PowerEdge: Guida all'abilitazione dei server con core protetto

Summary: Questo articolo fornisce indicazioni per la procedura specifica del prodotto per configurare i server con core protetto su uno stato completamente abilitato.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Prodotti applicabili

Le indicazioni sulla configurazione si applicano ai seguenti prodotti server Dell Technologies:

  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 ("processori EPYCTM serie 7003")
  • PowerEdge R7525 ("processori EPYCTM serie 7003")
  • PowerEdge C6525 ("processori EPYCTM serie 7003")
  • Dell EMC AX-7525 (solo processori EPYCTM serie 7003)
  • Dell EMC AX-750
  • Dell EMC AX-650

Impostazioni del BIOS

Di seguito è riportata la versione minima del BIOS per la piattaforma specifica da utilizzare per abilitare Secure Core. 
È possibile accedere alla pagina del supporto Dell .

Nome della piattaforma Versione minima del BIOS
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3.8
Dell EMC AX-650 1.3.8

 

Nota: Il sistema deve essere avviato in modalità UEFI (Unified Extensible Firmware Interface). La modalità UEFI deve essere impostata nelle impostazioni del BIOS in System BIOS Settings > Boot Settings.


Impostazioni del BIOS di sistema Modalità di avvio UEFI
     
       2. È necessario abilitare l'avvio protetto.
           L'avvio protetto deve essere impostato nel BIOS in System BIOS Settings > System Security.
Impostazioni del BIOS di sistema Sicurezza del sistema

    3. Il server deve disporre di Trusted Platform Module (TPM) 2.0 e deve essere abilitato come indicato di seguito.

  • TPM Security deve essere impostata su ON in System BIOS Settings > System Security 
  • Altre impostazioni devono essere impostate in BIOS Settings > System Security > TPM Advanced Settings
    • È necessario abilitare TPM Physical Presence Interface (PPI) Bypass e TPM PPI Bypass Clear.
    • TPM Algorithm Selection deve essere impostata su "SHA 256"
  • Versione minima del firmware del TPM:
    • TPM 2.0 - 7.2.2.0
    • CTPM 7.51.6405.5136

Configurazione avanzata di TPM

Impostazioni avanzate TPM

       4. Dynamic Root of Trust for Measurement (DRTM) deve essere abilitato nel BIOS. Per il server Intel, DRTM deve essere abilitato abilitando le seguenti impostazioni del BIOS:

  • Protezione dell'accesso diretto alla memoria in System BIOS Settings > Processor Settings
  • Intel(R) TXT in System BIOS Settings > System Security

Impostazioni del processore
Impostazioni TXT

    DRTM deve essere abilitato per i server AMD. Le impostazioni del BIOS riportate di seguito lo abilitano:

  • "Protezione dell'accesso diretto alla memoria" in System BIOS Settings > Processor Settings
  • "AMD DRTM" in System BIOS Settings > System Security

AMD DRTM

    5. Input-Output Memory Management Unit (IOMMU) e Virtualization Extension devono essere abilitati nel BIOS.

Per Intel Server IOMMU e Virtualization Extension devono essere abilitati abilitando "Virtualization Technology" in System BIOS Settings > Processor settings
Intel Virtualization Technology

Per AMD Server, IOMMU e Virtualization Extension devono essere abilitati con le seguenti impostazioni del BIOS:

  • "Virtualization Technology" in System BIOS Settings > Processor Settings
  • Supporto IOMMU in System BIOS Settings > Processor Settings


AMD IOMMU

      Per il server AMD, nelle impostazioni > del BIOS di sistema, nelle impostazioni del processore , abilitare Secure Memory Encryption (SME) e Transparent Secure Memory Encryption (TSME).
Secure Memory Encryption (SME) e Transparent SME (TSME)

Impostazioni OS 

Installazione di driver specifici della piattaforma 

Per i server Intel, driver del chipset (versione: 10.1.18793.8276 e versioni successive). 
Per i server AMD, driver del chipset (versione: 2.18.30.202 e versioni successive).

Questi driver possono essere scaricati dalla pagina del supporto Dell:

Inserire il nome del modello del server, andare alla sezione "Driver e download", scegliere Sistema operativo come Windows Server 2022 LTSC e cercare il driver del chipset.

Ad esempio, per PowerEdge R650, dovrebbe essere installato "Driver del chipset Intel Lewisburg serie C62x".
                 Per PowerEdge R6525, deve essere installato "AMD SP3 MILAN Series Chipset Drivers".

Configurazione delle chiavi di registro per VBS, HVCI e System Guard

Eseguire quanto segue dal prompt dei comandi:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f
Nota: Ilsistema deve essere riavviato dopo l'esecuzione di questi comandi. Le operazioni di cui sopra possono essere eseguite eseguendo lo script PowerShell riportato di seguito.

Confermare lo stato Secured-core 

Per verificare che tutte le funzioni con core protetto siano configurate e in esecuzione correttamente, attenersi alla seguente procedura:

TPM 2.0

Eseguire get-tpm in un PowerShell e verificare quanto segue:
Get-TPM

Avvio sicuro, protezione DMA del kernel, VBS, HVCI e System Guard

Lancio msinfo32 dal prompt dei comandi e confermare i seguenti valori:

  • "Secure Boot State" è impostato su "On"
  • "Kernel DMA Protection" è impostato su "On"
  • "Virtualization-Based Security" è "Running"
  • "Virtualization-Based Security Services Running" contiene il valore "Hypervisor-enforced Code Integrity" e "Secure Launch"

MSINFO32 Conferma delle impostazioni 

MSINFO32 Conferma delle impostazioni 2 

Supporto

Per problemi relativi a firmware e hardware, contattare il supporto
Dell Per problemi relativi a sistema operativo e software, contattare il supporto MicrosoftQuesto link ipertestuale indirizza a un sito web esterno a Dell Technologies.
 

Affected Products

ax-650, AX-750, AX-7525, Microsoft Windows Server 2022, PowerEdge C6520, PowerEdge C6525, PowerEdge MX750c, PowerEdge R450, PowerEdge R550, PowerEdge R650

Products

PowerEdge R650xs, PowerEdge R6525, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7525, PowerEdge T550, PowerEdge XR11, PowerEdge XR12
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 11 Dec 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.