Dell Command Configure ile Dell Command Güvenli BIOS Yapılandırma Desteği
Summary: Bu makalede, Dell Command I Güvenli BIOS Yapılandırması (DCSBC) ve BIOS yapılandırmasında sertifika tabanlı kimlik doğrulaması elde etmek için bu yapılandırmanın Dell Command I Configure (DCC) ile nasıl kullanılacağı hakkında ayrıntılar verilmektedir. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Etkilenen Ürünler:
- Dell Command | Güvenli BIOS Yapılandırması
- Dell Command | Configure
İçindekiler:
- Giriş:
- Dell Command | DCC'de Güvenli BIOS Yapılandırma Mimarisi
- Dell Command | Configure Uygulaması
- Dell Command Güvenli BIOS Yapılandırma iş akışları için HSM İmzalama Yöntemini Kullanmaya Yönelik Ön Koşullar
- SSS
Giriş:
Yönetilebilirlik arayüzleri, açık arayüzlere veya parola kimliği doğrulanmış komutlara dayanır. Parola kimlik doğrulaması, deneme yanılma veya sözlük saldırısına karşı savunmasızdır, bu nedenle anahtar tabanlı kimlik doğrulamaya kıyasla daha az güvenlidir. Verilerin ve komutların bütünlük ve gizlilik korumasını sağlamak için kimliği doğrulanmış daha iyi bir yönetilebilirlik arayüzü gereklidir. Daha güvenli bir arayüz; parola yönetimi, platform yapılandırması yansıtma, Fabrika Araçları gibi diğer teknolojilerin korumalı arayüz üzerine inşa edilmesine de olanak tanır. DCSBC, BIOS parolalarıyla DACI komutlarının kimliğini doğrulamaktan uzaklaşmaya yönelik bir yaklaşımdır. DCSBC, platform ile istemci arasında mesajları iletmek için PKI kimlik doğrulama mekanizmalarını ve şifrelenmiş kanalları kullanan bir arayüz oluşturarak güvenilir bir iletişim sağlar. Bu yaklaşım aynı zamanda müşteri verilerini korumak için hem bütünlük hem de gizlilik sağlar.
Dell Command | DCC'de Güvenli BIOS Yapılandırma Mimarisi
LEGEND: DCC — Dell Command Configure CLI - DCC Client (Pipeline) DHE — Ephemeral Diffie-Hellman OTB - On the Box SCE - Self Contained Executable Console — MECM, Intune, WorkspaceONE
Çözüm, platform ile istemci arasında mesajları iletmek için PKI kimlik doğrulama mekanizmalarını ve şifreli kanalları kullanan bir arayüz oluşturmaktır.
Diffie-HeIIman tipi anahtar değişimine oturum tabanlı komut referansları.
Yeniden oynatma koruması, kısmen DCSBC mesajlarına iliştirilmiş bir dizi tek kullanımlık rastgele sayı (tek seferlik anahtar) kullanılarak gerçekleştirilir.
Tek seferlik anahtarların kullanılması, mesajın alıcısının mesajın benzersiz olmasını, dolayısıyla tekrar kullanılmamasını ve işlem sırasının korunmasını sağlamasına olanak tanır. Bu durum özellikle oturum tabanlı komutlar için geçerlidir. Her işlem, İstemcinin yeni bir tek seferlik anahtar oluşturmasını ve tek seferlik anahtar değerini alıcıyla paylaşmasını ve imzanın bir parçası olarak veya bir mesaj kimlik doğrulama kodu olarak mesaj içindeki tek seferlik anahtar değerini kontrol etmesini içerir.
Bunun bir parçası olarak, DCC'li DCSBC, DCSBC sunucusunun farklı iş akışları için Bağımsız Yürütülebilir Dosyalar oluşturmak üzere kullanılabildiği bir Sunucu-İstemci modelini takip eder. Bu Bağımsız Yürütülebilir Dosyalar (SCE'ler) daha sonra SCCM/Microsoft Intune gibi yapılandırma araçları kullanılarak BT tarafından yönetilen uç noktalara dağıtılabilir.
Kullanıcının istemcilere/uç noktalara DCC yüklemesine gerek yoktur. SCE uç noktada çalıştırıldıktan sonra, BIOS yapılandırmalarına yönelik yükleri almak için DCSBC sunucusuna istekler gönderir ve bu işlemleri uç nokta BIOS'unda gerçekleştirir.
Bu akış kullanılarak sıfır güven (istemcide/uç noktada) ilkesine ulaşılır ve güven yalnızca BIOS ile DCSBC sunucusu arasında bulunur.
Dell Command | Configure Uygulaması
DCC'de, Kaynak Sağlama İş Akışı ve BIOS Yapılandırma İş Akışı için DCSBC'ye yönelik SCE oluşturulur. İş akışı işlemleri, kaynak sağlama işlemlerine ve BIOS yapılandırma işlemlerine göre sınıflandırılır:
- Kaynak Sağlama İş Akışı - Kullanıcıların kaynak sağlama için istemciyle güvenli bağlantının kimliğini doğrulamak üzere Kaynak Sağlama Sertifikası oluşturmasına olanak tanır. Kaynak sağlama anahtarlarını ekleme, silme veya temizleme ve iş akışının bir parçası olan SCE paketini imzalama.
- BIOS Yapılandırma İş Akışı - Bu akış, kullanıcıların kaynak sağlamayı kullanarak istemcide BIOS ayarlarını yapılandırmak için bir Komut Sertifikası oluşturmalarını sağlar. BIOS yapılandırmalarını seçme ve iş akışının bir parçası olan BIOS yapılandırma SCE paketini imzalama.
Yukarıdaki iş akışlarını gerçekleştirmek için DCC'de tanımlanan iki tür anahtar denetimi vardır:
- Kaynak Sağlama Anahtarı — Bu anahtar/sertifika, yeni anahtarlar eklemek (sağlamak)/Mevcut anahtarları silmek/Sağlanan tüm anahtarları temizlemek istediğiniz Kaynak Sağlama iş akışı için yükleri imzalamada kullanılabilir.
- Komut Anahtarı — Bu anahtar/sertifika, BIOS Yapılandırma Değişikliği akışı için yükleri imzalamada kullanılabilir.
Not:
- Herhangi bir durumda istemci makinesine yalnızca bir sağlama anahtarı eklenebilir veya sağlanabilir
- Herhangi bir durumda bir istemci makinesine yedi Komut Anahtarı eklenebilir/sağlanabilir.
- Kaynak sağlama iş akışının silinmesi yalnızca Komut anahtarları için geçerlidir. Kaynak sağlama anahtarını istemciden kaldırmak için Kaynak Sağlama İş Akışını Temizle seçeneğini belirleyin.
DCC ile Dell Command Güvenli BIOS Yapılandırma Sunucusunu Yükleme ve Kurma
DCC ile DCSBC'yi yükleme ve kurma hakkında ayrıntılar için bkz. DCC 5.0 Yükleme Rehberi > Dell Command Secure BIOS Yapılandırması için Dell Command | Configure 5.0'ı yükleme (https://www.dell.com/support/home/product-support/product/command-configure/docs)
HTTPS ile Dell Command Güvenli BIOS Yapılandırma Sunucusunu Yapılandırma
HTTPS ile Dell Command Güvenli BIOS Yapılandırma Sunucusunu yapılandırma DCSBC sunucusunu https ile yapılandırma hakkında ayrıntılı bilgi için bkz. DCC 5.0 Yükleme Rehberi > HTTPS kullanarak Dell Command Güvenli BIOS Yapılandırma Sunucusunu yapılandırma: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
DCC Kullanıcı Arayüzünü kullanarak DCSBC Sunucusundaki DCSBC İş Akışları için Bağımsız Yürütülebilir Dosyalar Oluşturma
DCSBC Yapılandırma sertifikalarına kaynak sağlamak üzere SCE'lerin nasıl oluşturulacağıyla ilgili ayrıntılar için buradaki DCC Kullanıcı Rehberi > Dell Command Güvenli BIOS Yapılandırma Sertifikaları için Kaynak Sağlama Gerçekleştirme bölümüne bakın: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Dell Command Güvenli BIOS Yapılandırması ile BIOS Ayarlarını Yapılandırma:
DCSBC ile BIOS ayarlarını yapılandırmak üzere SCE'lerin nasıl oluşturulacağıyla ilgili ayrıntılar için buradaki DCC Kullanıcı Rehberi > Sertifika Tabanlı BIOS Kimlik Doğrulaması için SCE'yi Dışa Aktarma bölümüne başvurun: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Dell Command Güvenli BIOS Yapılandırma iş akışları için HSM İmzalama Yöntemini Kullanmaya Yönelik Ön Koşullar
DCC'li DCSBC, DCSBC yüklerini imzalamak için herhangi bir HSM satıcısını kullanmanıza olanak tanır. Ancak yükleri imzalamaya yönelik bu yöntemi kullanmak için DCC, aşağıda listelenen birkaç ön koşulun karşılanmasını gerektirir:
- Dell Technologies, DCC'nin HSM imzalama yönteminden oluşturulan imzaları kullanmasına olanak tanımak için ortamınızda ayarladığınız HSM sağlayıcısıyla birlikte kullanılabilecek açık kaynak imzalama aracı olarak OpenSSL'yi önerir.
- Kullanmakta olduğunuz HSM sağlayıcısına bağlı olarak, aşağıdaki konumda bulunan HSMSigning.bat dosyasını güncelleştirin: C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat
Bu dosyada, HSM kurulumunuz için uyumlu olan 12. satırdaki imza oluşturma komutunu güncelleştirin. Varsayılan olarak şu komut kullanılır:
"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1
Burada sağlanan komut, blobsignature.txt olarak ayarlanacak dosya adı da dahil olmak üzere imzanın varsayılan komutta belirtilenle aynı yolda oluşturulmasını sağlamalıdır.
Ayrıca imza komutunun DCC'nin çalışma zamanı sırasında oluşturduğu imzalanacak yük dosyasını kabul etmesine olanak tanıdığı için bu komuttaki son seçeneği (örneğin "%1") değiştirmediğinizden emin olun.
SSS
- BIOS Parola Kimlik Doğrulaması kullanarak BIOS yapılandırmalarını gerçekleştirmek için DCC kullanmak istiyorum. Ne yapmalıyım?
- DCC, BIOS parola tabanlı kimlik doğrulaması kullanarak BIOS yapılandırmaları için SCE paketleri oluşturabilir. DCC kullanıcı arayüzü, BIOS parola tabanlı kimlik doğrulama ile SCE paketleri oluşturmak için denetim akışını sürdürür.
- Dell Command Güvenli BIOS Yapılandırma sunucumda HSM servis sağlayıcısı kurulumum yok. Bunu nasıl çözebilirim?
- DCSBC için SCE paketlerini imzalamak üzere yerel imzalama yöntemi kullanılabilir.
Not: Bu yöntem, SCE paketlerini imzalamak için yerel olarak oluşturulan özel anahtarları kullanır. DCC, özel anahtarların güvenliğini sağlamak için Microsoft Sertifika deposunu kullanarak bu anahtarları yönetme olanağı sunar, bu nedenle özel anahtar dosyalarını diske kaydetmeye gerek yoktur.
- DCSBC için SCE paketlerini imzalamak üzere yerel imzalama yöntemi kullanılabilir.
- Dell Command Güvenli BIOS Yapılandırma Sunucusu ile yapılandırdığım Dell Command I Configure'u bir Sanal Makineye yüklemek ve kurmak istiyorum. Ne yapmalıyım?
- DCSBC sunucusuyla DCC'yi kurmak için bir Sanal Makine kullanabilirsiniz. DCSBC sunucusuna sahip DCC platformunda, hem kaynak sağlamak hem de BIOS yapılandırma görevleri için bağımsız yürütülebilir dosyalar oluşturabilirsiniz. Bu kurulum, sanal bir ortamda bile BIOS yapılandırmalarını yönetebilmenizi ve güvenlik altına alabilmenizi sağlar.
Affected Products
Dell Command | ConfigureArticle Properties
Article Number: 000227845
Article Type: How To
Last Modified: 15 Nov 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.