Suporte ao Dell Command | Secure BIOS Configuration com Dell Command | Configure
Summary: Este artigo apresenta detalhes sobre o Dell Command | Secure BIOS Configuration (DCSBC) e como usá-lo com o Dell Command | Configure (DCC) para obter a autenticação com base em certificado para configuração do BIOS. ...
Instructions
Produtos afetados:
- Dell Command | Secure BIOS Configuration
- Dell Command | Configure
Sumário:
- Introdução:
- Arquitetura do Dell Command | Secure BIOS Configuration no DCC
- Implementação do Dell Command | Configure
- Pré-requisitos para utilizar o método de assinatura HSM para fluxos de trabalho do Dell Command | Secure BIOS Configuration
- Perguntas frequentes
Introdução:
As interfaces de capacidade de gerenciamento dependem de interfaces abertas ou de comandos autenticados por senha. A autenticação por senha é vulnerável a ataques de dicionário ou de força bruta e, portanto, é menos segura em comparação com a autenticação baseada em chaves. É necessário ter uma interface de capacidade de gerenciamento mais bem autenticada para oferecer proteções de confidencialidade e integridade dos dados e dos comandos. Uma interface mais segura também permite que outras tecnologias se baseiem na interface protegida, como gerenciamento de senhas, espelhamento de configuração da plataforma, ferramentas de fábrica, entre outras. O DCSBC é uma abordagem para evitar a autenticação de comandos DACI com senhas do BIOS. Ele oferece uma comunicação confiável, criando uma interface que usa mecanismos de autenticação de PKI e canais criptografados para transmitir mensagens entre a plataforma e um client. Essa abordagem também proporciona integridade e confidencialidade para proteger os dados dos clientes.
Arquitetura do Dell Command | Secure BIOS Configuration no DCC
LEGEND: DCC — Dell Command Configure CLI - DCC Client (Pipeline) DHE — Ephemeral Diffie-Hellman OTB - On the Box SCE - Self Contained Executable Console — MECM, Intune, WorkspaceONE
A solução cria uma interface que usa mecanismos de autenticação de PKI e canais criptografados para transmitir mensagens entre a plataforma e um client.
Referências de comandos com base em sessão para a troca de chaves do tipo Diffie-HeIIman.
A proteção contra ataques de repetição é realizada, em parte, usando uma sequência de números aleatórios de uso único (nonce) anexada às mensagens do DCSBC.
O uso de nonces permite que o receptor da mensagem se certifique de que a mensagem seja é única (e portanto, não reutilizada) e de que a sequência de operação seja mantida. Isso é especialmente válido para comandos com base em sessão. Em cada transação, o Client gera uma nova nonce, compartilha o valor dela com o receptor em texto claro e faz hash do valor da nonce dentro da mensagem, seja como parte da assinatura ou como um código de autenticação da mensagem.
Como parte disso, o DCSBC com DCC segue um modelo Servidor-Client, em que é possível usar o DCSBC Server para criar executáveis independentes para diferentes fluxos de trabalho. Em seguida, é possível implementar esses executáveis independentes (SCEs) em endpoints gerenciados pela TI usando ferramentas de configuração como SCCM/Microsoft Intune.
Não há nenhum requisito para que o usuário instale o DCC nos clients/endpoints. Após a execução do SCE no endpoint, ele faz solicitações ao DCSBC Server para obter as cargas úteis das configurações do BIOS e realiza essas operações no BIOS do endpoint.
Usando esse fluxo, a política de zero trust (no client/endpoint) é alcançada, e a confiança só existe entre o BIOS e o DCSBC Server.
Implementação do Dell Command | Configure
No DCC, o SCE do DCSBC é criado para o fluxo de trabalho de provisionamento e o fluxo de trabalho de configuração do BIOS. As operações de fluxo de trabalho são classificadas com base nas operações de provisionamento e de configuração do BIOS:
- Fluxo de trabalho de provisionamento — permite que os usuários criem Certificados de provisionamento para autenticar a conectividade segura com o client para provisionamento. Eles adicionam, excluem ou removem chaves de provisionamento e assinam o pacote de SCE, que faz parte do fluxo de trabalho.
- Fluxo de trabalho de configuração do BIOS — permite que os usuários criem um Certificado de comando para definir as configurações do BIOS no client usando provisionamento. Eles selecionam as configurações do BIOS e assinam o pacote de SCE de configuração do BIOS, que faz parte do fluxo de trabalho.
Para realizar os fluxos de trabalho acima, há dois tipos de controles de chave definidos no DCC:
- Chave de provisionamento — é possível usar essa chave/certificado para assinar cargas úteis do fluxo de trabalho de provisionamento em que você deseja adicionar (provisionar) novas chaves/excluir chaves existentes/remover todas as chaves provisionadas.
- Chave de comando — é possível usar essa chave/certificado para assinar cargas úteis do fluxo de alteração de configurações do BIOS.
- Em qualquer circunstância, somente é possível adicionar ou provisionar uma chave de provisionamento na máquina client
- É possível adicionar/provisionar sete chaves de comando em uma máquina client em qualquer momento.
- A exclusão do fluxo de trabalho de provisionamento somente é aplicável às chaves de comando. Para remover uma chave de provisionamento do client, selecione a opção "Clear Provisioning workflow".
Instalando e configurando o Dell Command Secure BIOS Configuration Server com o DCC
Para obter detalhes sobre como instalar e configurar o DCSBC com DCC, consulte o Guia de instalação do DCC 5.0 > Instalando o Dell Command | Configure 5.0 para o Dell Command Secure BIOS Configuration (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Configurando o Dell Command Secure BIOS Configuration Server com HTTPS
Para obter detalhes sobre como configurar o DCSBC com https, consulte o Guia de instalação do DCC 5.0 > Configurando o Dell Command Secure BIOS Configuration Server usando HTTPS aqui: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Criando executáveis independentes para fluxos de trabalho do DCSBC no DCSBC Server usando a IU do DCC
Para obter detalhes sobre como criar SCEs para realizar o provisionamento de certificados de configuração do DCSBC, consulte o Guia do usuário do DCC > Realizar o provisionamento de certificados de configuração do Dell Command | Secure BIOS Configuration aqui: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Definir as configurações do BIOS com o Dell Command Secure BIOS Configuration:
Para obter detalhes sobre como criar SCEs para definir configurações do BIOS com o DCSBC, consulte o Guia do usuário do DCC > Exportar SCE para a autenticação do BIOS com base em certificado aqui: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Pré-requisitos para utilizar o método de assinatura HSM para fluxos de trabalho do Dell Command | Secure BIOS Configuration
O DCSBC com DCC permite que você use qualquer fornecedor de HSM para assinar as cargas úteis do DCSBC. No entanto, para usar esse método de assinatura de cargas úteis, o DCC requer o cumprimento de alguns pré-requisitos listados abaixo:
- A Dell Technologies recomenda o OpenSSL como a ferramenta de assinatura de código aberto, que pode ser usada junto com o provedor de HSM que você configurou no ambiente, para permitir que o DCC use assinaturas geradas pelo método de assinatura HSM.
- Com base no provedor de HSM que você está usando, atualize o arquivo HSMSigning.bat presente no seguinte local: C:\Program Files (x86)\Dell\Command Configure\X86 64\HSMSigning.bat
Nesse arquivo, atualize o comando de geração de assinatura da linha 12 que é compatível com sua configuração de HSM. Por padrão, o comando usado é:
"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1
O comando apresentado aqui deve garantir que a assinatura seja gerada para o mesmo caminho mencionado no comando padrão, inclusive o nome do arquivo, que será definido como blobsignature.txt.
Além disso, certifique-se de não modificar a última opção (por exemplo, "%1") desse comando, pois ela permite que o comando de assinatura aceite o arquivo de carga útil que será assinado, que o DCC gera durante o tempo de execução.
Perguntas frequentes
- Desejo usar o DCC para realizar as configurações do BIOS usando a autenticação por senha do BIOS. O que devo fazer?
- O DCC pode gerar pacotes de SCE para configurações do BIOS usando a autenticação com base em senha do BIOS. A IU do DCC mantém o fluxo de controle para a criação de pacotes de SCE com a autenticação com base em senha do BIOS.
- Não tenho um provedor de serviços HSM configurado no meu Dell Command | Secure BIOS Configuration Server. Como posso resolver isso?
- É possível usar o método local de assinatura para assinar pacotes de SCE do DCSBC.
Nota: Esse método usa chaves privadas geradas localmente para assinar pacotes de SCE. Para proteger as chaves privadas, o DCC oferece a capacidade de gerenciá-las usando o Microsoft Certification Store e, portanto, não é necessário salvar os arquivos de chave privada no disco.
- É possível usar o método local de assinatura para assinar pacotes de SCE do DCSBC.
- Desejo instalar e configurar meu Dell Command | Configure com o Dell Command Secure BIOS Configuration Server em uma máquina virtual. O que devo fazer?
- É possível usar uma máquina virtual para configurar o DCC com o DCSBC Server. Na plataforma DCC com o DCSBC Server, você pode criar executáveis independentes para tarefas de provisionamento e configuração do BIOS. Essa configuração garante que você possa gerenciar e proteger as configurações do BIOS, mesmo em um ambiente virtual.