Skip to main content

การใช้ Lenovo XClarity Essentials OneCLI

ใช้ส่วนนี้เพื่อตั้งค่านโยบาย TPM โดยใช้ Lenovo XClarity Essentials OneCLI

การตั้งค่านโยบาย

สำคัญ
  • นโยบายที่จะตั้งค่าต้องตรงกับอุปกรณ์ฮาร์ดแวร์ TPM ตัวอย่างเช่น เมื่ออุปกรณ์ฮาร์ดแวร์เป็นชิปออนบอร์ดสําหรับลูกค้าที่อยู่นอกจีนแผ่นดินใหญ่ หากมีการตั้งค่านโยบายเป็น NationZ TPM 2.0 enabled - China only การตั้งค่าจะล้มเหลว

  • หลังจากตั้งค่านโยบายโดยใช้คำสั่ง OneCLI เพื่อเหตุผลด้านความปลอดภัย คุณจะต้องล็อคนโยบายที่หน้างานด้วย

  • เมื่อตั้งค่าและล็อคนโยบายเรียบร้อยแล้ว นโยบายจะไม่สามารถปลดล็อคและรีเซ็ตได้ที่หน้างาน

ขั้นตอน:

  1. อ่าน TpmTcmPolicyLock เพื่อตรวจสอบว่ามีการล็อค TPM_TCM_POLICY หรือไม่:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
    หมายเหตุ

    ค่า imm.TpmTcmPolicyLock ต้องมีสถานะเป็น Disabled ซึ่งหมายความว่า TPM_TCM_POLICY จะไม่ถูกล็อคและสามารถเปลี่ยนเป็น TPM_TCM_POLICY ได้ หากรหัสที่ได้รับกลับมาคือ Enabled มีความหมายว่าระบบไม่อนุญาตให้มีการเปลี่ยนแปลงนโยบาย อาจมีการใช้ Planar อยู่หากการตั้งค่าที่ต้องการเข้ากันได้กับระบบที่มีการเปลี่ยนทดแทน

  2. กำหนดค่า TPM_TCM_POLICY เป็น XCC:

    • NationZ TPM 2.0 enabled - China only

      ลูกค้าในจีนแผ่นดินใหญ่ที่ต้องการเปิดใช้งาน TPM ควรเลือกนโยบาย TPM นี้

      OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>
    • TPM enabled - ROW

      ลูกค้านอกจีนแผ่นดินใหญ่ที่ต้องการเปิดใช้งาน TPM ควรเลือกนโยบาย TPM นี้

      OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>
    • Permanently disabled

      ลูกค้าในจีนแผ่นดินใหญ่ที่ไม่มี TPM หรือลูกค้าที่ต้องการปิดใช้งาน TPM ควรเลือกนโยบายนี้

      OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>
  3. ออกคำสั่งรีเซ็ตเพื่อรีเซ็ตระบบ:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>
  4. อ่านค่าเพื่อตรวจสอบว่าระบบยอมรับการเปลี่ยนแปลงหรือไม่

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    หมายเหตุ

    หากค่าที่อ่านตรงกัน แสดงว่า TPM_TCM_POLICY ได้รับการตั้งค่าอย่างถูกต้องแล้ว

    imm.TpmTcmPolicy ได้รับการกำหนดไว้ดังนี้:
    • ค่า 0 ใช้สตริง Undefined ซึ่งหมายถึงนโยบาย UNDEFINED

    • ค่า 1 ใช้สตริง NeitherTpmNorTcm ซึ่งหมายถึง TPM_PERM_DISABLED

    • ค่า 2 ใช้สตริง TpmOnly ซึ่งหมายถึง TPM_ALLOWED

    • ค่า 4 ใช้สตริง NationZTPM20Only ซึ่งหมายถึง NationZTPM20_ALLOWED

การล็อคนโยบาย TPM

ขั้นตอน:

  1. อ่าน TpmTcmPolicyLock เพื่อตรวจสอบว่ามีการล็อค TPM_TCM_POLICY หรือไม่:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
    หมายเหตุ

    ค่าต้องมีสถานะเป็น Disabled ซึ่งมีความหมายว่าไม่ได้ล็อค TPM_TCM_POLICY ไว้และต้องได้รับการตั้งค่า

  2. ล็อค TPM_TCM_POLICY:

    OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>
  3. ออกคำสั่งรีเซ็ตเพื่อรีเซ็ตระบบ คำสั่งมีดังนี้:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    ในระหว่างการรีเซ็ต UEFI จะอ่านค่าจาก imm.TpmTcmPolicyLock หากค่ามีสถานะเป็น Enabled และค่า imm.TpmTcmPolicy ถูกต้อง UEFI จะล็อคการตั้งค่า TPM_TCM_POLICY

    ค่าที่ถูกต้องสำหรับ imm.TpmTcmPolicy ประกอบด้วย NeitherTpmNorTcm, TpmOnly และ NationZTPM20Only

    หากมีการตั้งค่า imm.TpmTcmPolicyLock เป็น Enabled แต่ค่า imm.TpmTcmPolicy ไม่ถูกต้อง UEFI จะปฏิเสธคำขอ 'ล็อค' และเปลี่ยนค่า imm.TpmTcmPolicyLock กลับเป็น Disabled

  4. อ่านค่าเพื่อตรวจสอบว่าระบบยอมรับหรือปฏิเสธคำขอ ล็อค คำสั่งมีดังนี้:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    หมายเหตุ
    หากมีการเปลี่ยนค่าที่อ่านจาก Disabled เป็น Enabled แสดงว่า TPM_TCM_POLICY ได้รับการล็อคเรียบร้อยแล้ว นโยบายจะปลดล็อคไม่ได้อีกทันทีที่ตั้งค่าเสร็จ นอกจากจะเปลี่ยนแผงระบบ

    imm.TpmTcmPolicyLock ได้รับการกำหนดไว้ดังนี้:

    ค่า 1 ใช้สตริง Enabled ซึ่งมีความหมายว่าล็อคนโยบาย ระบบจะไม่ยอมรับค่าอื่นๆ