Passa al contenuto principale

Utilizzo di Lenovo XClarity Essentials OneCLI

Utilizzare questa sezione per impostare i criteri TPM tramite Lenovo XClarity Essentials OneCLI.

Impostazione dei criteri

Importante

  • I criteri da impostare devono corrispondere al dispositivo hardware TPM. Ad esempio, quando il dispositivo hardware è un chip integrato per i clienti al di fuori della Cina continentale, se i criteri sono impostati su NationZ TPM 2.0 abilitato NationZ TPM 2.0 enabled - China only, l'impostazione avrà esito negativo.

  • Una volta impostati utilizzando i comandi OneCLI, per motivi di sicurezza i criteri devono essere bloccati sui siti.

  • Una volta impostati e bloccati correttamente, i criteri non possono essere sbloccati e reimpostati sui siti.

Procedura:

  1. Leggere TpmTcmPolicyLock per verificare se TPM_TCM_POLICY è stato bloccato:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
    Nota

    Il valore imm.TpmTcmPolicyLock deve essere "Disabilitato", ovvero TPM_TCM_POLICY NON deve essere bloccato e TPM_TCM_POLICY può essere modificato. Se il codice restituito è Abilitato, non sono consentite modiche del criterio. Il planare può ancora essere utilizzato se l'impostazione desiderata è corretta per il sistema da sostituire.

  2. Configurare TPM_TCM_POLICY in XCC:

    • NationZ TPM 2.0 enabled - China only

      I clienti della Cina continentale che necessitano l'abilitazione del TPM devono selezionare questo criterio TPM.

      OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

    • TPM enabled - ROW

      I clienti al di fuori della Cina continentale che necessitano l'abilitazione del TPM devono selezionare questo criterio TPM.

      OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>

    • Permanently disabled

      I clienti della Cina continentale senza TPM o i clienti che richiedono la disabilitazione del TPM devono selezionare questo criterio.

      OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

  3. Immettere un comando di reimpostazione per reimpostare il sistema:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

  4. Leggere nuovamente il valore per verificare se la modifica è stata accettata:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    Nota

    Se il valore verificato corrisponde significa che TPM_TCM_POLICY è stato impostato correttamente.

    imm.TpmTcmPolicy viene definito nel seguente modo:

    • Il valore 0 usa la stringa Undefined, ovvero il criterio UNDEFINED.

    • Il valore 1 usa la stringa NeitherTpmNorTcm, ovvero il criterio TPM_PERM_DISABLED.

    • Il valore 2 usa la stringa TpmOnly, ovvero il criterio TPM_ALLOWED.

    • Il valore 4 usa la stringa NationZTPM20Only, ovvero il criterio NationZTPM20_ALLOWED.

Blocco dei criteri TPM

Procedura:

  1. Leggere TpmTcmPolicyLock per verificare se TPM_TCM_POLICY è stato bloccato:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
    Nota

    Il valore deve essere Disabilitato, ovvero TPM_TCM_POLICY non è bloccato e deve essere impostato.

  2. Bloccare TPM_TCM_POLICY:

    OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

  3. Immettere il seguente comando di reimpostazione per reimpostare il sistema:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    Durante la reimpostazione, UEFI leggerà il valore da imm.TpmTcmPolicyLock. Se il valore è "Abilitato" e il valore imm.TpmTcmPolicy è valido, UEFI bloccherà l'impostazione TPM_TCM_POLICY.

    Il valore valido per imm.TpmTcmPolicy include "NeitherTpmNorTcm", "TpmOnly" e "NationZTPM20Only".

    Se imm.TpmTcmPolicyLock è impostato su "Abilitato", ma il valore di imm.TpmTcmPolicy non è valido, UEFI rifiuterà la richiesta di 'blocco' e ripristinerà imm.TpmTcmPolicyLock su "Disabilitato".

  4. Leggere nuovamente il valore per verificare se il Blocco è stato accettato o rifiutato. Di seguito è riportato il comando:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    Nota
    Se il valore verificato viene modificato da Disabilitato ad Abilitato significa che TPM_TCM_POLICY è stato bloccato correttamente. L'unico modo per sbloccare un criterio impostato è sostituire la scheda di sistema.

    imm.TpmTcmPolicyLock viene definito nel seguente modo:

    Il valore 1 usa la stringa Abilitato, ovvero blocca il criterio. Non sono accettati altri valori.