PowerEdge: Güvenli Çekirdekli Sunucuları Etkinleştirme Kılavuzu

Summary: Bu makale, Güvenli Çekirdekli Sunucuları tam olarak etkin bir duruma yapılandırmak için ürüne özel adımlar için rehberlik sağlar.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Uygulanabilir ürünler

Yapılandırma kılavuzu aşağıdaki Dell Technologies sunucu ürünleri için geçerlidir:

  • PowerEdge R750
  • PowerEdge R750xa
  • PowerEdge R650
  • PowerEdge MX750c
  • PowerEdge C6520
  • PowerEdge R750xs
  • PowerEdge R650xs
  • PowerEdge R450
  • PowerEdge R550
  • PowerEdge T550
  • PowerEdge XR11
  • PowerEdge XR12
  • PowerEdge R6525 ("EPYCTM 7003 serisi işlemciler")
  • PowerEdge R7525 ("EPYCTM 7003 serisi işlemciler")
  • PowerEdge C6525 ("EPYCTM 7003 serisi işlemciler")
  • Dell EMC AX-7525 (yalnızca EPYCTM 7003 serisi işlemciler)
  • Dell EMC AX-750
  • Dell EMC AX-650

BIOS Ayarları

Aşağıda, güvenli çekirdeği etkinleştirmek için kullanılacak belirli bir platform için minimum BIOS sürümü verilmiştir. 
Bu, Dell destek sayfasından edinilebilir.

Platform Adı Minimum BIOS Sürümü
PowerEdge R750 1.3.8
PowerEdge R750xa 1.3.8
PowerEdge R650 1.3.8
PowerEdge MX750c 1.3.8
PowerEdge C6520 1.3.8
PowerEdge R750xs 1.3.8
PowerEdge R650xs 1.3.8
PowerEdge R450 1.3.8
PowerEdge R550 1.3.8
PowerEdge R6525 2.3.6
PowerEdge R7525 2.3.6
PowerEdge C6525 2.3.6
Dell EMC AX-7525  2.3.6
Dell EMC AX-750 1.3.8
Dell EMC AX-650 1.3.8

 

Not: Sistem, Birleşik Genişletilebilir Bellenim Arabirimi (UEFI) modunda önyüklenmelidir. UEFI modu, Sistem BIOS Ayarları > Önyükleme Ayarları'ndaki BIOS ayarlarında ayarlanmalıdır.


Sistem BIOS Ayarları UEFI önyükleme modu
     
       2. Güvenli Önyükleme etkinleştirilmelidir.
           Güvenli Önyükleme, BIOS'ta Sistem BIOS Ayarları > Sistem Güvenliği bölümünde ayarlanmalıdır.
Sistem BIOS ayarları Sistem Güvenliği

    3. Sunucuda Güvenilir Platform Modülü (TPM) 2.0 bulunmalı ve aşağıda belirtildiği gibi etkinleştirilmelidir.

  • TPM Güvenliği Sistem BIOS Ayarlarında > AÇIK olarak ayarlanmalıdır Sistem Güvenliği 
  • Diğer Ayarlar, BIOS Ayarları > Sistem Güvenliği > TPM Gelişmiş Ayarlar bölümünde ayarlanmalıdır
    • TPM Fiziksel Varlık Arayüzünü (PPI) Atlama ve TPM PPI Atlama Temizleme etkinleştirilmelidir.
    • TPM Algoritma Seçimi "SHA 256" olarak ayarlanmalıdır
  • TPM'nin minimum bellenim sürümü:
    • TPM 2.0 - 7.2.2.0
    • CTPM 7.51.6405.5136

TPM Gelişmiş ayarları

TPM Gelişmiş ayarları

       4. Ölçüm için Dinamik Güven Kökü (DRTM) BIOS'ta etkinleştirilmelidir. Intel sunucusu için, DRTM aşağıdaki BIOS Ayarları etkinleştirilerek etkinleştirilmelidir:

  • Sistem BIOS Ayarları > İşlemci Ayarlarında Doğrudan Bellek Erişim Koruması
  • Sistem BIOS Ayarlarında > Intel(R) TXT Sistem Güvenliği

İşlemci Ayarları
TXT Ayarları

    AMD sunucusu için DRTM etkinleştirilmelidir. Aşağıdaki BIOS ayarları şunları etkinleştirir:

  • Sistem BIOS Ayarları > İşlemci Ayarlarında "Doğrudan Bellek Erişim Koruması"
  • Sistem BIOS Ayarlarında > "AMD DRTM" Sistem Güvenliği

AMD DRTM

    5. Giriş-Çıkış Bellek Yönetimi Birimi (IOMMU) ve Sanallaştırma Uzantısı BIOS'ta etkinleştirilmelidir.

Intel Server IOMMU ve Sanallaştırma Uzantısı için, Sistem BIOS Ayarları > İşlemci ayarlarında "Sanallaştırma Teknolojisi" etkinleştirilerek etkinleştirilmelidir. 
Intel Sanallaştırma Teknolojisi

AMD Server için IOMMU ve Sanallaştırma Uzantısı aşağıdaki BIOS ayarlarıyla etkinleştirilmelidir:

  • Sistem BIOS Ayarları > İşlemci Ayarlarında "Sanallaştırma Teknolojisi"
  • Sistem BIOS Ayarlarında > IOMMU Desteği İşlemci Ayarları


AMD IOMMU

      AMD sunucusu için Sistem BIOS Ayarları > İşlemci ayarlarında Güvenli Bellek Şifrelemesi'ni (SME) ve Şeffaf Güvenli Bellek Şifrelemesi'ni (TSME) etkinleştirin.
Güvenli Bellek Şifreleme (SME) ve Şeffaf SME (TSME)

OS Settings (OS Ayarları) 

Platforma özel sürücüleri yükleyin 

Intel Sunucular için, yonga seti sürücüsü (sürüm: 10.1.18793.8276 ve üzeri) yüklenmelidir. 
AMD Sunucuları için yonga seti sürücüsü (sürüm: 2.18.30.202 ve üzeri) yüklenmelidir.

Bu sürücüler Dell destek sayfasından indirilebilir:

Sunucu model adını girin, "Sürücüler ve İndirmeler" bölümüne gidin, Windows Server 2022 LTSC olarak İşletim Sistemi'ni seçin ve yonga seti sürücüsünü arayın.

Örnek, PowerEdge R650 için "Intel Lewisburg C62x Serisi Yonga Seti Sürücüleri" yüklenmelidir.
                 PowerEdge R6525 için, "AMD SP3 MILAN Serisi Yonga Seti Sürücüleri" yüklenmelidir.

VBS, HVCI ve System Guard için kayıt defteri anahtarlarını yapılandırma

Komut isteminden aşağıdaki komutu çalıştırın:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "EnableVirtualizationBasedSecurity" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "RequirePlatformSecurityFeatures" /t REG_DWORD /d 3 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard" /v "Locked" /t REG_DWORD /d 0 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Enabled" /t REG_DWORD /d 1 /f
reg add "HKLM\SYSTEM\CurrentControlSet\Control\DeviceGuard\Scenarios\HypervisorEnforcedCodeIntegrity" /v "Locked" /t REG_DWORD /d 0 /f
reg add “HKLM\System\CurrentControlSet\Control\DeviceGuard\Scenarios\SystemGuard” /v “Enabled” /t REG_DWORD /d 1 /f
Not: Bu komutlar çalıştırıldıktan sonra sistemyeniden başlatılmalıdır. Yukarıdaki işlemler, aşağıdaki PowerShell betiği çalıştırılarak gerçekleştirilebilir.

Güvenli çekirdek durumunu onaylayın 

Tüm Güvenli çekirdek özelliklerinin doğru şekilde yapılandırıldığını ve çalıştığını onaylamak için aşağıdaki adımları izleyin:

TPM 2.0

Sürücüyü yüklemek için ilgili düğümde get-tpm in ve aşağıdakileri onaylayın:
TPM'yi Al

Güvenli önyükleme, Çekirdek DMA Koruması, VBS, HVCI ve Sistem Koruması

Piyasaya Sürülme msinfo32 Komut isteminden aşağıdaki değerleri onaylayın:

  • Secure Boot State" "On" (Güvenli Önyükleme Durumu)
  • Çekirdek DMA Koruması" "Açık"
  • "Sanallaştırma Tabanlı Güvenlik" "Çalışıyor"
  • Virtualization-based Security Services Running", "Hypervisor-enforced Code Integrity" ve "Secure Launch" değerini içerir

MSINFO32 Ayarlar onayı 

MSINFO32 Ayarların Onayı 2 

Destek

Donanım ve Bellenim sorunları için Dell desteğine
başvurun İşletim sistemi ve yazılım sorunları için Microsoft desteğine başvurunBu köprü bağlantı sizi Dell Technologies dışındaki bir web sitesine yönlendirir.
 

Affected Products

ax-650, AX-750, AX-7525, Microsoft Windows Server 2022, PowerEdge C6520, PowerEdge C6525, PowerEdge MX750c, PowerEdge R450, PowerEdge R550, PowerEdge R650

Products

PowerEdge R650xs, PowerEdge R6525, PowerEdge R750, PowerEdge R750XA, PowerEdge R750xs, PowerEdge R7525, PowerEdge T550, PowerEdge XR11, PowerEdge XR12
Article Properties
Article Number: 000195803
Article Type: How To
Last Modified: 11 Dec 2024
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.