Supporto di Dell Command | Secure BIOS Configuration con Dell | Command Configure

Prodotti interessati:

• Dell Command | Secure BIOS Configuration
• Dell Command | Configure

Sommario:

• Introduzione:
• Architettura di Dell Command | Secure BIOS Configuration in DCC
• Implementazione di Dell Command | Configure
  • Installazione e configurazione del server Dell Command | Secure BIOS Configuration con DCC
  • Configurazione del server Dell Command | Secure BIOS Configuration con HTTPS
  • Creazione di eseguibili autonomi per flussi di lavoro DCSBC sul server DCSBC tramite l'interfaccia utente di DCC
• Prerequisiti per utilizzare il metodo di firma HSM per flussi di lavoro Dell Command | Secure BIOS Configuration
• DOMANDE FREQUENTI

Introduzione:

Le interfacce di gestibilità si basano su interfacce aperte e/o comandi autenticati tramite password. L'autenticazione tramite password è vulnerabile agli attacchi di forza bruta o a dizionario, pertanto è meno sicura rispetto all'autenticazione basata su chiavi. È necessaria una migliore interfaccia di gestibilità autenticata per fornire protezioni di integrità e riservatezza dei dati e dei comandi. Un'interfaccia più sicura consente inoltre ad altre tecnologie di integrare l'interfaccia protetta, ad esempio la gestione delle password, il mirroring della configurazione delle piattaforme e Factory Tools. DCSBC è un approccio che consente di abbandonare l'autenticazione dei comandi DACI con le password del BIOS. DCSBC fornisce una comunicazione attendibile creando un'interfaccia che utilizza meccanismi di autenticazione PKI e canali crittografati per trasmettere messaggi tra la piattaforma e un client. Questo approccio fornisce inoltre integrità e riservatezza per proteggere i dati dei clienti.

Torna all'inizio

Architettura di Dell Command | Secure BIOS Configuration in DCC

LEGEND: 
DCC — Dell Command Configure
CLI - DCC Client (Pipeline)
DHE — Ephemeral Diffie-Hellman
OTB - On the Box
SCE - Self Contained Executable
Console — MECM, Intune, WorkspaceONE

La soluzione consiste nel creare un'interfaccia che utilizza meccanismi di autenticazione PKI e canali crittografati per trasmettere messaggi tra la piattaforma e un client.

Il comando basato sulla sessione fa riferimento allo scambio di chiavi di tipo Diffie-HeIIman.

La protezione da replica viene in parte realizzata utilizzando una sequenza di numeri casuali monouso (nonce) allegati ai messaggi DCSBC.

L'uso di nonce garantisce al destinatario che il messaggio sia univoco, quindi non riutilizzato, e che venga mantenuta la sequenza di funzionamento. Questa condizione è applicabile in particolare ai comandi basati sulla sessione. Ogni transazione implica la generazione da parte del client di un nuovo nonce, nonché la condivisione del relativo valore con il destinatario in chiaro e l'hashing del valore all'interno del messaggio, come parte della firma o come codice di autenticazione del messaggio.

In questo ambito, DCSBC con DCC segue un modello server-client, in cui il server DCSBC può essere utilizzato per creare eseguibili autonomi per flussi di lavoro diversi. Questi eseguibili autonomi (SCE, Self-Contained Executables) possono quindi essere implementati in endpoint gestiti dall'IT utilizzando strumenti di configurazione come SCCM/Microsoft Intune.

Non è necessario che l'utente installi DCC su client/endpoint. Una volta eseguito sull'endpoint, l'SCE invia richieste al server DCSBC per ottenere payload per le configurazioni del BIOS ed esegue tali operazioni sul BIOS dell'endpoint.

Con questo flusso viene applicata la policy Zero Trust (su client/endpoint) e l'attendibilità esiste solo tra il BIOS e il server DCSBC.

Torna all'inizio

Implementazione di Dell Command | Configure

In DCC, l'SCE per DCSBC viene creato per il flusso di lavoro di provisioning e il flusso di lavoro di configurazione del BIOS. Le operazioni del flusso di lavoro sono classificate in base alle operazioni di provisioning e alle operazioni di configurazione del BIOS.

• Flusso di lavoro di provisioning: consente agli utenti di creare un certificato di provisioning per autenticare la connettività sicura con il client per il provisioning aggiungendo, eliminando o cancellando le chiavi di provisioning e firmando il pacchetto SCE, che fa parte del flusso di lavoro.
• Flusso di lavoro di configurazione del BIOS: questo flusso consente agli utenti di creare un certificato di comando per configurare le impostazioni del BIOS nel client utilizzando il provisioning, selezionando le configurazioni del BIOS e firmando il pacchetto SCE di configurazione del BIOS, che fa parte del flusso di lavoro.

Per conseguire i flussi di lavoro sopra indicati, esistono due tipi di controlli di chiave definiti in DCC.

• Chiave di provisioning: è possibile utilizzare questa chiave/certificato per firmare i payload per il flusso di lavoro di provisioning in cui si desidera aggiungere (provisioning) nuove chiavi/eliminare le chiavi esistenti/cancellare tutte le chiavi di provisioning.
• Chiave di comando: è possibile utilizzare questa chiave/certificato per firmare i payload per il flusso di modifica della configurazione del BIOS.

Torna all'inizio

Installazione e configurazione del server Dell Command | Secure BIOS Configuration con DCC

Per i dettagli su come installare e configurare DCSBC con DCC, fare riferimento al documento DCC Guida all'installazione della versione 5.0 > Installazione di Dell Command | Configure 5.0 per la configurazione del BIOS Dell Command Secure (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Torna all'inizio

Configurazione del server Dell Command | Secure BIOS Configuration con HTTPS

Configurazione del server Dell Command | Secure BIOS Configuration con HTTPS Per i dettagli su come configurare il server DCSBC con HTTPS, fare riferimento al documento DCC Guida all'installazione della versione 5.0 > Configurazione del server Dell Command | Secure BIOS Configuration tramite HTTPS qui: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Torna all'inizio

Creazione di eseguibili autonomi per flussi di lavoro DCSBC sul server DCSBC tramite l'interfaccia utente di DCC

Per i dettagli su come creare SCE per eseguire il provisioning per i certificati di configurazione di DCSBC, fare riferimento al documento DCC Guida per l'utente > Provisioning dei certificati di Dell Command | Secure BIOS Configuration qui: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Torna all'inizio

Configurazione delle impostazioni del BIOS con Dell Command | Secure BIOS Configuration

Per i dettagli su come creare SCE per configurare le impostazioni del BIOS con DCSBC, fare riferimento a DCC Guida per l'utente > Esportare SCE per l'autenticazione del BIOS basata su certificati qui: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Torna all'inizio

Prerequisiti per utilizzare il metodo di firma HSM per flussi di lavoro Dell Command | Secure BIOS Configuration

DCSBC con DCC consente di utilizzare qualsiasi fornitore HSM per firmare i payload DCSBC. Tuttavia, per utilizzare questo metodo di firma dei payload, DCC richiede di rispettare alcuni prerequisiti, elencati di seguito:

• Dell Technologies consiglia OpenSSL come strumento di firma open source che può essere utilizzato insieme al provider HSM configurato nell'ambiente, per consentire a DCC di utilizzare le firme generate dal metodo di firma HSM.
• In base al provider HSM in uso, aggiornare il file HSMSigning.bat presente nella seguente posizione: C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat

In questo file, aggiornare il comando di generazione della firma alla riga 12 compatibile con l'impostazione HSM. Per impostazione predefinita, il comando utilizzato è:

"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1

Il comando fornito dovrebbe garantire che la firma venga generata allo stesso percorso indicato nel comando predefinito, compreso il nome file da impostare come blobsignature.txt.

Inoltre, assicurarsi di non modificare l'ultima opzione (ad esempio, "%1") in questo comando poiché consente al comando di firma di accettare la firma del file di payload generato da DCC durante il runtime.

Torna all'inizio

DOMANDE FREQUENTI

• Desidero utilizzare DCC per eseguire le configurazioni del BIOS utilizzando l'autenticazione tramite password del BIOS. Cosa devo fare?
  • DCC può generare pacchetti SCE per le configurazioni del BIOS utilizzando l'autenticazione basata su password del BIOS. L'interfaccia utente di DCC mantiene il flusso di controllo per la creazione di pacchetti SCE con autenticazione basata su password del BIOS.
• Non ho configurato un provider di servizi HSM sul server Dell Command | Secure BIOS Configuration. Come posso risolvere il problema?
  • Il metodo di firma locale può essere utilizzato per firmare i pacchetti SCE per DCSBC.
    Nota: questo metodo utilizza chiavi private generate in locale per firmare i pacchetti SCE. Per proteggere le chiavi private, DCC offre la possibilità di gestire queste chiavi utilizzando l'archivio certificati Microsoft e, di conseguenza, non è necessario salvare i file delle chiavi private su disco.
• Desidero installare e configurare Dell Command | Configure con il server Dell Command | Secure BIOS Configuration su una macchina virtuale. Cosa devo fare?
  • È possibile utilizzare una macchina virtuale per configurare DCC con il server DCSBC. Sulla piattaforma DCC con il server DCSBC è possibile creare eseguibili autonomi per attività di provisioning e configurazione del BIOS. Questa configurazione consente di gestire e proteggere le configurazioni del BIOS, anche in un ambiente virtuale.