PowerEdge: Aktivierungshandbuch für Secured-Core-Server

Summary: Dieser Artikel enthält Anleitungen für produktspezifische Schritte zum Konfigurieren von Secured-Core-Servern auf einen vollständig aktivierten Status.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Betroffene Produkte

Die Konfigurationsanleitung gilt für die folgenden Serverprodukte von Dell Technologies:

  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 ("Prozessoren der EPYCTM 7003-Serie")
  • PowerEdge R7525 ("Prozessoren der EPYCTM 7003-Serie")
  • PowerEdge C6525 ("Prozessoren der EPYCTM 7003-Serie")
  • Dell EMC AX-7525 (nur Prozessoren der EPYCTM 7003-Serie)
  • Dell EMC AX-750
  • Dell EMC AX-650

Einstellungen des BIOS

Nachfolgend finden Sie die Mindestversion des BIOS für die jeweilige Plattform, die für die Aktivierung von Secure Core verwendet werden soll. 
Diese kann über die Dell Support-Seite abgerufen werden.

Plattformname Mindest-BIOS-Version
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3.8
Dell EMC AX-650 1.3.8

 

Hinweis: Das System muss im UEFI-Modus (Unified Extensible Firmware Interface) gestartet werden. Der UEFI-Modus sollte in den BIOS-Einstellungen unter System-BIOS-Einstellungen > Starteinstellungen festgelegt werden.


System-BIOS-Einstellungen UEFI-Startmodus
     
       2. Secure Boot muss aktiviert sein.
           Secure Boot muss im BIOS unter System-BIOS Einstellungen > Systemsicherheit festgelegt werden.
System-BIOS-Einstellungen Systemsicherheit

    3. Der Server muss über TPM 2.0 (Trusted Platform Module) verfügen und es muss wie unten beschrieben aktiviert werden.

  • TPM-Sicherheit muss im System-BIOS Einstellungen > Systemsicherheit auf EIN gesetzt sein. 
  • Andere Einstellungen müssen festgelegt werden unter BIOS-Einstellungen > Systemsicherheit > TPM Erweiterte Einstellungen
    • TPM Physical Presence Interface (PPI) Bypass und TPM PPI Bypass Clear müssen aktiviert sein.
    • Die Auswahl des TPM-Algorithmus sollte auf "SHA 256" festgelegt werden.
  • Minimale Firmwareversion des TPM:
    • TPM 2.0 - 7.2.2.0
    • CTPM 7.51.6405.5136

Erweitertes TPM-Setup

Erweiterte TPM-Einstellungen

       4. DRTM (Dynamic Root of Trust for Measurement) muss im BIOS aktiviert sein. Für Intel-Server sollte DRTM durch Aktivieren der folgenden BIOS-Einstellungen aktiviert werden:

  • Direkter Speicherzugriffsschutz in System-BIOS-Einstellungen > Prozessoreinstellungen
  • Intel(R) TXT in System-BIOS-Einstellungen > Systemsicherheit

Prozessoreinstellungen
TXT-Einstellungen

    Für AMD-Server sollte DRTM aktiviert sein. Aktivieren Sie es in den folgenden BIOS-Einstellungen:

  • "Direct Memory Access Protection" unter "System BIOS Settings > Processor Settings"
  • "AMD DRTM" unter "System BIOS Settings System Security > "

AMD DRTM

    5. Die IOMMU (Input/Output Memory Management Unit) und die Virtualisierungserweiterung müssen im BIOS aktiviert sein.

Für Intel Server sollten IOMMU und Virtualisierungserweiterung aktiviert werden, indem "Virtualisierungstechnologie" in System-BIOS-Einstellungen > Prozessoreinstellungen aktiviert wird. 
Intel Virtualisierungstechnik

Für AMD-Server müssen IOMMU und Virtualisierungserweiterung mit den folgenden BIOS-Einstellungen aktiviert werden:

  • "Virtualisierungstechnologie" in System-BIOS-Einstellungen > Prozessoreinstellungen
  • IOMMU-Unterstützung in System-BIOS-Einstellungen > Prozessoreinstellungen


AMD IOMMU

      Aktivieren Sie für den AMD-Server unter System BIOS Settings > Processor Settings Secure Memory Encryption (SME) und Transparent Secure Memory Encryption (TSME).
Secure Memory Encryption (SME) und Transparent SME (TSME)

OS Settings 

Installieren plattformspezifischer Treiber 

Für Intel Server, Chipsatztreiber (Version: 10.1.18793.8276 und höher) installiert sein. 
Für AMD-Server: Chipsatztreiber (Version: 2.18.30.202 und höher) installiert sein.

Diese Treiber können von der Dell Supportseite heruntergeladen werden:

Geben Sie den Servermodellnamen ein, gehen Sie zum Abschnitt "Treiber und Downloads", wählen Sie als Betriebssystem Windows Server 2022 LTSC aus und suchen Sie nach dem Chipsatztreiber.

Beispiel: Für PowerEdge R650 sollten "Intel Lewisburg C62x Series Chipset Drivers" installiert werden.
                 Für PowerEdge R6525 müssen "AMD SP3 MILAN Series Chipset Drivers" installiert sein.

Konfigurieren von Registrierungsschlüsseln für VBS, HVCI und System Guard

Führen Sie Folgendes über die Eingabeaufforderung aus:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f
Hinweis: Das Systemsollte nach dem Ausführen dieser Befehle neu gestartet werden. Die obigen Vorgänge können durch Ausführen des folgenden PowerShell-Skripts durchgeführt werden.

Bestätigen des Secured-Core-Status 

Gehen Sie folgendermaßen vor, um zu bestätigen, dass alle Secured-Core-Funktionen ordnungsgemäß konfiguriert sind und ausgeführt werden:

TPM 2,0

Führen Sie get-tpm in einer PowerShell und bestätigen Sie Folgendes:
Get-TPM

Secure Boot, Kernel-DMA-Schutz, VBS, HVCI und System Guard

Abschießen msinfo32 über die Eingabeaufforderung und bestätigen Sie die folgenden Werte:

  • "Secure Boot State" ist "On"
  • "Kernel-DMA-Schutz" ist "ein"
  • "Virtualization-Based Security" wird ausgeführt
  • "Virtualization-Based Security Services Running" enthält die Werte "Hypervisor-enforced Code Integrity" und "Secure Launch"

MSINFO32 Bestätigung der Einstellungen 

MSINFO32 Bestätigung der Einstellungen 2 

Support

Wenden Sie sich bei HW- und Firmwareproblemen an den Dell Support
. Wenden Sie sich bei Problemen mit dem Betriebssystem und der Software an den Microsoft-SupportDieser Hyperlink führt Sie zu einer Website außerhalb von Dell Technologies.
 

Affected Products

ax-650, AX-750, AX-7525, Microsoft Windows Server 2022, PowerEdge C6520, PowerEdge C6525, PowerEdge MX750c, PowerEdge R450, PowerEdge R550, PowerEdge R650

Products

PowerEdge R650xs, PowerEdge R6525, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7525, PowerEdge T550, PowerEdge XR11, PowerEdge XR12
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 11 Dec 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.