Zum Hauptinhalt springen

TPM-Richtlinie festlegen

Standardmäßig wird eine Ersatzsystemplatine geliefert, bei der die TPM-Richtlinie mit Nicht definiert konfiguriert ist. Sie müssen diese Einstellung ändern, um die Einstellung an die der ausgetauschten Systemplatine anzupassen.

Es gibt zwei Möglichkeiten zum Festlegen der TPM-Richtlinie:
  • Von Lenovo XClarity Provisioning Manager

    So legen Sie die TPM-Richtlinie mit Lenovo XClarity Provisioning Manager fest:
    1. Starten Sie den Server und drücken Sie Taste gemäß den Anweisungen auf dem Bildschirm, um die Lenovo XClarity Provisioning Manager-Schnittstelle anzuzeigen.

    2. Wenn das Administratorkennwort erforderlich ist, geben Sie das Kennwort ein.

    3. Klicken Sie auf der Seite mit der Systemzusammenfassung auf VPD-Update.

    4. Legen Sie die Richtlinie auf eine der folgenden Einstellungen fest.
      • NationZ TPM 2.0 aktiviert – (nur China). Kunden auf dem chinesischen Kontinent sollten diese Einstellung auswählen, wenn ein NationZ TPM 2.0-Adapter installiert ist.

      • TPM aktiviert – restliche Welt. Kunden außerhalb des chinesischen Kontinents sollten diese Einstellung auswählen.

      • Permanent deaktiviert. Kunden auf dem chinesischen Kontinent sollten diese Einstellung verwenden, wenn kein TPM-Adapter installiert ist.

      Anmerkung

      Obwohl die Einstellung Nicht definiert als Richtlinieneinstellung verfügbar ist, sollte sie nicht verwendet werden.

  • Vom Lenovo XClarity Essentials OneCLI

    Anmerkung
    Hinweis: Ein lokaler IPMI-Benutzer mit Kennwort muss in Lenovo XClarity Controller konfiguriert sein, damit der Fernzugriff auf das Zielsystem funktioniert.
    So legen Sie die TPM-Richtlinie mit Lenovo XClarity Essentials OneCLI fest:
    1. Lesen Sie TpmTcmPolicyLock, um zu überprüfen, ob die TPM_TCM_POLICY gesperrt wurde:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
      Anmerkung

      Der Wert imm.TpmTcmPolicyLock muss „Disabled“ sein, d. h. TPM_TCM_POLICY ist NICHT gesperrt und Änderungen an der TPM_TCM_POLICY sind erlaubt. Wenn der Rückgabewert „Enabled“ ist, sind keine Änderungen an der Richtlinie erlaubt. Die Platine kann weiterhin verwendet werden, wenn die gewünschte Einstellung für das zu ersetzende System korrekt ist.

    2. Konfigurieren Sie die TPM_TCM_POLICY in XCC:

      • Für Kunden auf dem chinesischen Kontinent ohne TPM oder Kunden, die TPM deaktivieren müssen:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>
      • Für Kunden auf dem chinesischen Kontinent, die TPM aktivieren müssen:

        OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>
      • Für Kunden außerhalb des chinesischen Kontinents, die TPM aktivieren müssen:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. Erteilen Sie den Reset-Befehl, um das System zurückzusetzen:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. Lesen Sie den Wert zurück, um zu überprüfen, ob die Änderung akzeptiert wurde:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Anmerkung
      • Wenn der Rücklesewert übereinstimmt, bedeutet das, dass die TPM_TCM_POLICY korrekt festgelegt wurde.

        imm.TpmTcmPolicy ist wie folgt definiert:
        • Wert 0 verwendet die Zeichenkette „Undefined“, was für die UNDEFINED-Richtlinie steht.

        • Wert 1 verwendet die Zeichenkette „NeitherTpmNorTcm“, was TPM_PERM_DISABLED bedeutet.

        • Wert 2 verwendet die Zeichenkette „TpmOnly“, was TPM_ALLOWED bedeutet.

        • Wert 4 verwendet die Zeichenfolge „NationZTPM20Only“, was NationZ_TPM20_ALLOWED bedeutet.

      • Die folgenden 4 Schritte müssen auch verwendet werden, um die TPM_TCM_POLICY bei der Verwendung von OneCli/ASU-Befehlen zu „sperren“:

    5. Lesen Sie TpmTcmPolicyLock, um zu überprüfen, ob TPM_TCM_POLICY gesperrt ist, Befehl wie unten:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      Der Wert muss „Disabled“ sein, d. h. TPM_TCM_POLICY ist NICHT gesperrt und muss gesetzt werden.

    6. Sperren Sie die TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
      Anmerkung
      Stellen Sie sicher, dass die neueste Version der BIOS/UEFI-Firmware installiert ist, bevor Sie die TPM_TCM_RICHTLINIE sperren.
    7. Geben Sie den Reset-Befehl zum Zurücksetzen des Systems aus, Befehl wie unten beschrieben:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
      Während des Zurücksetzens liest UEFI den Wert von imm.TpmTcmPolicyLock. Wenn der Wert „Enabled“ und der imm.TpmTcmPolicy-Wert gültig ist, sperrt UEFI die Einstellung TPM_TCM_POLICY.
      Anmerkung

      Die gültigen Werte für imm.TpmTcmPolicy beinhalten „NeitherTpmNorTcm“, „TpmOnly“ und „NationZTPM20Only“.

      Wenn die imm.TpmTcmPolicyLock auf „Enabled“ gesetzt ist, der Wert imm.TpmTcmPolicy aber ungültig ist, lehnt UEFI die Anforderung zum Sperren ab und ändert imm.TpmTcmPolicyLock wieder in „Disabled“.

    8. Lesen Sie den Wert zurück, um zu überprüfen, ob die Sperre akzeptiert oder abgelehnt wird. Befehl siehe unten:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Anmerkung
      Wird der Rücklesewert von „Disabled“ auf „Enabled“ geändert, bedeutet dies, dass die TPM_TCM_POLICY erfolgreich gesperrt wurde. Es gibt keine Methode, eine Richtlinie freizuschalten, sobald sie einmal festgelegt wurde, außer dem Ersetzen der Systemplatine.

      imm.TpmTcmPolicyLock ist wie folgt definiert:

      Wert 1 verwendet die Zeichenkette „Enabled“, was bedeutet, dass die Richtlinie gesperrt ist. Andere Werte sind nicht zulässig.