Güvenli Bileşen Doğrulaması (Cihazda) Sertifikalarını Doğrulama

Dell bilgisayarın bütünlüğü ve orijinalliği, platform sertifikası ve doğrulayıcı platformu kullanılarak doğrulanabilir. Bu, bir cihazla birlikte Güvenli Bileşen Doğrulaması (Cihazda) sipariş edildiğinde gerçekleştirilebilir. Amerika Birleşik Devletleri Savunma Bakanlığı (DoD) doğrulayıcı platformu geliştirdi. Doğrulayıcı platformu, Çalışma Zamanı ve Başlangıçta Ana Bilgisayar Bütünlüğü (HIRS) aracı olarak bilinir. HIRS aracı, Tasdik Sertifikası Yetkilisi (ACA) portalı ve HIRS sağlayıcı olmak üzere iki bileşenden oluşur. HIRS sağlayıcısının sonuçları doğrulaması için aşağıdakilerin ayarlanması gerekir:

• HIRS aracı
• Windows 10 veya Windows 11 çalıştıran uç nokta cihazı
• HIRS sağlayıcı yapılandırıldı
• ACA portalı
• ACA'ya yüklenen imzalama ve platform sertifikaları
• Cihazın ve sertifikanın hangi bölümlerinin doğrulanacağını belirlemek için ACA içinde belirlenen politika

Cihaz bütünlüğünü doğrulamak için HIRS ACA Portalını Yüklemeniz, Sertifikaları Toplamanız, Sertifikaları ACA Portalına Yüklemeniz, ACA Politikasını ayarlamanız, HIRS Provisioner'ı indirip yüklemeniz, Provisioner'ı Çalıştırmanız ve ardından Sonuçları Doğrulamanız gerekir.

HIRS ACA Portalını Yükleme

Not: Bunun için Docker Desktop lisansı ve İnternet veya intranet bağlantısı olan test edilen bir sistem gerekir. Docker Desktop hakkında daha fazla bilgi için Docker Desktop bölümüne bakın.

HIRS ACA portalını test edilen sisteme yüklemek, kanıtlamayı yerel olarak çalıştırdığınız anlamına gelir. Bu yöntem büyük olasılıkla en kolay dağıtım modelidir ancak en güvenli olanı değildir. Daha güvenli bir yöntem için, HIRS ACA portalını uzak bir cihaza veya sunucuya yükleyin.

1. Docker Desktop ı test edilen sisteme veya sunucuya indirin ve kurun.
   Not: Test edilen sistemde ACA doğrulayıcısını çalıştırmak, yerel doğrulama olarak bilinir ve ACA'yı ağa bağlı bir sunucuda çalıştırmaktan farklı bir tehdit modelidir.
2. Windows PowerShell ifadesini aratın, sağ tıklayın, Yönetici olarak çalıştır öğesini seçin, aşağıdaki komutu yazın ve Enter tuşuna basın.

   docker pull ghcr.io/nsacyber/hirs/aca:616fc06

3. HIRS ACA görüntüsünün oluşturulduğunu onaylamak için Docker'da aşağıdaki komutu yazın ve Enter tuşuna basın. 

   docker images

     
4. PowerShell'de depoyu doğrulamak için REPOSITORY altında repository gchr.io/nsacyber/hirs/aca.
   
5. PowerShell de aşağıdaki komutu yazın ve Enter tuşuna basın. 

   docker run --name=aca -p 8443:8443 ghcr.io/nsacyber/hirs/aca:616fc06

6. Docker'da, sunucu görüntüsünün kapsayıcı içinde çalıştığını onaylamak için aşağıdaki komutu yazın ve Enter tuşuna basın. 

   docker container ls -a

7. Şunları doğrulayın: aca İSİMLER kategorisi altında gösterilir.
    
8. Docker görüntüsünün çalıştığını doğrulamak için bir tarayıcı açın ve ACA Portal'a gidin. Yerel doğrulama çalıştırıyorsanız yerel ana bilgisayar IP adresi olan 127.0.0.1'i kullanın.
    
   Not:

   • Yerel doğrulama çalıştırıyorsanız https://127.0.0.1:8443/HIRS_AttestationCAPortal/ bölümüne gidin.
   • Portal sitesinin çevrimiçi olması birkaç dakika sürebilir.
   • Portal sitesi çevrimiçi olduktan sonra "Bağlantınız özel değil" iletisi alabilirsiniz. Bu, yerel doğrulama çalıştırılırken beklenen bir davranıştır.

Sertifikaları Toplama

1. SCV platformu öznitelik sertifikasını alın. SCV (Aygıtta), sertifikayı sabit sürücünün UEFI bölümünde depolar.
   1. Komut İstemi ifadesini aratın, sağ tıklayın ve ardından Yönetici olarak çalıştır'ı seçin.
   2. Aşağıdaki komutu yazın ve Enter tuşuna basın. 

      mountvol o: /S

   3. Aşağıdaki komutu yazın ve Enter tuşuna basın. 

      copy o:\EFI\tcg\cert\platform\*.cer  c:\dell\platcert}

      Not: SCV (Bulutta) satın alınırsa sertifika Dell Güvenilir Aygıttadır ve HIRS ACA ile doğrulama için yerel olarak kullanılamaz.
2. Dell Ara CA imzalama sertifikasını alın.
   1. Fabrikadan, Öznitelik Sertifikası ve İmzalama Sertifikası SCV Platform Sertifikası içinde birleştirilir ve HIRS ACA Portal'a yüklenmeden önce ayrılmaları gerekir. PowerShell'den aşağıdaki komutu çalıştırın ve Enter tuşuna basın. 

      PowerShell :> $i=0; Get-Content c:\dell\platcert\*.cer   -ReadCount 3 | %{$i++; $_ | Out-File out_$i.crt}

   2. Dosya adlarını toplayın out_1.crt ve out _2.crt.
3. Güvenilir Aygıt Desteği | Sürücüler ve İndirmeler ve Secure Component Validator'ı indirme.
4. Ortamınızdaki TPM modelleri için TPM kök ve ara imzalama sertifikalarını aşağıdaki kaynaklardan toplayın:
   1. STMicro: https://www.st.com/resource/en/technical_note/tn1330-st-trusted-platform-module-tpm-endorsement-key-ek-certificates-stmicroelectronics.pdf
   2. Nuvoton: https://www.nuvoton.com/export/sites/nuvoton/files/security/Nuvoton_TPM_EK_Certificate_Chain.pdf
      Not: Yönetici, ortamda kullanılan TPM modellerinin kayıtlarına sahip olmayabilir. Bu durumda, bir yönetici STMicro ve Nuvoton için sağlanan belgelerdeki tüm TPM kök ve ara imzalama sertifikalarını indirebilir.

Sertifikaları ACA Portalına Yükleme

1. Dell SCV Platform Öznitelik sertifikasını yükleyin (c:\dell\platcert\out_1.crt) Platform Sertifikaları sekmesindeki + işaretine tıklayarak ACA portalına girin.
    
   Not: Yerel doğrulama çalıştırıyorsanız https://127.0.0.1:8443/HIRS_AttestationCAPortal/portal/certificate-request/platform-credentials gidin.
2. Dell Fabrika Ara CA imzalama sertifikasını yükleyin (c:\dell\platcert\out_2.crt), CA imzalama kök sertifikası (PROD-CSG-SCV-Root.cer) ve Trust Chain Management sekmesinde Trust Chain CA Certificates öğesinin yanındaki + işaretine tıklayarak sertifikaları TPM kök imzalama sertifikalarını inceleyin.
    
   Not: Yerel doğrulama çalıştırıyorsanız https://127.0.0.1:8443/HIRS_AttestationCAPortal/portal/certificate-request/trust-chain bölümüne gidin.

ACA politikasını ayarlama

1. Policy sekmesine gidin.
2. Kalem simgesine tıklayın ve aşağıdakileri Etkin olarak ayarlayın:
   • Onay Kimliği Doğrulaması
   • Platform Kimlik Bilgisi Doğrulaması
   • Platform Öznitelik Kimlik Bilgileri Doğrulaması
    
   Not: Yerel doğrulama çalıştırıyorsanız https://127.0.0.1:8443/HIRS_AttestationCAPortal/portal/policy bölümüne gidin.

HIRS Sağlayıcısı'nı indirme ve yükleme

Bu adım, sertifika içeren her sistemde gerçekleştirilmelidir.

1. HIRS Provisioner Releases'den Provisioner'ın en son sürümünü indirin ve yükleyin.
2. Windows Gezgini'nden şuraya gidin: c:\Program Files(x86)\HIRS_Provisioner.NET\plugins\scripts\windows.
3. Şuna sağ tıklayın: allcomponents.ps1 tıklayın ve Not Defterinde Düzenle'yi seçin, ardından # çizginin önündeki sembol.
   Not: Örneğin, #$NVME_SCRIPT="$APP_HOME/nvme.ps1" # For NVMe.
4. Şu komutu ekleyerek 30. satırı açıklamayı kaldırın: # çizginin önündeki sembol.
   Not: Örneğin, #. $NVME_SCRIPT.
5. Tümünü değiştir "### Gather HDD details" (669-744. satırlar) aşağıdaki metinle:

   ### Gather HDD details
   Write-Progress -Id 1 -Activity "Gathering component details" -PercentComplete 70
   Write-Progress -Id 2 -ParentId 1 -Activity "Gathering HDD information" -CurrentOperation "Querying" -PercentComplete 0
   function parseHddData() {
       $RS=(Get-CimInstance -ClassName CIM_DiskDrive | select serialnumber,mediatype,pnpdeviceid,manufacturer,model | where mediatype -eq "Fixed hard disk media")
       $component=""
       $replaceable=(jsonFieldReplaceable "true")
       $numRows=1
       if ($RS.Count -gt 1) { $numRows=($RS.Count)}
       for($i=0;$i -lt $numRows;$i++) {
           Write-Progress -Id 2 -ParentId 1 -Activity "Gathering Hard Disk information" -CurrentOperation ("Cleaning output for HDD " + ($i+1)) -PercentComplete ((($i+1) / $numRows) * 100)
           $hddClass=(jsonComponentClass "$COMPCLASS_REGISTRY_TCG" "$COMPCLASS_HDD")
           $pnpDevID=""
           if(isIDE($RS[$i].PNPDeviceID)) {
               $pnpDevID=(ideDiskParse $RS[$i].PNPDeviceID)
           } elseif(isSCSI($RS[$i].PNPDeviceID)) {
               $pnpDevID=(scsiDiskParse $RS[$i].PNPDeviceID)
           } else {Continue }
           if(($pnpDevID -eq $null) -or (($pnpDevID -eq "(Standard disk drives)") -and ($pnpDevID.product -eq $null))) {
   		    $regex="^.{,16}$"
               $pnpDevID=[pscustomobject]@{
                   product=($RS[$i].model -replace '^(.{0,16}).*$','$1')  # Strange behavior for this case, will return
               } }
           $tmpManufacturer=$pnpDevID.vendor # PCI Vendor ID
           $tmpModel=$pnpDevID.product  # PCI Device Hardware ID
           $tmpSerial=$RS[$i].serialnumber
           $tmpRevision=$pnpDevID.revision
           if ([string]::IsNullOrEmpty($tmpManufacturer) -or ($tmpManufacturer.Trim().Length -eq 0)) {
               $tmpManufacturer="$NOT_SPECIFIED"
           }
           $tmpManufacturer=$(jsonManufacturer "$tmpManufacturer".Trim())
           if ([string]::IsNullOrEmpty($tmpModel) -or ($tmpModel.Trim().Length -eq 0)) {
               $tmpModel="$NOT_SPECIFIED"
           }
           $tmpModel=$(jsonModel "$tmpModel".Trim())
           if (![string]::IsNullOrEmpty($tmpSerial) -and ($tmpSerial.Trim().Length -ne 0)) {
               $tmpSerial=(jsonSerial "$tmpSerial".Trim())
           } else {
               $tmpSerial=""
           }
           if (![string]::IsNullOrEmpty($tmpRevision) -and ($tmpRevision.Trim().Length -ne 0)) {
               $tmpRevision=(jsonRevision "$tmpRevision".Trim())
           } else {
               $tmpRevision=""
           }
           $tmpComponent=(jsonComponent $hddClass $tmpManufacturer $tmpModel $replaceable $tmpSerial $tmpRevision)
           $component+="$tmpComponent,"
       }
       Write-Progress -Id 2 -ParentId 1 -Activity "Gathering Hard Disk information" -CurrentOperation "Done" -PercentComplete 100
       return "$component".Trim(",")
   }
   

Provisioner'ı çalıştırma

Provisioner öğesine sağ tıklayın ve sertifika içeren sistemlerde Yönetici olarak çalıştır öğesini seçin.

Sonuçları Doğrula

Geçen bir sonuç için Doğrulama Raporları ACA portal sayfasını kontrol edin.
 

Not: Yerel doğrulama çalıştırıyorsanız https://127.0.0.1:8443/HIRS_AttestationCAPortal/portal/validation-reports bölümüne gidin.