搭配使用 Dell Command | Configure 的 Dell Command Secure BIOS Configuration 支援
Summary: 本文提供 Dell Command I Secure BIOS Configuration (DCSBC) 的詳細資訊,以及如何將其與 Dell Command I Configure (DCC) 搭配使用,以達到 BIOS 組態的以憑證為基礎的驗證。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
受影響的產品:
- Dell Command | Secure BIOS Configuration
- Dell Command | Configure
目錄:
- 簡介:
- Dell Command | DCC 中的 Secure BIOS Configuration 架構
- Dell Command | Configure 整合
- 為 Dell Command Secure BIOS Configuration 工作流程運用 HSM 簽署方法的先決條件
- 常見問答集
簡介:
可管理性介面依賴於開放介面或經過密碼身份驗證的命令。密碼身份驗證容易受到暴力破解或字典攻擊,因此與密鑰型的身份驗證相比,安全性較低。需要更好的經驗證可管理性介面來為資料和命令提供完整性和機密性保護。更安全的介面也允許在受保護的介面上構建其他技術,例如密碼管理、平臺配置鏡像、原廠工具等。DCSBC 是一種捨棄使用 BIOS 密碼驗證 DACI 命令的方法。DCSBC 透過建立使用公開金鑰基礎結構身份驗證機制的介面和加密通道,為平台和用戶端之間傳遞訊息提供可信任的通訊方法。此方法也提供完整性和機密性來保護客戶資料。
Dell Command | DCC 中的 Secure BIOS Configuration 架構
LEGEND: DCC — Dell Command Configure CLI - DCC Client (Pipeline) DHE — Ephemeral Diffie-Hellman OTB - On the Box SCE - Self Contained Executable Console — MECM, Intune, WorkspaceONE
解決方案是透過建立使用公開金鑰基礎結構身份驗證機制的介面和加密通道,在平台和用戶端之間傳遞訊息。
以工作階段為基礎的命令會參考 Diffie-HeIIman 類型金鑰交換。
可通過使用附加到 DCSBC 訊息的一次性隨機數 (nonce) 序列來完成重新播放保護部分。
隨機數的使用可讓訊息的接收方確保訊息是唯一的,因此不會重複使用,且得以維護作業序列。以工作階段為基礎的命令尤其如此。每次交易都涉及用戶端產生一個新隨機數,並與接收方以明文形式共用隨機數值,並對訊息中的隨機數值 (做為簽名的一部分或訊息驗證碼) 進行雜湊處理。
在這其中,搭配 DCC 的 DCSBC 會遵循伺服器-用戶端模式,其中 DCSBC 伺服器可用來為不同的工作流程建立獨立可執行檔。可以使用 SCCM/Microsoft Intune 等組態工具,將這些獨立可執行檔 (SCE) 部署到 IT 管理的端點。
使用者不需要在用戶端/端點上安裝 DCC。SCE 在端點執行後,會向 DCSBC 伺服器發出要求,以取得 BIOS 組態的裝載,並在端點 BIOS 上執行操作。
使用此流程即可達成零信任 (用戶端/端點) 原則,且此信任僅存在於 BIOS 和 DCSBC 伺服器之間。
Dell Command | Configure 整合
在 DCC 中,會為隨需分配工作流程和 BIOS 組態工作流程建立適用於 DCSBC 的 SCE。工作流程作業會根據隨需分配作業和 BIOS 組態作業進行分類:
- 隨需分配工作流程 - 這可讓使用者建立隨需分配憑證,來驗證隨需分配作業時與用戶端的連線安全性。新增、刪除或清除隨需分配金鑰,並簽署 SCE 套裝,這是工作流程的一部分。
- BIOS 設定工作流程 - 此流程可讓使用者建立命令憑證,以配置使用隨需分配時用戶端的 BIOS 設定。選擇 BIOS 組態和簽署 BIOS 組態 SCE 套裝是工作流程的一部分。
要實現上述工作流程,DCC 中定義了兩種類型的關鍵控制項:
- 隨需分配金鑰 - 此金鑰/憑證可用於對隨需分配工作流程的裝載進行簽名,您可對工作流程新增 (隨需分配) 新金鑰/刪除現有金鑰/清除所有隨需分配金鑰。
- 命令金鑰 - 此金鑰/憑證可用來簽署 BIOS 組態變更流程的裝載。
注意:
- 在任何指定例項中,只能在用戶端的機器上新增或隨需分配一個隨需分配金鑰
- 在任何指定例項中,可以在用戶端的機器上新增/隨需分配七個命令金鑰。
- 刪除隨需分配工作流程僅適用於命令金鑰。若要從用戶端移除隨需分配金鑰,請選取「清除隨需分配工作流程」選項。
搭配 DCC 安裝和設定 Dell Command Secure BIOS Configuration Server
如需有關如何使用 DCC 安裝和設定 DCSBC 的詳細資訊,請參閱 DCC 5.0 安裝指南 > 安裝適用於 Dell Command Secure BIOS Configuration 的 Dell Command | Configure 5.0 (https://www.dell.com/support/home/product-support/product/command-configure/docs)
使用 HTTPS 配置 Dell Command Secure BIOS Configuration Server
使用 HTTPS 配置 Dell Command Secure BIOS Configuration Server 如需有關如何使用 https 配置 DCSBC 伺服器的詳細資訊,請在此參閱 DCC 5.0 安裝指南 > 使用 HTTPS 配置 Dell Command Secure BIOS Configuration Server: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
使用 DCC UI 在 DCSBC 伺服器上建立 DCSBC 適用的獨立可執行檔
如需有關如何建立 SCE 以執行 DCSBC 組態憑證適用的隨需分配詳細資訊,請在此參閱 DCC 使用者指南 > 執行 Dell Command Secure BIOS Configuration 憑證的隨需分配:(https://www.dell.com/support/home/product-support/product/command-configure/docs)
使用 Dell Command Secure BIOS Configuration 配置 BIOS 設定:
如需有關如何建立 SCE 以使用 DCSBC 配置 BIOS 設定的詳細資料,請在此參閱 DCC 使用者指南 > 匯出 SCE 來進行以憑證為基礎的 BIOS 認證:(https://www.dell.com/support/home/product-support/product/command-configure/docs)
為 Dell Command Secure BIOS Configuration 工作流程運用 HSM 簽署方法的先決條件
搭配 DCC 的 DCSBC 允許您使用任何 HSM 供應商對 DCSBC 裝載進行簽名。但是,若要使用此方法對負載進行簽名,DCC 需要滿足下列的幾個先決條件:
- Dell Technologies 建議使用 OpenSSL 作為開放原始碼簽署工具,其可與您在環境中設定的 HSM 供應商搭配使用,讓 DCC 能夠使用從 HSM 簽署方法產生的簽名。
- 根據您使用的 HSM 供應商,更新以下位置 C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat 出現的 HSMSigning.bat 檔案
在此檔案中,更新相容於您的 HSM 設定第 12 行的簽名產生命令。依預設,使用的命令為:
"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1
此處提供的命令應確保在預設命令所述的相同路徑中產生簽名,包含將檔案名稱設定為 blobsignature.txt。
此外,請確保不要修改此命令中的最後一個選項 (例如,"%1"),因為它允許簽名命令接受 DCC 在執行階段產生要簽名的裝載檔案。
常見問答集
- 我想要透過 BIOS 密碼驗證使用 DCC 來執行 BIOS 組態。我該怎麼做?
- DCC 可以使用基於 BIOS 密碼的驗為 BIOS 組態生成 SCE 套裝。使用基於 BIOS 密碼的驗證來建立 SCE 套裝時,DCC 的 UI 會維護控制流程。
- 我的 Dell Command Secure BIOS Configuration 伺服器上沒有設定 HSM 服務供應商。我該如何解決這個問題?
- 本機簽署方法可用於為 DCSBC 簽署 SCE 套裝。
注意:此方法使用本機生成的私人金鑰來簽署 SCE 套裝。為了保護私人金鑰,DCC 提供透過 Microsoft 憑證儲存庫來管理這些金鑰的能力,因此無須將私人金鑰檔案儲存在磁碟機上。
- 本機簽署方法可用於為 DCSBC 簽署 SCE 套裝。
- 我想在虛擬機器上安裝和設定 Dell Command | Configure 與 Dell Command Secure BIOS Configuration Server。我該怎麼做?
- 您可以使用虛擬機器搭配 DCSBC 伺服器設定 DCC。在搭配 DCSBC 伺服器的 DCC 平台上,您可以為隨需分配和 BIOS 組態作業建立獨立可執行檔。此設定可確保您即使在虛擬環境中也可管理和保護 BIOS 組態。
Affected Products
Dell Command | ConfigureArticle Properties
Article Number: 000227845
Article Type: How To
Last Modified: 15 Nov 2024
Version: 2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.