PowerEdge. Руководство по включению серверов с защищенным ядром

Применимые продукты

Рекомендации по настройке относятся к следующим серверам Dell Technologies:

• PowerEdge R750
• PowerEdge R750xa
• PowerEdge R650
• PowerEdge MX750c
• PowerEdge C6520
• PowerEdge R750xs
• PowerEdge R650xs
• PowerEdge R450
• PowerEdge R550
• PowerEdge T550
• PowerEdge XR11
• PowerEdge XR12
• PowerEdge R6525 (процессоры серии EPYC™ 7003»)
• PowerEdge R7525 (процессоры серии EPYC™ 7003»)
• PowerEdge C6525 (процессоры EPYCTM серии 7003»)
• Dell EMC AX-7525 (только процессоры EPYCTM серии 7003)
• Dell EMC AX-750
• Dell EMC AX-650

Параметры BIOS

Ниже приведена минимальная версия BIOS для конкретной платформы, которая будет использоваться для включения защищенного ядра. 
Его можно получить на странице поддержки Dell .

     
       2. Должна быть включена функция безопасной загрузки.
           Безопасная загрузка должна быть задана в BIOS в разделе System BIOS Settings > System Security.


    3. Сервер должен иметь доверенный платформенный модуль (TPM) 2.0 и его можно включить, как указано ниже.

• Параметр Безопасность TPM должен быть установлен в значение ВКЛ в разделе Параметры > BIOS системы Безопасность системы 
• Другие параметры необходимо задать в разделе Параметры > BIOS Безопасность > системы Дополнительные параметры TPM
  • Должны быть включены функции Обход интерфейса физического присутствия (PPI) TPM и Очистка обхода PPI TPM.
  • Для параметра «Выбор алгоритма TPM» должно быть задано значение «SHA 256».
• Минимальная версия микропрограммы модуля TPM:
  • TPM 2.0 - 7.2.2.0
  • CTPM 7.51.6405.5136

       4. В BIOS должен быть включен динамический корень доверия для измерений (DRTM). Для сервера Intel необходимо включить DRTM, включив следующие настройки BIOS:

• Защита прямого доступа к памяти в настройках > BIOS системы, параметрах процессора. 
• Intel(R) TXT в меню Параметры BIOS системы Безопасность > системы

    Для сервера AMD должна быть включена функция DRTM. Настройки BIOS ниже включают его:

• «Защита прямого доступа к памяти» в разделе «System BIOS Settings > », «Processor Settings»
• «AMD DRTM» в Настройках BIOS системы Безопасность > системы

    5. Блок управления памятью ввода-вывода (IOMMU) и расширение виртуализации должны быть включены в BIOS.

Для сервера Intel IOMMU и расширение виртуализации должны быть включены, включив «Технология виртуализации» в настройках BIOS системы в разделе «Параметры > процессора». 


Для сервера AMD необходимо включить IOMMU и расширение виртуализации с приведенными ниже настройками BIOS.

• «Технология виртуализации» в меню «System BIOS Settings>» и «Processor Settings»
• Поддержка IOMMU в настройках > BIOS системы, параметрах процессора

      Для сервера AMD в настройках > процессора BIOS включите функции Secure Memory Encryption (SME) и Transparent Secure Memory Encryption (TSME).

Настройки ОС 

Установка драйверов для конкретной платформы 

Для серверов Intel драйвер набора микросхем (версия: 10.1.18793.8276 и выше). 
Для серверов AMD: драйвер набора микросхем (версия: 2.18.30.202 и выше).

Эти драйверы можно скачать со страницы поддержки Dell:

Введите название модели сервера, перейдите в раздел «Драйверы и загружаемые материалы», выберите ОС Windows Server 2022 LTSC и найдите драйвер набора микросхем.

Например, для PowerEdge R650 должны быть установлены драйверы набора микросхем Intel Lewisburg серии C62x.
                 Для PowerEdge R6525 необходимо установить драйверы набора микросхем AMD MILAN с процессорным разъемом SP3.

Настройка разделов реестра для VBS, HVCI и System Guard

Выполните в командной строке следующее:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f

Проверьте состояние защищенного ядра 

Чтобы убедиться, что все функции защищенного ядра правильно настроены и работают, выполните следующие действия.

TPM 2.0

Выполните get-tpm в PowerShell и подтвердите следующее:

Безопасная загрузка, защита DMA ядра, VBS, HVCI и System Guard

Баркас msinfo32 из командной строки подтвердите следующие значения:

• «Состояние безопасной загрузки» — «Вкл.»
• «Kernel DMA Protection» находится в состоянии «On»
• «Безопасность на основе виртуализации» находится в состоянии «Выполняется»
• «Службы безопасности на основе виртуализации выполняются» содержат значение «Целостность кода, обеспечиваемая гипервизором» и «Безопасный запуск»

Поддержка

При возникновении проблем с оборудованием и микропрограммой обратитесь в службу поддержки
Dell При возникновении проблем с ОС и ПО обратитесь в службу поддержки Microsoft