Prise en charge de la configuration sécurisée du BIOS de Dell Command avec Dell Command | Configure
Summary: Cet article fournit des informations détaillées sur Dell Command I Configuration sécurisée du BIOS (DCSBC) et sur la façon de l’utiliser avec Dell Command I Configure (DCC) pour obtenir une authentification basée sur certificat pour la configuration du BIOS. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Produits concernés :
- Dell Command | Configuration sécurisée du BIOS
- Dell Command | Configure
Sommaire :
- Introduction :
- Dell Command | Architecture de configuration sécurisée du BIOS dans DCC
- Dell Command | Configure Implémentation
- Installation et configuration du serveur de configuration sécurisée du BIOS de Dell Command avec DCC
- Configuration du serveur de configuration sécurisée du BIOS de Dell Command avec HTTPS
- Création d’exécutables autonomes pour les workflows DCSBC sur le serveur DCSBC à l’aide de l’interface utilisateur de DCC
- Conditions préalables à l’utilisation de la méthode de signature HSM pour les workflows de configuration sécurisée du BIOS de Dell Command
- Foire aux questions
Introduction :
Les interfaces de gestion s’appuient sur des interfaces ouvertes ou des commandes authentifiées par mot de passe. L’authentification par mot de passe est vulnérable aux attaques par force brute ou par dictionnaire, et donc moins sécurisée que l’authentification par clé. Une meilleure interface de gestion de l’authentification est requise pour garantir la protection de l’intégrité et de la confidentialité des données et des commandes. Une interface plus sécurisée permet également à d’autres technologies de bénéficier de cette interface protégée, comme la gestion des mots de passe, la mise en miroir de la configuration de la plate-forme, les outils d’usine, pour ne citer que ceux-là. DCSBC est une approche qui permet de s’éloigner de l’authentification des commandes DACI avec des mots de passe du BIOS. DCSBC fournit une communication fiable en créant une interface qui utilise des mécanismes d’authentification PKI (infrastructure à clé publique) et des canaux chiffrés pour transmettre des messages entre la plate-forme et un client. Cette approche assure également l’intégrité et la confidentialité pour protéger les données des clients.
Dell Command | Architecture de configuration sécurisée du BIOS dans DCC
LEGEND: DCC — Dell Command Configure CLI - DCC Client (Pipeline) DHE — Ephemeral Diffie-Hellman OTB - On the Box SCE - Self Contained Executable Console — MECM, Intune, WorkspaceONE
La solution consiste à créer une interface qui utilise des mécanismes d’authentification PKI (infrastructure à clé publique) et des canaux chiffrés pour transmettre des messages entre la plate-forme et un client.
Références de commandes basées sur une session vers échange de clés de type Diffie-HeIIman.
La protection contre la répétition est partiellement assurée par l’utilisation d’une séquence de nombres aléatoires à usage unique (nonce) rattachée aux messages DCSBC.
L’utilisation de nonces permet au destinataire du message d’assurer que le message est unique, ce qui signifie qu’il n’est pas réutilisé et que la séquence des opérations est maintenue. Cela est particulièrement vrai pour les commandes basées sur une session. Chaque transaction implique que le Client génère un nouveau nonce et partage en clair la valeur du nonce avec le destinataire, puis hache la valeur du nonce dans le message, soit dans le cadre de la signature, soit dans un code d’authentification de message.
DCSBC avec DCC suit un modèle serveur-client, dans lequel le serveur DCSBC peut être utilisé pour créer des fichiers exécutables autonomes pour différents workflows. Ces exécutables autonomes (SEC) peuvent ensuite être déployés sur des points de terminaison gérés par le département IT à l’aide d’outils de configuration tels que SCCM/Microsoft Intune.
L’utilisateur n’est pas tenu d’installer DCC sur les clients/points de terminaison. Une fois que le SCE est exécuté sur le point de terminaison, il envoie des demandes au serveur DCSBC pour obtenir les charges utiles pour les configurations du BIOS et effectue ces opérations sur le BIOS du point de terminaison.
Avec ce flux, la stratégie Zero-Trust (sur le client/le point de terminaison) est appliquée et la relation de confiance n’existe qu’entre le BIOS et le serveur DCSBC.
Dell Command | Configure Implémentation
Dans DCC, le SCE pour DCSBC est créé pour le workflow de provisionnement et le workflow de configuration du BIOS. Les opérations de workflow sont classées en fonction des opérations de provisionnement et des opérations de configuration du BIOS :
- Flux de provisionnement : permet aux utilisateurs de créer un certificat de provisionnement pour authentifier la connectivité sécurisée avec le client pour le provisionnement. Ajout, suppression ou effacement des clés de provisionnement et signature du package SCE, qui fait partie du workflow.
- Workflow de configuration du BIOS : ce flux permet aux utilisateurs de créer un certificat de commande pour configurer les paramètres du BIOS dans le client à l’aide du provisionnement. Configuration du BIOS et signature du package SCE de configuration du BIOS, qui fait partie du workflow.
Pour réaliser les workflows ci-dessus, il existe deux types de contrôles par clé définis dans DCC :
- Clé de provisionnement : cette clé, ou certificat, peut servir à signer des charges utiles pour le workflow de provisionnement dans lequel vous souhaitez ajouter (provisionner) de nouvelles clés, supprimer des clés existantes ou effacer toutes les clés provisionnées.
- Clé de commande : cette clé/ce certificat peut être utilisé pour signer des charges utiles pour le flux de modification de la configuration du BIOS.
Remarque :
- Une seule clé de provisionnement peut être ajoutée ou provisionnée sur la machine client pour toute instance donnée.
- Il est possible d’ajouter/provisionner sept clés de commande sur une machine client pour toute instance donnée.
- La suppression du workflow de provisionnement s’applique uniquement aux clés de commande. Pour supprimer une clé de provisionnement du client, sélectionnez l’option Effacer le workflow de provisionnement.
Installation et configuration du serveur de configuration sécurisée du BIOS de Dell Command avec DCC
Pour plus d’informations sur l’installation et la configuration de DCSBC avec DCC, voir Dell Command | Configure Guide d’installation de la version 5.0 > Installation de Dell Command | Configure 5.0 pour Dell Command Secure BIOS Configuration (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Configuration du serveur de configuration sécurisée du BIOS de Dell Command avec HTTPS
Configuration du serveur de configuration sécurisée du BIOS de Dell Command avec HTTPS Pour plus d’informations sur la configuration du serveur DCSBC avec https, reportez-vous au Guide d’installation de DCC 5.0 > Configuration du serveur de configuration sécurisée du BIOS de Dell Command avec HTTPS ici : (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Création d’exécutables autonomes pour les workflows DCSBC sur le serveur DCSBC à l’aide de l’interface utilisateur de DCC
Pour plus d’informations sur la création de SCE pour effectuer le provisionnement des certificats de configuration DCSBC, voir Guide de l’utilisateur Dell Command | Configure > Provisionnement pour les certificats Dell Command Secure BIOS Configuration : (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Configuration des paramètres du BIOS avec la configuration sécurisée du BIOS de Dell Command :
Pour plus d’informations sur la création de SCE pour configurer les paramètres du BIOS avec DCSBC, reportez-vous au Guide de l’utilisateur DCC > Exportation de SCE pour l’authentification du BIOS basée sur certificat ici : (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Conditions préalables à l’utilisation de la méthode de signature HSM pour les workflows de configuration sécurisée du BIOS de Dell Command
DCSBC avec DCC vous permet d’utiliser n’importe quel fournisseur HSM pour signer les charges utiles DCSBC. Toutefois, pour utiliser cette méthode de signature des charges utiles, DCC exige que les conditions préalables répertoriées ci-dessous soient remplies :
- Dell technologies recommande OpenSSL comme outil de signature Open source qui peut être utilisé avec le fournisseur HSM que vous avez configuré dans votre environnement, afin de permettre à DCC d’utiliser les signatures générées à partir de la méthode de signature HSM.
- En fonction du fournisseur HSM que vous utilisez, mettez à jour le fichier HSMSigning.bat présent à l’emplacement suivant : C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat
Dans ce fichier, mettez à jour la commande de génération de signature sur la ligne 12 qui est compatible avec votre configuration HSM. Par défaut, la commande utilisée est la suivante :
"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1
La commande ci-jointe devrait assurer que la signature est générée au même emplacement que celui indiqué dans la commande par défaut, y compris le nom du fichier devant être défini comme blobsignature.txt.
En outre, assurez-vous de ne pas modifier la dernière option de cette commande (par exemple, « %1 »), car elle permet à la commande de signature d’accepter le fichier de charge utile à signer (lequel est généré par DCC lors de l’exécution).
Foire aux questions
- Je souhaite utiliser DCC pour effectuer des configurations du BIOS à l’aide de l’authentification par mot de passe du BIOS. Que dois-je faire ?
- DCC peut générer des packages SCE pour les configurations du BIOS à l’aide de l’authentification basée sur un mot de passe du BIOS. L’interface utilisateur DCC gère le flux de contrôle pour la création de packages SCE avec authentification par mot de passe du BIOS.
- Je n’ai pas de fournisseur de services HSM configuré sur mon serveur de configuration sécurisée du BIOS de Dell Command. Comment puis-je résoudre ce problème ?
- La méthode de signature locale peut être utilisée pour signer les packages SCE pour DCSBC.
Remarque : Cette méthode utilise des clés privées générées localement pour signer les packages SCE. Pour sécuriser les clés privées, DCC offre la possibilité de gérer ces clés à l’aide du magasin de certificats Microsoft. Il n’est donc pas nécessaire d’enregistrer les fichiers de clés privées sur le disque.
- La méthode de signature locale peut être utilisée pour signer les packages SCE pour DCSBC.
- Je souhaite installer et configurer Dell Command I Configurer avec le serveur de configuration sécurisée du BIOS de Dell Command sur une machine virtuelle. Que dois-je faire ?
- Vous pouvez utiliser une machine virtuelle pour configurer le DCC avec le serveur DCSBC. Sur la plate-forme DCC avec le serveur DCSBC, vous pouvez créer des fichiers exécutables autonomes pour les tâches de provisionnement et de configuration du BIOS. Cela vous permet de gérer et de sécuriser les configurations du BIOS, même dans un environnement virtuel.
Affected Products
Dell Command | ConfigureArticle Properties
Article Number: 000227845
Article Type: How To
Last Modified: 15 Nov 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.