如何在 Windows 事件查看器中查看戴尔可信设备事件
Summary: 了解如何使用 Windows 中的事件查看器来监控戴尔可信设备状态,包括 BIOS 事件和攻击指示器、BIOS 验证等。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
戴尔可信设备是 Dell SafeBIOS 产品组合的一部分。戴尔可信设备是一个应用程序,可提供本地端点的安全状态和安全监视建议操作。戴尔可信设备包括以下功能:
- BIOS 验证
- BIOS事件和攻击迹象
- BIOS 映像捕获
- 英特尔 ME 验证
- 安全组件验证(云上)
- 常见漏洞与披露 (CVE)
- 安全风险防护评分
- 戴尔事件存储库与安全信息和事件管理 (SIEM) 集成
受影响的产品:
- 戴尔可信设备
受影响的版本:
- 戴尔可信设备版本 6.1 及更高版本
受影响的平台:
- Windows 10
- Windows 11
受影响的硬件:
- Latitude
- OptiPlex
- Precision
- XPS
要在 Windows 事件查看器中查看戴尔可信设备事件, 请打开 Windows 事件查看器。从那里,您可以查看 BIOS 事件和攻击指标 (IoA)、BIOS 验证、英特尔管理引擎验证 (Intel ME)、安全组件验证 (SCV) 以及常见漏洞和披露 (CVE)。
提醒:默认情况下,Windows 事件查看器按日期和时间对数据进行排序。您可以通过单击列标题级别、日期和时间、源、事件 ID或任务类别来更改此数据的排序,以快速找到感兴趣的事件。
打开 Windows 事件查看器
- 在 戴尔可信设备本地控制台的 Windows 系统链接下,单击 事件查看器。
- 从 事件查看器中,展开 应用程序和服务日志 ,然后选择 戴尔可信设备。
- 源列可用于按类别类型筛选事件消息。本文的以下部分有助于提供有关这些分类含义的更多上下文。
BIOS事件和攻击指标(IoA)
BIOS 事件和攻击指示器使管理员能够分析 Windows 事件查看器中的事件,这些事件可能表明针对企业端点 BIOS 的不良行为者。恶意行为者会更改 BIOS 属性,从而以本地或远程方式访问企业计算机。这些攻击载体可以被监控,然后通过BIOS事件和攻击指示器功能监控BIOS属性的能力来缓解。戴尔可信设备代理会在安装后收集 BIOS 属性,默认情况下每 12 小时收集一次。BIOS 事件和攻击指标数据保留 200 天。
Dell Technologies 建议使用 SIEM 产品来检索日志和事件。管理员应向其安全运营中心 (SOC) 团队提供结果,以确定适当的修正策略。
BIOS 验证
BIOS 验证会将设备的当前 BIOS 版本与最新的可用版本进行比较。如果存在过时的版本,BIOS Verification 会将以下内容写入 Windows 事件查看器:
| 操作 | 级别 | 事件 ID | 任务类别 |
|---|---|---|---|
| 安全认证 | 信息 | 9 | 1 |
| 验证失败 | Error(错误) | 2 | 1 |
| 图像已捕获 | Warning | 1 | 2 |
| 捕获的重复映像 | Warning | 2 | 2 |
| BIOS 已过期 | Warning | 40 | 8 |
| 当前不支持 BIOS 版本 | Error(错误) | 2 | 1 |
默认情况下,BIOS 验证每 24 小时运行一次。
Intel Management Engine Verification (Intel ME)
英特尔管理引擎(英特尔 ME)是内置于英特尔处理器芯片组中的独立微控制器。英特尔 ME 提供操作系统、硬件和 BIOS 之间的接口。
戴尔可信设备代理程序会在初始安装、启动后和每 24 小时扫描并验证 Intel ME 固件是否存在且未被篡改。
安全组件验证 (SCV)
Secured Component Verification(云端)是一种供应链保障服务,使您能够验证戴尔计算机内组件的完整性。戴尔可信设备会将您计算机上的组件详细信息与包含戴尔在工厂组装过程中生成和签名的唯一系统组件 ID 的脱离主机证书进行比较。Secured Component Verification(云)可验证以下组件:
- 处理器 (CPU)
- 可信平台模块 (TPM)
- 固定存储
- 板载网络
- 内存 (RAM)
- 主板
- 系统信息
戴尔可信设备会在安装后和每次启动时执行组件验证。对于每个组件,戴尔可信设备会将带时间戳的通过或失败写入 Windows 事件查看器。
| 操作 | 级别 | 事件 ID | 任务类别 |
|---|---|---|---|
| 验证成功 | 信息 | 41 | 9 |
| 验证失败 | 信息 | 41 | 9 |
| 服务器内部错误网络错误 | Error(错误) | 43 | 9 |
| 不支持的平台 | Warning | 42 | 9 |
提醒:购买时,必须将 Secured Component Verification(云端)添加到您的戴尔硬件。有关添加此功能的更多信息,请与 Dell Technologies 销售代表联系。
常见漏洞与披露 (CVE)
戴尔可信设备旨在识别和检测与 BIOS 相关的 CVE。启动时,戴尔可信设备会评估设备的当前 BIOS 版本,并将其与最新的可用版本进行比较。然后,它会分析这些版本之间的差距,并确定已在较新的 BIOS 版本中解决的戴尔安全公告 (DSA)。DSA 代表一个或多个 CVE 的集合。
| 操作 | 级别 | 事件 ID | 任务类别 |
|---|---|---|---|
| 成功 | 信息 | 46 | 10 |
| 错误:发生网络连接错误 | Warning | 47 | 10 |
| 错误:已检测到篡改 | Warning | 47 | 10 |
| 错误:发生未知错误 | Warning | 47 | 10 |
| 错误:当前不支持的平台 | Warning | 47 | 10 |
Affected Products
OptiPlex, XPS, Latitude, XPS, Fixed Workstations, Mobile Workstations, Dell Trusted DeviceArticle Properties
Article Number: 000223952
Article Type: How To
Last Modified: 19 Apr 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.