Lenovo XClarity Essentials OneCLI verwenden
In diesem Abschnitt erfahren Sie, wie Sie die TPM-Richtlinie mit Lenovo XClarity Essentials OneCLI konfigurieren können.
Richtlinie festlegen
Die festgelegte Richtlinie muss mit der TPM-Hardwareeinheit übereinstimmen. Wenn die Hardwareeinheit beispielsweise ein integrierter Chip für Kunden außerhalb des chinesischen Kontinents ist und die Richtlinie mit
NationZ TPM 2.0 enabled - China only
festgelegt ist, tritt bei der Einstellung ein Fehler auf.Nachdem die Richtlinie aus Sicherheitsgründen mit OneCLI-Befehlen festgelegt wurde, muss sie auch vor Ort gesperrt werden.
Sobald die Richtlinie erfolgreich festgelegt und gesperrt wurde, kann die Richtlinie vor Ort nicht entsperrt und zurückgesetzt werden.
Schritte:
Lesen Sie TpmTcmPolicyLock, um zu prüfen, ob die TPM_TCM_POLICY gesperrt wurde:
OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
AnmerkungDer Wert imm.TpmTcmPolicyLock muss „Disabled“ sein, d. h. TPM_TCM_POLICY ist NICHT gesperrt und Änderungen an der TPM_TCM_POLICY sind erlaubt. Wenn der Rückgabewert
Enabled
ist, sind keine Änderungen an der Richtlinie erlaubt. Die Platine kann weiterhin verwendet werden, wenn die gewünschte Einstellung für das zu ersetzende System korrekt ist.Konfigurieren Sie die TPM_TCM_POLICY in XCC:
NationZ TPM 2.0 enabled - China only
Kunden auf dem chinesischen Kontinent, die TPM aktivieren wollen, sollten diese TPM-Richtlinie auswählen.
OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>
TPM enabled - ROW
Kunden außerhalb des chinesischen Kontinents, die TPM aktivieren wollen, sollten diese TPM-Richtlinie auswählen.
OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>
Permanently disabled
Kunden auf dem chinesischen Kontinent ohne TPM oder Kunden, die TPM deaktivieren müssen, sollten diese Richtlinie auswählen.
OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>
Erteilen Sie den Reset-Befehl, um das System zurückzusetzen:
OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>
Lesen Sie den Wert zurück, um zu überprüfen, ob die Änderung akzeptiert wurde:
OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
AnmerkungWenn der Rücklesewert übereinstimmt, bedeutet das, dass die TPM_TCM_POLICY korrekt festgelegt wurde.
imm.TpmTcmPolicy ist wie folgt definiert:Wert 0 verwendet die Zeichenkette
Undefined
, was für die UNDEFINED-Richtlinie steht.Wert 1 verwendet die Zeichenkette
NeitherTpmNorTcm
, was für TPM_PERM_DISABLED steht.Wert 2 verwendet die Zeichenkette
TpmOnly
, was für TPM_ALLOWED steht.Wert 4 verwendet die Zeichenkette
NationZTPM20Only
, was für NationZTPM20_ALLOWED steht.
TPM-Richtlinie sperren
Schritte:
Lesen Sie TpmTcmPolicyLock, um zu prüfen, ob die TPM_TCM_POLICY gesperrt wurde:
OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
AnmerkungDer Wert muss
Disabled
sein, d. h. TPM_TCM_POLICY ist NICHT gesperrt und muss gesetzt werden.Sperren Sie die TPM_TCM_POLICY:
OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>
Geben Sie den Reset-Befehl zum Zurücksetzen des Systems aus, Befehl wie unten beschrieben:
OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>
Während des Zurücksetzens liest UEFI den Wert von imm.TpmTcmPolicyLock, wenn der Wert „Enabled“ ist und der imm.TpmTcmPolicy-Wert gültig ist und UEFI sperrt die Einstellung TPM_TCM_POLICY.
Der gültige Wert für imm.TpmTcmPolicy beinhaltet „NeitherTpmNorTcm“, „TpmOnly“ und „NationZTPM20Only“.
Wenn die imm.TpmTcmPolicyLock auf „Enabled“ gesetzt ist, der Wert imm.TpmTcmPolicy aber ungültig ist, lehnt UEFI die Anforderung zum Sperren ab und ändert imm.TpmTcmPolicyLock wieder in „Disabled“.
Lesen Sie den Wert zurück, um zu überprüfen, ob die
Sperre
akzeptiert oder abgelehnt wird, Befehl wie unten beschrieben:OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
AnmerkungWird der Rücklesewert vonDisabled
inEnabled
geändert, bedeutet dies, dass dieTPM_TCM_POLICY erfolgreich gesperrt wurde. Es gibt keine Methode, eine Richtlinie freizuschalten, sobald sie einmal festgelegt wurde, außer dem Ersetzen der Systemplatine. imm.TpmTcmPolicyLock ist wie folgt definiert:
Wert 1 verwendet die Zeichenkette
Enabled
, was bedeutet, dass die Richtlinie gesperrt ist. Andere Werte sind nicht zulässig.