Перейти к основному содержимому

Настройка политики TPM

У материнской платы, поставляемой для замены, для политики TPM по умолчанию установлено значение Не определено. Необходимо установить для этого параметра то же значение, что было установлено на предыдущей материнской плате.

Существует два способа настройки политики TPM:

  • В Lenovo XClarity Provisioning Manager

    Чтобы настроить политику TPM в Lenovo XClarity Provisioning Manager, выполните следующие действия:

    1. Запустите сервер и нажмите клавишу в соответствии с инструкциями на экране, чтобы отобразить интерфейс Lenovo XClarity Provisioning Manager.

    2. Если при запуске требуется ввести пароль администратора, введите его.

    3. На странице общих сведений о системе щелкните Обновить VPD.

    4. Задайте один из следующих вариантов политики.

      • Модуль NationZ TPM 2.0 включен (только Китай). Если адаптер NationZ TPM 2.0 установлен, пользователям в Материковом Китае нужно выбрать этот вариант политики.

      • Модуль TPM включен (остальные страны мира). Пользователям за пределами Материкового Китая нужно выбрать этот вариант политики.

      • Постоянно выключен. Если адаптер TPM не установлен, пользователям в Материковом Китае нужно использовать этот вариант политики.

      Прим.

      Хотя вариант Не определено также доступен для выбора, его использовать не следует.

  • В Lenovo XClarity Essentials OneCLI

    Прим.
    Обратите внимание, что для удаленного доступа к целевой системе необходимо в Lenovo XClarity Controller настроить локального пользователя и пароль IPMI.
    Чтобы настроить политику TPM в Lenovo XClarity Essentials OneCLI, выполните следующие действия:

    1. Выполните считывание значения TpmTcmPolicyLock, чтобы выяснить, заблокирована ли политика TPM_TCM_POLICY:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      Прим.

      Значение imm.TpmTcmPolicyLock должно быть Disabled. В этом случае политика TPM_TCM_POLICY не заблокирована и внесение изменений в TPM_TCM_POLICY разрешено. Если код возврата — Enabled, внесение изменений в политику не разрешено. Планарный корпус можно по-прежнему использовать, если требуемая настройка правильна для заменяемой системы.

    2. Настройте TPM_TCM_POLICY в XCC:

      • Для клиентов в Материковом Китае без TPM или клиентов, которым требуется отключить TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --imm <userid>:<password>@<ip_address>

      • Для клиентов в Материковом Китае, которым требуется включить TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>

      • Для клиентов за пределами Материкового Китая, которым требуется включить TPM:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>

    3. Введите команду перезагрузки, чтобы перезагрузить систему:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

    4. Выполните считывание значения, чтобы выяснить, было ли принято изменение:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>

      Прим.

      • Если считанное значение соответствует, политика TPM_TCM_POLICY установлена правильно.

        imm.TpmTcmPolicy определяется следующим образом:

        • Значение 0 использует строку Undefined, что означает неопределенную политику (UNDEFINED).

        • Значение 1 использует строку NeitherTpmNorTcm, что означает TPM_PERM_DISABLED.

        • Значение 2 использует строку TpmOnly, что означает TPM_ALLOWED.

        • Значение 4 использует строку NationZTPM20Only, что означает NationZ_TPM20_ALLOWED.

      • Приведенные ниже 4 шага необходимо также использовать для «блокировки» политики TPM_TCM_POLICY при использовании команд OneCli/ASU.

    5. Выполните считывание значения TpmTcmPolicyLock, чтобы выяснить, заблокирована ли политика TPM_TCM_POLICY; команда следующая:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      Значение должно быть Disabled. При таком значении политика TPM_TCM_POLICY не заблокирована и ее необходимо настроить.

    6. Заблокируйте политику TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>

    7. Введите команду перезагрузки, чтобы перезагрузить систему; команда следующая:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

      При перезагрузке интерфейс UEFI считывает значение из imm.TpmTcmPolicyLock. Если это значение — Enabled и значение imm.TpmTcmPolicy допустимо, UEFI блокирует настройку TPM_TCM_POLICY.
      Прим.

      Допустимые значения для imm.TpmTcmPolicy — NeitherTpmNorTcm, TpmOnly и NationZTPM20Only.

      Если для imm.TpmTcmPolicyLock установлено значение Enabled, но значение imm.TpmTcmPolicy недопустимо, UEFI отклоняет запрос на «блокировку» и восстанавливает для imm.TpmTcmPolicyLock значение Disabled.

    8. Выполните считывание значения, чтобы выяснить, принят ли запрос Lock. Команда следующая:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>

      Прим.
      Если считанное значение изменилось с Disabled на Enabled, политика TPM_TCM_POLICY успешно заблокирована. Единственный способ разблокировать политику после ее настройки — замена материнской платы.

      imm.TpmTcmPolicyLock определяется следующим образом:

      Значение 1 использует строку Enabled, что означает блокировку политики. Другие значения неприемлемы.