerEdge C6525, PowerEdge MX750c, PowerEdge R450, PowerEdge R550, PowerEdge R650

Products

PowerEdge R650xs, PowerEdge R6525, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7525, PowerEdge T550, PowerEdge XR11, PowerEdge XR12
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 11 Dec 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.