Stöd för Dell Command Secure BIOS-konfiguration med Dell Command Configure
요약: Den här artikeln innehåller information om Dell Command I Secure BIOS Configuration (DCSBC) och hur du använder det med Dell Command I Configure (DCC) för att uppnå certifikatbaserad autentisering för BIOS-konfiguration. ...
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
지침
Berörda produkter:
- Dell Command | Säker BIOS-konfiguration
- Dell Command | Konfigurera
Innehållsförteckning:
- Inledning:
- Dell Command | Säker BIOS-konfigurationsarkitektur i DCC
- Dell Command | Konfigurera implementering
- Förutsättningar för att använda HSM-signeringsmetoden för Dell Command Secure BIOS-konfigurationsarbetsflöden
- Vanliga frågor
Inledning:
Hanterbarhetsgränssnitt är beroende av öppna gränssnitt eller lösenordsautentiserade kommandon. Lösenordsautentisering är sårbart för brute-force- eller ordlisteangrepp och är därför mindre säkert jämfört med nyckelbaserad autentisering. Ett bättre autentiserat gränssnitt för hanterbarhet behövs för att ge integritets- och konfidentialitetsskydd för data och kommandon. Ett säkrare gränssnitt gör det också möjligt att bygga vidare på det skyddade gränssnittet, till exempel lösenordshantering, spegling av plattformskonfiguration och fabriksverktyg. DCSBC är ett sätt att komma bort från autentisering av DACI-kommandon med BIOS-lösenord. DCSBC ger en betrodd kommunikation genom att skapa ett gränssnitt som använder PKI-autentiseringsmekanismer och krypterade kanaler för att skicka meddelanden mellan plattformen och en klient. Detta tillvägagångssätt ger också både integritet och konfidentialitet för att skydda kunddata.
Dell Command | Säker BIOS-konfigurationsarkitektur i DCC
LEGEND: DCC — Dell Command Configure CLI - DCC Client (Pipeline) DHE — Ephemeral Diffie-Hellman OTB - On the Box SCE - Self Contained Executable Console — MECM, Intune, WorkspaceONE
Lösningen är att skapa ett gränssnitt som använder PKI-autentiseringsmekanismer och krypterade kanaler för att skicka meddelanden mellan plattformen och en klient.
Sessionsbaserade kommandoreferenser till nyckelutbyte av Diffie-HeIIman-typ.
Uppspelningsskydd åstadkoms delvis genom att använda en sekvens av slumptal för engångsbruk (nonce) som är kopplade till DCSBC-meddelandena.
Användningen av nonces gör det möjligt för mottagaren av meddelandet att se till att meddelandet är unikt, alltså inte återanvänds, och att åtgärdssekvensen bibehålls. Detta gäller särskilt för sessionsbaserade kommandon. Varje transaktion innebär att klienten genererar ett nytt nonce och delar nonce-värdet med mottagaren i klartext och hashar nonce-värdet i meddelandet, antingen som en del av signaturen eller en meddelandeautentiseringskod.
Som en del av detta följer DCSBC med DCC en serverklientmodell, där DCSBC-servern kan användas för att skapa fristående körbara filer för olika arbetsflöden. Dessa fristående körbara filer (SCE) kan sedan distribueras till IT-hanterade slutpunkter med hjälp av konfigurationsverktyg som SCCM/Microsoft Intune.
Det finns inget krav på att användaren ska installera DCC på klienterna/slutpunkterna. När SCE har körts på slutpunkten skickar den begäranden till DCSBC-servern om att hämta nyttolaster för BIOS-konfigurationer och utför dessa åtgärder på slutpunkts-BIOS.
Med det här flödet uppnås nollförtroendeprincipen (på klient/slutpunkt) och förtroendet finns bara mellan BIOS och DCSBC-servern.
Dell Command | Konfigurera implementering
I DCC skapas SCE för DCSBC för arbetsflödet för provisionering och BIOS-konfiguration. Arbetsflödesåtgärder klassificeras baserat på provisioneringsåtgärder och BIOS-konfigurationsåtgärder:
- Arbetsflöde för etablering – Detta gör att användarna kan skapa etableringscertifikat för att autentisera säker anslutning till klienten för etablering. Lägga till, ta bort eller rensa etableringsnycklar och signera SCE-paketet, som är en del av arbetsflödet.
- Arbetsflöde för BIOS-konfiguration – Med det här flödet kan användarna skapa ett kommandocertifikat för att konfigurera BIOS-inställningar i klienten med hjälp av etablering. Välja BIOS-konfigurationer och signera SCE-paketet för BIOS-konfigurationen, som är en del av arbetsflödet.
För att uppnå ovanstående arbetsflöden finns det två typer av nyckelkontroller definierade i DCC:
- Provisioneringsnyckel – Den här nyckeln/certifikatet kan användas för att signera nyttolaster för provisioneringsarbetsflödet där du vill lägga till (tillhandahålla) nya nycklar/ta bort befintliga nycklar/rensa alla etablerade nycklar.
- Kommandotangent – Den här nyckeln/certifikatet kan användas för att signera nyttolaster för flödet för konfigurationsändring för BIOS.
Obs!
- Vid varje given instans kan endast en etableringsnyckel läggas till eller etableras på klientdatorn
- Sju kommandotangenter kan läggas till/tillhandahållas på en klientdator när som helst.
- Borttagning av etableringsarbetsflöde gäller endast för kommandotangenterna. Om du vill ta bort en etableringsnyckel från klienten väljer du alternativet Rensa etableringsarbetsflöde.
Installera och konfigurera Dell Command Secure BIOS-konfigurationsservern med DCC
Mer information om hur du installerar och konfigurerar DCSBC med DCC finns i installationsmanualen > för DCC 5.0: Installera Dell Command | Configure 5.0 för Dell Command Secure BIOS Configuration (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Konfigurera Dell Command Secure BIOS-konfigurationsservern med HTTPS
Konfigurera Dell Command Secure BIOS-konfigurationsservern med HTTPS Mer information om hur du konfigurerar DCSBC-servern med https finns i installationsmanualen > för DCC 5.0Konfigurera Dell Command Secure BIOS-konfigurationsservern med HTTPS här: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Skapa fristående körbara filer för DCSBC-arbetsflöden på DCSBC-servern med DCC-gränssnittet
Mer information om hur du skapar SCE:er för att utföra provisionering för DCSBC-konfigurationscertifikat finns i DCC:s> bruksanvisning Utför provisionering för Dell Command Secure BIOS-konfigurationscertifikat här: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Konfigurera BIOS-inställningar med Dell Command Secure BIOS-konfiguration:
Mer information om hur du skapar SCE:er för att konfigurera BIOS-inställningar med DCSBC finns i DCC:s> bruksanvisning Exportera SCE för certifikatbaserad BIOS-autentisering här: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Förutsättningar för att använda HSM-signeringsmetoden för Dell Command Secure BIOS-konfigurationsarbetsflöden
Med DCSBC med DCC kan du använda valfri HSM-leverantör för att signera DCSBC-nyttolaster. Men för att kunna använda den här metoden för att signera nyttolaster måste DCC uppfylla några krav, som anges nedan:
- Dell Technologies rekommenderar OpenSSL som signeringsverktyg med öppen källkod, som kan användas tillsammans med den HSM-provider som du har konfigurerat i din miljö, så att DCC kan använda signaturer som genereras från HSM-signeringsmetoden.
- Baserat på vilken HSM-provider du använder uppdaterar du HSMSigning.bat filen som finns på följande plats C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat
I den här filen uppdaterar du kommandot för signaturgenerering på rad 12 som är kompatibelt för din HSM-konfiguration. Som standard är det kommando som används:
"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1
Det angivna kommandot här bör säkerställa att signaturen genereras till samma sökväg som nämns i standardkommandot, inklusive filnamnet som ska anges som blobsignature.txt.
Se också till att du inte ändrar det sista alternativet (till exempel "%1") i det här kommandot, eftersom det gör att signaturkommandot kan acceptera den nyttolastfil som ska signeras och som DCC genererar under körningen.
Vanliga frågor
- Jag vill använda DCC för att utföra BIOS-konfigurationer med hjälp av BIOS-lösenordsautentisering. Vad ska jag göra?
- DCC kan generera SCE-paket för BIOS-konfigurationer med hjälp av lösenordsbaserad BIOS-autentisering. DCC-gränssnittet upprätthåller kontrollflödet för att skapa SCE-paket med lösenordsbaserad BIOS-autentisering.
- Jag har ingen HSM-tjänstleverantör konfigurerad på min Dell Command Secure BIOS-konfigurationsserver. Hur kan jag lösa detta?
- Lokal signeringsmetod kan användas för att signera SCE-paket för DCSBC.
Obs! Den här metoden använder lokalt genererade privata nycklar för att signera SCE-paket. För att skydda de privata nycklarna erbjuder DCC möjligheten att hantera dessa nycklar med hjälp av Microsofts certifieringsarkiv och därför behöver du inte spara filerna för den privata nyckeln på disken.
- Lokal signeringsmetod kan användas för att signera SCE-paket för DCSBC.
- Jag vill installera och konfigurera mitt Dell Command I Configure med Dell Command Secure BIOS-konfigurationsserver på en virtuell maskin. Vad ska jag göra?
- Du kan använda en virtuell dator för att konfigurera DCC med DCSBC-servern. På DCC-plattformen med DCSBC-servern kan du skapa fristående körbara filer för både provisionering och BIOS-konfigurationsuppgifter. Den här konfigurationen säkerställer att du kan hantera och skydda BIOS-konfigurationer, även i en virtuell miljö.
해당 제품
Dell Command | Configure문서 속성
문서 번호: 000227845
문서 유형: How To
마지막 수정 시간: 15 11월 2024
버전: 2
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.