Passa al contenuto principale

Impostazione dei criteri TPM

Per impostazione predefinita, viene fornita una scheda di sistema sostitutiva con i criteri TPM impostati come non definiti. È necessario modificare questa impostazione in modo che corrisponda a quella definita per la scheda di sistema che sta per essere sostituita.

Sono disponibili due metodi per impostare i criteri TPM:
  • Da Lenovo XClarity Provisioning Manager

    Per impostare i criteri TPM da Lenovo XClarity Provisioning Manager:
    1. Avviare il server e premere il tasto in base alle istruzioni presenti sullo schermo per visualizzare l'interfaccia di Lenovo XClarity Provisioning Manager.

    2. Se viene richiesta la password amministratore di accensione, immetterla.

    3. Dalla pagina di riepilogo del sistema fare clic su Aggiorna VPD.

    4. Impostare i criteri su uno dei valori seguenti.
      • NationZ TPM 2.0 abilitato - solo Cina. I clienti della Cina continentale devono utilizzare questa impostazione se è installato un adattatore NationZ TPM 2.0.

      • TPM abilitato - ROW. I clienti al di fuori della Cina continentale devono scegliere questa impostazione.

      • Disabilitati in modo permanente. I clienti della Cina continentale devono utilizzare questa impostazione se non è installato un adattatore TPM.

      Nota

      Nonostante il valore Non definiti sia disponibile come impostazione per i criteri, l'uso è sconsigliato.

  • Da Lenovo XClarity Essentials OneCLI

    Nota
    Tenere presente che un utente IPMI locale e la password devono essere configurati in Lenovo XClarity Controller per l'accesso remoto al sistema di destinazione.
    Per impostare i criteri TPM da Lenovo XClarity Essentials OneCLI:
    1. Leggere TpmTcmPolicyLock to check whether the TPM_TCM_POLICY è stato bloccato:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      Nota

      Il valore imm.TpmTcmPolicyLock deve essere "Disabilitato", ovvero TPM_TCM_POLICY non deve essere bloccato e TPM_TCM_POLICY può essere modificato. Se il codice restituito è "Abilitato", non sono consentite modifiche del criterio. Il planare può ancora essere utilizzato se l'impostazione desiderata è corretta per il sistema da sostituire.

    2. Configurare TPM_TCM_POLICY in XCC:

      • Per i clienti della Cina continentale senza TPM o i clienti che richiedono la disabilitazione del TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --imm <userid>:<password>@<ip_address>

      • Per i clienti della Cina continentale che richiedono l'abilitazione del TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>

      • Per i clienti al di fuori della Cina continentale che richiedono l'abilitazione del TPM:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>

    3. Immettere un comando di reimpostazione per reimpostare il sistema:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

    4. Leggere nuovamente il valore per verificare se la modifica è stata accettata:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>

      Nota
      • Se il valore verificato corrisponde significa che TPM_TCM_POLICY è stato impostato correttamente.

        imm.TpmTcmPolicy viene definito nel seguente modo:
        • Il valore 0 usa la stringa "Non definito", ovvero il criterio UNDEFINED.

        • Il valore 1 usa la stringa "NeitherTpmNorTcm", ovvero TPM_PERM_DISABLED.

        • Il valore 2 usa la stringa "TpmOnly", ovvero TPM_ALLOWED.

        • Il valore 4 usa la stringa "NationZTPM20Only", ovvero NationZ_TPM20_ALLOWED.

      • I seguenti 4 passaggi devono essere utilizzati per "bloccare" TPM_TCM_POLICY quando si usano i comandi OneCli/ASU:

    5. Leggere TpmTcmPolicyLock per verificare se TPM_TCM_POLICY è stato bloccato con il seguente comando:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      Il valore deve essere "Disabilitato", ovvero TPM_TCM_POLICY non è bloccato e deve essere impostato.

    6. Bloccare TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>

    7. Immettere il seguente comando di reimpostazione per reimpostare il sistema:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

      Durante la reimpostazione UEFI leggerà il valore da imm.TpmTcmPolicyLock, il valore è "Abilitato" e il valore imm.TpmTcmPolicy è valido. UEFI bloccherà l'impostazione TPM_TCM_POLICY.
      Nota

      I valori validi per imm.TpmTcmPolicy includono "NeitherTpmNorTcm", "TpmOnly" e "NationZTPM20Only".

      Se TpmTcmPolicyLock è impostato su "Abilitato", ma il valore imm.TpmTcmPolicy non è valido, UEFI rifiuterà la richiesta di "blocco" e ripristinerà TpmTcmPolicyLock su "Disabilitato".

    8. Leggere nuovamente il valore per verificare se il blocco è stato accettato o rifiutato. Di seguito è riportato il comando:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>

      Nota
      Se il valore verificato viene modificato da "Disabilitato" ad "Abilitato" significa che TPM_TCM_POLICY è stato bloccato correttamente. L'unico modo per sbloccare un criterio impostato è sostituire la scheda di sistema.

      imm.TpmTcmPolicyLock viene definito nel seguente modo:

      Il valore 1 usa la stringa "Abilitato", ovvero blocca il criterio. Non sono accettati altri valori.