PowerEdge: Activeringshandleiding voor Secured-core servers

Summary: Dit artikel bevat richtlijnen voor productspecifieke stappen om beveiligde core-servers te configureren naar een volledig ingeschakelde status.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Toepasselijke producten

De configuratierichtlijnen zijn van toepassing op de volgende serverproducten van Dell Technologies:

  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 ("EPYCTM 7003 serie processors")
  • PowerEdge R7525 ("EPYCTM 7003 serie processors")
  • PowerEdge C6525 ("EPYCTM 7003 serie processors")
  • Dell EMC AX-7525 (alleen processors uit de EPYCTM 7003-serie)
  • Dell EMC AX-750
  • Dell EMC AX-650

BIOS-instellingen

Hieronder vindt u de minimale versie van het BIOS voor het specifieke platform dat moet worden gebruikt voor het inschakelen van Secure Core. 
Deze kunt u verkrijgen op de Dell Support pagina .

Platformnaam Minimale BIOS-versie
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3.8
Dell EMC AX-650 1.3.8

 

Opmerking: Het systeem moet worden opgestart in de UEFI-modus (Unified Extensible Firmware Interface). De UEFI-modus moet worden ingesteld op de BIOS-instellingen in Systeem-BIOS-instellingen > , Opstartinstellingen.


Instellingen systeem-BIOS UEFI-opstartmodus
     
       2. Secure Boot moet zijn ingeschakeld.
           Secure Boot moet worden ingesteld in het BIOS in System BIOS Settings > System Security.
Instellingen systeem-BIOS Systeembeveiliging

    3. De server moet beschikken over Trusted Platform Module (TPM) 2.0 en moet zijn ingeschakeld zoals hieronder wordt vermeld.

  • TPM-beveiliging moet worden ingesteld als AAN in de BIOS-instellingen > van het systeem Systeembeveiliging 
  • Andere instellingen moeten worden ingesteld in BIOS-instellingen > Geavanceerde instellingen voor systeembeveiliging > TPM
    • TPM Physical Presence Interface (PPI) Bypass en TPM PPI Bypass Clear moeten zijn ingeschakeld.
    • Selectie van TPM-algoritme moet worden ingesteld op "SHA 256"
  • Minimale firmwareversie van TPM:
    • TPM 2.0 - 7.2.2.0
    • CTPM 7.51.6405.5136

Geavanceerde TPM-installatie

Geavanceerde TPM-instellingen

       4. DRTM (Dynamic Root of Trust for Measurement) moet zijn ingeschakeld in het BIOS. Voor Intel Server moet DRTM worden ingeschakeld door de onderstaande BIOS-instellingen in te schakelen:

  • Direct Memory Access Protection in de BIOS-instellingen > van het systeem Processorinstellingen
  • Intel(R) TXT in System BIOS Settings > System Security

Processorinstellingen
TXT-instellingen

    Voor AMD-server moet DRTM zijn ingeschakeld. Met de onderstaande BIOS-instellingen kunt u het volgende doen:

  • "Direct Memory Access Protection" bij System BIOS Settings > Processor Settings
  • "AMD DRTM" in de BIOS-instellingen > van het systeem Systeembeveiliging

AMD DRTM

    5. Input-Output Memory Management Unit (IOMMU) en Virtualization Extension moeten zijn ingeschakeld in het BIOS.

Voor Intel Server moeten IOMMU en Virtualization Extension worden ingeschakeld door "Virtualization Technology" in te schakelen in de BIOS-instellingen > van het systeem en de processorinstellingen
Intel Virtualization Technology

Voor AMD Server moeten IOMMU en Virtualization Extension zijn ingeschakeld met de onderstaande BIOS-instellingen:

  • "Virtualisatietechnologie" in de BIOS-instellingen > van het systeem Processorinstellingen
  • IOMMU-ondersteuning in systeem-BIOS-instellingen > Processorinstellingen


AMD IOMMU

      Schakel in de processorinstellingen van de AMD-server > Secure Memory Encryption (SME) en Transparent Secure Memory Encryption (TSME) in.
Secure Memory Encryption (SME) en Transparent SME (TSME)

Instellingen besturingssysteem 

Platformspecifieke drivers installeren 

Voor Intel servers, chipsetdriver (versie: 10.1.18793.8276 en hoger) moeten worden geïnstalleerd. 
Voor AMD-servers wordt de chipsetdriver (versie: 2.18.30.202 en hoger) moeten worden geïnstalleerd.

Deze drivers kunnen worden gedownload van de Dell Support pagina:

Voer de modelnaam van de server in, ga naar het gedeelte Drivers en downloads, kies OS als Windows Server 2022 LTSC en zoek naar chipsetdriver.

Bijvoorbeeld: voor de PowerEdge R650 moeten "Intel Lewisburg C62x Series Chipset Drivers" worden geïnstalleerd.
                 Voor de PowerEdge R6525 moeten "AMD SP3 MILAN Series Chipset Drivers" worden geïnstalleerd.

Registersleutels configureren voor VBS, HVCI en System Guard

Voer het volgende uit vanaf de opdrachtprompt:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f
Opmerking: Het systeemsysteemmoet opnieuw worden opgestart na het uitvoeren van deze opdrachten. De bovenstaande bewerkingen kunnen worden uitgevoerd door het onderstaande PowerShell-script uit te voeren.

De beveiligde core-status bevestigen 

Volg de onderstaande stappen om te controleren of alle Secured-core-functies correct zijn geconfigureerd en worden uitgevoerd:

TPM 2.0

Voer get-tpm in een PowerShell en bevestig het volgende:
Get-TPM

Secure boot, Kernel DMA Protection, VBS, HVCI en System Guard

Lancering msinfo32 van de opdrachtprompt en bevestig de volgende waarden:

  • "Secure Boot State" is "Aan"
  • "Kernel DMA Protection" is "On"
  • "Virtualization-Based Security" wordt "uitgevoerd"
  • "Virtualization-Based Security Services Running" bevat de waarde "Hypervisor-enforced Code Integrity" en "Secure Launch"

MSXinfo32 bevestiging van instellingen 

msinfo32 bevestiging van instellingen 2 

Support

Neem voor hardware- en firmwareproblemen contact op met Dell Support
Neem voor problemen met het besturingssysteem en SW contact op met Microsoft SupportDeze hyperlink leidt u naar een website buiten Dell Technologies.
 

Affected Products

ax-650, AX-750, AX-7525, Microsoft Windows Server 2022, PowerEdge C6520, PowerEdge C6525, PowerEdge MX750c, PowerEdge R450, PowerEdge R550, PowerEdge R650

Products

PowerEdge R650xs, PowerEdge R6525, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7525, PowerEdge T550, PowerEdge XR11, PowerEdge XR12
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 11 Dec 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.