PowerEdge:安全核心伺服器啟用指南
Summary: 本文提供產品特定步驟的指南,以將安全核心伺服器設定為完全啟用狀態。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
適用產品
本組態指南適用於下列 Dell Technologies 伺服器產品:
- PowerEdge R750
- PowerEdge R750xa
- PowerEdge R650
- PowerEdge MX750c
- PowerEdge C6520
- PowerEdge R750xs
- PowerEdge R650xs
- PowerEdge R450
- PowerEdge R550
- PowerEdge T550
- PowerEdge XR11
- PowerEdge XR12
- PowerEdge R6525 (「EPYCTM 7003 系列處理器」)
- PowerEdge R7525 (以下稱「EPYCTM 7003 系列處理器」)
- PowerEdge C6525 (以下稱「EPYCTM 7003 系列處理器」)
- Dell EMC AX-7525 (僅限 EPYCTM 7003 系列處理器)
- Dell EMC AX-750
- Dell EMC AX-650
BIOS 設定
以下是特定平台用於啟用安全核心的最低 BIOS 版本。
這可以從戴爾 支援頁面 獲得。
| 平台名稱 | 最低 BIOS 版本 |
| PowerEdge R750 | 1.3.8 |
| PowerEdge R750xa | 1.3.8 |
| PowerEdge R650 | 1.3.8 |
| PowerEdge MX750c | 1.3.8 |
| PowerEdge C6520 | 1.3.8 |
| PowerEdge R750xs | 1.3.8 |
| PowerEdge R650xs | 1.3.8 |
| PowerEdge R450 | 1.3.8 |
| PowerEdge R550 | 1.3.8 |
| PowerEdge R6525 | 2.3.6 |
| PowerEdge R7525 | 2.3.6 |
| PowerEdge C6525 | 2.3.6 |
| Dell EMC AX-7525 | 2.3.6 |
| Dell EMC AX-750 | 1.3.8 |
| Dell EMC AX-650 | 1.3.8 |
注意:系統必須在整合可延伸韌體介面 (UEFI) 模式下開機。UEFI 模式應在 系統 BIOS 設定 > 開機設定的 BIOS 設定中設定。
2.必須啟用安全開機。
必須在 BIOS 中的系統 BIOS 設定 > 系統安全性中設定安全開機。
3.伺服器必須具有可信賴平台模組 (TPM) 2.0,並且必須如下所述啟用。
- TPM 安全性必須在 系統 BIOS 設定 > 中設定為開啟 系統安全性
- 其他設定必須在「 BIOS 設定」 > 中設定 系統安全性 > TPM 進階設定
- 必須啟用 TPM 實體操作介面 (PPI) 旁路和 TPM PPI 旁路清除。
- TPM 演算法選項應設為「SHA 256」
- TPM 的最低韌體版本:
TPM 2.0 - 7.2.2.0CTPM 7.51.6405.5136
4.必須在 BIOS 中啟用動態測量信任根 (DRTM)。若為 Intel 伺服器,應透過啟用以下 BIOS 設定來啟用 DRTM:
- 系統 BIOS 設定>處理器設定中的直接記憶體存取保護。
- 系統 BIOS 設定>中的 Intel(R) TXT 系統安全性
若為 AMD 伺服器,應啟用 DRTM。下方的 BIOS 設定可啟用:
- 系統 BIOS 設定 > 處理器設定中的「直接記憶體存取保護」
- 系統 BIOS 設定 > 中的「AMD DRTM」 系統安全性
5.必須在 BIOS 中啟用輸入輸出記憶體管理單元 (IOMMU) 和虛擬化擴充功能。
若為 Intel 伺服器 ,應在系統 BIOS 設定 > 處理器設定中啟用「虛擬化技術」,以啟用 IOMMU 和虛擬化擴充功能。
若為 AMD 伺服器,應使用以下 BIOS 設定啟用 IOMMU 和虛擬化延伸功能:
- 系統 BIOS 設定>處理器設定中的「虛擬化技術」
- 系統 BIOS 設定>處理器設定中的 IOMMU 支援
針對 AMD 伺服器 的系統 BIOS 設定 > 處理器 設定,啟用安全記憶體加密 (SME) 和透明安全記憶體加密 (TSME)。
OS 設定
安裝平台特定的驅動程式
若為 Intel 伺服器,晶片組驅動程式 (版本:應安裝 10.1.18793.8276 及更新版本)。
若為 AMD 伺服器,晶片組驅動程式 (版本:應安裝 2.18.30.202 及更新版本。
您可以從 Dell 支援頁面下載這些驅動程式:
輸入伺服器型號名稱,前往「驅動程式與下載」區段,選擇作業系統作為 Windows Server 2022 LTSC,並尋找晶片組驅動程式。
例如,若為 PowerEdge R650,則應安裝「Intel Lewisburg C62x 系列晶片組驅動程式」。
若為 PowerEdge R6525,應安裝「AMD SP3 MILAN 系列晶片組驅動程式」。
設定 VBS、HVCI 和 System Guard 的登錄機碼
從命令提示字元執行下列命令:
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f
注意:執行這些命令後,系統應重新開機。您可以執行以下 PowerShell 指令檔來執行上述作業。
確認安全核心狀態
若要確認所有安全核心功能均已正確設定並執行,請執行以下步驟:
TPM 2.0
執行 get-tpm ,並確認下列事項:
安全開機、核心 DMA 保護、VBS、HVCI 和 System Guard
啟動 msinfo32 從命令提示字元中確認下列值:
- 「Secure Boot State」為「On」
- 「核心 DMA 保護」為「開啟」
- 「虛擬化安全性」正在「執行中」
- 「虛擬化安全性服務執行中」包含值「Hypervisor-enforced Code Integrity」和「Secure Launch」
支援
若有硬體和韌體問題,請連絡 Dell 支援
。若有作業系統和軟體問題,請連絡Microsoft支援。
Affected Products
ax-650, AX-750, AX-7525, Microsoft Windows Server 2022, PowerEdge C6520, PowerEdge C6525, PowerEdge MX750c, PowerEdge R450, PowerEdge R550, PowerEdge R650Products
PowerEdge R650xs, PowerEdge R6525, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7525, PowerEdge T550, PowerEdge XR11, PowerEdge XR12Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 11 Dec 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.