Zum Hauptinhalt springen

Lenovo XClarity Essentials OneCLI verwenden

In diesem Abschnitt erfahren Sie, wie Sie die TPM-Richtlinie mit Lenovo XClarity Essentials OneCLI konfigurieren können.

Richtlinie festlegen

Wichtig

  • Die festgelegte Richtlinie muss mit der TPM-Hardwareeinheit übereinstimmen. Wenn die Hardwareeinheit beispielsweise ein integrierter Chip für Kunden außerhalb des chinesischen Kontinents ist und die Richtlinie mit NationZ TPM 2.0 enabled - China only festgelegt ist, tritt bei der Einstellung ein Fehler auf.

  • Nachdem die Richtlinie aus Sicherheitsgründen mit OneCLI-Befehlen festgelegt wurde, muss sie auch vor Ort gesperrt werden.

  • Sobald die Richtlinie erfolgreich festgelegt und gesperrt wurde, kann die Richtlinie vor Ort nicht entsperrt und zurückgesetzt werden.

Schritte:

  1. Lesen Sie TpmTcmPolicyLock, um zu prüfen, ob die TPM_TCM_POLICY gesperrt wurde:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
    Anmerkung

    Der Wert imm.TpmTcmPolicyLock muss „Disabled“ sein, d. h. TPM_TCM_POLICY ist NICHT gesperrt und Änderungen an der TPM_TCM_POLICY sind erlaubt. Wenn der Rückgabewert Enabled ist, sind keine Änderungen an der Richtlinie erlaubt. Die Platine kann weiterhin verwendet werden, wenn die gewünschte Einstellung für das zu ersetzende System korrekt ist.

  2. Konfigurieren Sie die TPM_TCM_POLICY in XCC:

    • NationZ TPM 2.0 enabled - China only

      Kunden auf dem chinesischen Kontinent, die TPM aktivieren wollen, sollten diese TPM-Richtlinie auswählen.

      OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

    • TPM enabled - ROW

      Kunden außerhalb des chinesischen Kontinents, die TPM aktivieren wollen, sollten diese TPM-Richtlinie auswählen.

      OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>

    • Permanently disabled

      Kunden auf dem chinesischen Kontinent ohne TPM oder Kunden, die TPM deaktivieren müssen, sollten diese Richtlinie auswählen.

      OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

  3. Erteilen Sie den Reset-Befehl, um das System zurückzusetzen:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

  4. Lesen Sie den Wert zurück, um zu überprüfen, ob die Änderung akzeptiert wurde:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    Anmerkung

    Wenn der Rücklesewert übereinstimmt, bedeutet das, dass die TPM_TCM_POLICY korrekt festgelegt wurde.

    imm.TpmTcmPolicy ist wie folgt definiert:

    • Wert 0 verwendet die Zeichenkette Undefined, was für die UNDEFINED-Richtlinie steht.

    • Wert 1 verwendet die Zeichenkette NeitherTpmNorTcm, was für TPM_PERM_DISABLED steht.

    • Wert 2 verwendet die Zeichenkette TpmOnly, was für TPM_ALLOWED steht.

    • Wert 4 verwendet die Zeichenkette NationZTPM20Only, was für NationZTPM20_ALLOWED steht.

TPM-Richtlinie sperren

Schritte:

  1. Lesen Sie TpmTcmPolicyLock, um zu prüfen, ob die TPM_TCM_POLICY gesperrt wurde:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
    Anmerkung

    Der Wert muss Disabled sein, d. h. TPM_TCM_POLICY ist NICHT gesperrt und muss gesetzt werden.

  2. Sperren Sie die TPM_TCM_POLICY:

    OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

  3. Geben Sie den Reset-Befehl zum Zurücksetzen des Systems aus, Befehl wie unten beschrieben:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    Während des Zurücksetzens liest UEFI den Wert von imm.TpmTcmPolicyLock, wenn der Wert „Enabled“ ist und der imm.TpmTcmPolicy-Wert gültig ist und UEFI sperrt die Einstellung TPM_TCM_POLICY.

    Der gültige Wert für imm.TpmTcmPolicy beinhaltet „NeitherTpmNorTcm“, „TpmOnly“ und „NationZTPM20Only“.

    Wenn die imm.TpmTcmPolicyLock auf „Enabled“ gesetzt ist, der Wert imm.TpmTcmPolicy aber ungültig ist, lehnt UEFI die Anforderung zum Sperren ab und ändert imm.TpmTcmPolicyLock wieder in „Disabled“.

  4. Lesen Sie den Wert zurück, um zu überprüfen, ob die Sperre akzeptiert oder abgelehnt wird, Befehl wie unten beschrieben:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    Anmerkung
    Wird der Rücklesewert von Disabled in Enabled geändert, bedeutet dies, dass die TPM_TCM_POLICY erfolgreich gesperrt wurde. Es gibt keine Methode, eine Richtlinie freizuschalten, sobald sie einmal festgelegt wurde, außer dem Ersetzen der Systemplatine.

    imm.TpmTcmPolicyLock ist wie folgt definiert:

    Wert 1 verwendet die Zeichenkette Enabled, was bedeutet, dass die Richtlinie gesperrt ist. Andere Werte sind nicht zulässig.