使用 Dell Command Configure 提供 Dell Command Secure BIOS Configuration 支持
Summary: 本文详细介绍了 Dell Command I Secure BIOS Configuration (DCSBC) 以及如何将其与 Dell Command I Configure (DCC) 配合使用,以实现 BIOS 配置的基于证书的身份验证。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
受影响的产品:
- Dell Command | Secure BIOS Configuration
- Dell Command | Configure
目录:
- 简介:
- DCC 中的 Dell Command | Secure BIOS Configuration 架构
- Dell Command | Configure 实施
- 为 Dell Command Secure BIOS Configuration 工作流使用 HSM 签名方法的前提条件
- 常见问题解答
简介:
可管理性接口依赖于开放接口或使用密码进行身份验证的命令。密码身份验证容易遭受暴力破解或字典攻击,因此安全性比基于密钥的身份验证要低。要保护数据和命令的完整性和机密性,需要可管理性接口使用更好的身份验证方法。更安全的接口还支持在受保护的接口上采用其他技术,例如密码管理、平台配置镜像、出厂工具等。DCSBC 是一种不同于使用 BIOS 密码对 DACI 命令进行身份验证的方法。DCSBC 创建一个使用 PKI 身份验证机制和加密通道在平台和客户端之间传递消息的接口,从而提供受信任的通信。这种方法还提供了完整性和机密性来保护客户数据。
DCC 中的 Dell Command | Secure BIOS Configuration 架构
LEGEND: DCC — Dell Command Configure CLI - DCC Client (Pipeline) DHE — Ephemeral Diffie-Hellman OTB - On the Box SCE - Self Contained Executable Console — MECM, Intune, WorkspaceONE
解决方案是创建一个接口,该接口使用 PKI 身份验证机制和加密通道在平台和客户端之间传递消息。
基于会话的命令引用 Diffie-HeIIman 类型密钥交换。
重放保护部分地通过使用附加到 DCSBC 消息的一次性随机数序列来实现。
使用随机数使消息的接收者能够确保消息是唯一的,因此不会重用,并且维持操作顺序。对于基于会话的命令尤其如此。在每个事务中,客户端生成一个新的随机数,以不加密形式与接收方共享该随机数值,并对消息中的随机数值进行哈希处理,作为签名或消息身份验证代码的一部分。
在这个过程中,DCSBC with DCC 遵循服务器-客户端模型,其中 DCSBC 服务器可用于为不同的工作流创建独立可执行文件。然后,可以使用 SCCM/Microsoft Intune 等配置工具将这些独立可执行文件 (SCE) 部署到 IT 托管端点。
用户无需在客户端/端点上安装 DCC。SCE 在端点上运行后,它会向 DCSBC 服务器发出请求以获取 BIOS 配置的有效负载,并在端点 BIOS 上执行这些操作。
使用此流程可实现零信任(在客户端/端点上)策略,并且信任仅存在于 BIOS 和 DCSBC 服务器之间。
Dell Command | Configure 实施
在 DCC 中,DCSBC 的 SCE 是为预配工作流和 BIOS 配置工作流创建的。工作流操作根据预配操作和 BIOS 配置操作进行分类:
- 预配工作流:允许用户创建预配证书来验证与客户端的安全连接,以便进行预配。此工作流包括添加、删除或清除预配密钥,以及对 SCE 软件包进行签名。
- BIOS 配置工作流:此流程允许用户创建命令证书,以使用预配在客户端中配置 BIOS 设置。此工作流包括选择 BIOS 配置和对 BIOS 配置 SCE 软件包进行签名。
为实现上述工作流,DCC 中定义了两种类型的密钥控制:
- 预配密钥:此密钥/证书可用于为预配工作流的有效负载签名,在该工作流中,你可以添加(预配)新密钥/删除现有密钥/清除所有预配密钥。
- 命令密钥:此密钥/证书可用于为 BIOS 配置更改流程的有效负载签名。
提醒:
- 在任何给定时刻,只能在客户端计算机上添加或预配一个预配密钥
- 在任何给定时刻,可以在客户端机器上添加/预配七个命令密钥。
- 删除预配工作流仅适用于命令密钥。要从客户端中删除预配密钥,请选择清除预配工作流选项。
使用 DCC 安装和设置 Dell Command Secure BIOS Configuration 服务器
有关如何安装和设置 DCSBC with DCC 的详细信息,请参阅 DCC 5.0 安装指南 > 为 Dell Command Secure BIOS Configuration 安装 Dell Command | Configure 5.0 (https://www.dell.com/support/home/product-support/product/command-configure/docs)
使用 HTTPS 配置 Dell Command Secure BIOS Configuration 服务器
使用 HTTPS 配置 Dell Command Secure BIOS Configuration 服务器。有关如何使用 https 配置 DCSBC 服务器的详细信息,请参阅 DCC 5.0 安装指南 > 使用 HTTPS 配置 Dell Command Secure BIOS Configuration 服务器: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
使用 DCC UI 在 DCSBC 服务器上为 DCSBC 工作流创建独立可执行文件
有关如何创建 SCE 以执行 DCSBC Configuration 证书预配的详细信息,请参阅 DCC 用户指南 > Dell Command Secure BIOS Configuration 证书的预配:(https://www.dell.com/support/home/product-support/product/command-configure/docs)
使用 Dell Command Secure BIOS Configuration 配置 BIOS 设置:
有关如何创建 SCE 以使用 DCSBC 配置 BIOS 设置的详细信息,请参阅此处的 DCC 用户指南 > 导出 SCE 以进行基于证书的 BIOS 身份验证:(https://www.dell.com/support/home/product-support/product/command-configure/docs)
为 Dell Command Secure BIOS Configuration 工作流使用 HSM 签名方法的前提条件
DCSBC with DCC 允许您使用任何 HSM 供应商为 DCSBC 有效负载签名。但是,要使用此方法为有效负载签名,DCC 需要满足下面列出的几个前提条件:
- Dell Technologies 推荐使用 OpenSSL 作为开源签名工具,它可与您在环境中设置的 HSM 供应商配合使用,以允许 DCC 使用通过 HSM 签名方法生成的签名。
- 根据您使用的 HSM 供应商,更新以下位置的 HSMSigning.bat 文件:C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat
在此文件中,更新第 12 行中与您的 HSM 设置兼容的签名生成命令。默认使用的命令为:
"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1
此处提供的命令应确保签名应生成到默认命令中提到的相同路径,包括要设置为 blobsignature.txt 的文件名。
此外,请确保不要修改此命令中的最后一个选项(例如,“%1”),因为它允许签名命令接受 DCC 在运行时生成的要签名的有效负载文件。
常见问题解答
- 我想使用 DCC 执行使用 BIOS 密码身份验证的 BIOS 配置。我应该怎么做?
- DCC 可以使用基于 BIOS 密码的身份验证为 BIOS 配置生成 SCE 软件包。DCC UI 维护一个控制流,用于使用基于 BIOS 密码的身份验证创建 SCE 软件包。
- 我的 Dell Command Secure BIOS Configuration 服务器上没有设置 HSM 服务供应商。如何解决此问题?
- 可以使用本地签名方法为 DCSBC 的 SCE 软件包签名。
提醒:此方法使用本地生成的私钥为 SCE 程序包签名。为了保护私钥,DCC 提供了使用 Microsoft 证书存储管理这些密钥的功能,因此无需将私钥文件保存在磁盘上。
- 可以使用本地签名方法为 DCSBC 的 SCE 软件包签名。
- 我想要在虚拟机上安装和设置 Dell Command I Configure with Dell Command Secure BIOS Configuration 服务器。我应该怎么做?
- 您可以使用虚拟机设置 DCC with DCSBC 服务器。在具有 DCSBC 服务器的 DCC 平台上,您可以为预配和 BIOS 配置任务创建独立可执行文件。此设置可确保即使在虚拟环境中,您也可以管理和保护 BIOS 配置。
Affected Products
Dell Command | ConfigureArticle Properties
Article Number: 000227845
Article Type: How To
Last Modified: 15 Nov 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.