Dell Command Secure BIOS -määritystuki ja Dell Command Configure
요약: Tämä artikkeli sisältää tietoja Dell Command I Secure BIOS Configuration (DCSBC) -määrityksestä ja sen käyttämisestä Dell Command I Configure (DCC) -ohjelmiston kanssa varmennepohjaisen todennuksen saavuttamiseksi BIOS-kokoonpanolle. ...
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
지침
Tuotteet, joita asia koskee:
- Dell Command | Suojattu BIOS-määritys
- Dell Command | Configure
Sisällysluettelo:
- Johdanto
- Dell Command | Suojattu BIOS-määritysarkkitehtuuri DCC:ssä
- Dell Command | Määritä toteutus
- HSM-allekirjoitusmenetelmän käytön edellytykset Dell Command Secure BIOS Configuration -työnkuluissa
- Usein kysytyt kysymykset
Johdanto
Hallittavuusliittymät perustuvat avoimiin rajapintoihin tai salasanatodennettuihin komentoihin. Salasanatodennus on altis raa'alle voimalle tai sanakirjahyökkäyksille, joten se ei ole yhtä turvallinen kuin avainpohjainen todennus. Tietojen ja komentojen eheyden ja luottamuksellisuuden suojaamiseksi tarvitaan paremmin todennettu hallittavuusliittymä. Turvallisempi käyttöliittymä mahdollistaa myös muiden tekniikoiden rakentamisen suojattuun käyttöliittymään, kuten salasanojen hallinta, alustan kokoonpanon peilaus, tehdastyökalut. DCSBC on tapa siirtyä pois DACI-komentojen todentamisesta BIOS-salasanojen avulla. DCSBC tarjoaa luotettavan viestinnän luomalla käyttöliittymän, joka käyttää PKI-todennusmekanismeja ja salattuja kanavia viestien välittämiseen alustan ja asiakkaan välillä. Tämä lähestymistapa tarjoaa myös sekä eheyden että luottamuksellisuuden asiakastietojen suojaamiseksi.
Dell Command | Suojattu BIOS-määritysarkkitehtuuri DCC:ssä
LEGEND: DCC — Dell Command Configure CLI - DCC Client (Pipeline) DHE — Ephemeral Diffie-Hellman OTB - On the Box SCE - Self Contained Executable Console — MECM, Intune, WorkspaceONE
Ratkaisu on luoda rajapinta, joka käyttää PKI-todennusmekanismeja ja salattuja kanavia viestien välittämiseen alustan ja asiakkaan välillä.
Istuntopohjaiset komennot viittaavat Diffie-HeIIman-tyyppiseen avainten vaihtoon.
Toistosuojaus toteutetaan osittain käyttämällä DCSBC-viesteihin liitettyä kertakäyttöisten satunnaislukujen (nonce) sarjaa.
Noces antaa viestin vastaanottajalle mahdollisuuden varmistaa, että viesti on ainutlaatuinen, joten sitä ei käytetä uudelleen, ja että toimintajakso säilyy. Tämä koskee erityisesti istuntopohjaisia komentoja. Jokaisessa tapahtumassa asiakas luo uuden nonce-arvon ja jakaa nonce-arvon vastaanottajan kanssa selkeässä tilassa ja hajauttaa nonce-arvon viestissä joko osana allekirjoitusta tai viestin todennuskoodia.
Osana tätä DCSBC DCC: n kanssa noudattaa palvelin-asiakasmallia, jossa DCSBC-palvelinta voidaan käyttää itsenäisten suoritettavien tiedostojen luomiseen eri työnkuluille. Nämä itsenäiset suoritettavat tiedostot (SCE) voidaan sitten ottaa käyttöön IT-hallituissa päätepisteissä määritystyökaluilla, kuten SCCM/Microsoft Intune.
Käyttäjän ei tarvitse asentaa DCC:tä työasemiin/päätepisteisiin. Kun SCE on suoritettu päätepisteessä, se pyytää DCSBC-palvelimelta hyötykuormien hakemista BIOS-määrityksille ja suorittaa nämä toiminnot päätepisteen BIOSissa.
Tämän työnkulun avulla saavutetaan nollaluottamuskäytäntö (asiakasohjelmassa/päätepisteessä) ja luottamussuhde vallitsee vain BIOSin ja DCSBC-palvelimen välillä.
Dell Command | Määritä toteutus
DCC:ssä DCSBC:n SCE luodaan valmistelutyönkulkua ja BIOS-määrityksen työnkulkua varten. Työnkulkutoiminnot luokitellaan valmistelutoimintojen ja BIOS-määritystoimintojen perusteella:
- Valmistelutyönkulku – Tämän avulla käyttäjät voivat luoda valmisteluvarmenteen todentaakseen suojatun yhteyden asiakkaaseen provisiointia varten. Valmisteluavainten lisääminen, poistaminen tai tyhjentäminen ja SCE-paketin allekirjoittaminen, mikä on osa työnkulkua.
- BIOS-määrityksen työnkulku : tämän työnkulun avulla käyttäjät voivat luoda komentovarmenteen BIOS-asetusten määrittämiseksi asiakasohjelmassa provisioinnin avulla. BIOS-määritysten valitseminen ja BIOS-määritysten SCE-paketin allekirjoittaminen, mikä on osa työnkulkua.
Edellä mainittujen työnkulkujen saavuttamiseksi DCC:ssä on määritetty kahdenlaisia avainohjausobjekteja:
- Provisioning Key — Tätä avainta/varmennetta voidaan käyttää provisioinnin työnkulun hyötykuormien allekirjoittamiseen, jossa halutaan lisätä (provisioida) uusia avaimia / poistaa olemassa olevat avaimet / tyhjentää kaikki valmistellut avaimet.
- Komentoavain – Tällä avaimella/varmenteella voi allekirjoittaa hyötykuormia BIOS-kokoonpanon muutostyönkulkua varten.
Huomautus:
- Kussakin tapauksessa vain yksi valmisteluavain voidaan lisätä tai valmistella asiakaskoneessa
- Seitsemän komentonäppäintä voidaan lisätä/valmistella asiakaskoneeseen missä tahansa esiintymässä.
- Valmistelutyönkulun poistaminen koskee vain komentonäppäimiä. Voit poistaa valmisteluavaimen työasemasta valitsemalla Tyhjennä valmistelutyönkulku -vaihtoehdon.
Dell Command Secure BIOS Configuration Serverin DCC:n asennus ja määritys
Lisätietoja DCSBC:n ja DCC:n asentamisesta ja määrittämisestä on DCC 5.0:n asennusoppaassa>Dell Command -komennon asentaminen | Dell Command Secure BIOS Configuration (https://www.dell.com/support/home/product-support/product/command-configure/docs) -version 5.0:n määritys
Dell Command Secure BIOS -määrityspalvelimen määrittäminen HTTPS:llä
Dell Command Secure BIOS -määrityspalvelimen määrittäminen HTTPS:llä Lisätietoja DCSBC-palvelimen määrittämisestä https-komennolla on DCC 5.0 -asennusoppaassa>Dell Command Secure BIOS Configuration Serverin määrittäminen HTTPS:llä täällä: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Itsenäisten suoritettavien tiedostojen luominen DCSBC-työnkuluille DCSBC-palvelimessa DCC-käyttöliittymän avulla
Lisätietoja SCE:iden luomisesta DCSBC-määritysvarmenteiden valmistelua varten on DCC:n käyttöoppaassa>Dell Command Secure BIOS Configuration Sertifikaattien valmistelu täällä: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
BIOS-asetusten määrittäminen Dell Command Secure BIOS Configuration -ohjelmistolla:
Lisätietoja SCE-yksiköiden luomisesta BIOS-asetusten määrittämistä varten DCSBC:n avulla on DCC:n käyttöoppaassa>SCE:n vieminen varmennepohjaista BIOS-todennusta varten täällä: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
HSM-allekirjoitusmenetelmän käytön edellytykset Dell Command Secure BIOS Configuration -työnkuluissa
DCSBC:n ja DCC:n avulla voit käyttää mitä tahansa HSM-toimittajaa DCSBC-hyötykuormien allekirjoittamiseen. Tämän hyötykuorman DCC-allekirjoitusmenetelmän käyttäminen edellyttää kuitenkin muutaman alla luetellun edellytyksen täyttymistä:
- Dell Technologies suosittelee OpenSSL:ää avoimen lähdekoodin allekirjoitustyökaluksi, jota voidaan käyttää yhdessä ympäristössäsi määritetyn HSM-palveluntarjoajan kanssa, jotta DCC voi käyttää HSM-allekirjoitusmenetelmällä luotuja allekirjoituksia.
- Päivitä seuraavassa sijainnissa oleva HSMSigning.bat-tiedosto käyttämäsi HSM-palveluntarjoajan mukaan C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat
Päivitä tässä tiedostossa rivin 12 allekirjoituksen luontikomento, joka on yhteensopiva HSM-kokoonpanosi kanssa. Oletusarvoisesti käytetty komento on:
"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1
Tässä annetun komennon pitäisi varmistaa, että allekirjoitus luodaan oletuskomennossa mainittuun polkuun, mukaan lukien blobsignature.txt määritettävä tiedostonimi.
Älä myöskään muokkaa tämän komennon viimeistä vaihtoehtoa (esimerkiksi %1), koska se sallii allekirjoituskomennon hyväksyä allekirjoitettavan hyötykuormatiedoston, jonka DCC luo suorituksen aikana.
Usein kysytyt kysymykset
- Haluan käyttää DCC:tä BIOS-määritysten tekemiseen BIOS-salasanatodennuksella. Mitä teen?
- DCC voi luoda SCE-paketteja BIOS-kokoonpanoille BIOS-salasanapohjaisen todennuksen avulla. DCC-käyttöliittymä ylläpitää ohjaustyönkulkua SCE-pakettien luomiseen BIOS-salasanapohjaisen todennuksen avulla.
- Dell Command Secure BIOS Configuration -palvelimessa ei ole määritetty HSM-palveluntarjoajaa. Miten voin ratkaista tämän?
- Paikallista allekirjoitusmenetelmää voidaan käyttää SCE-pakettien allekirjoittamiseen DCSBC:lle.
Huomautus: Tämä menetelmä käyttää paikallisesti luotuja yksityisiä avaimia SCE-pakettien allekirjoittamiseen. Yksityisten avainten suojaamiseksi DCC tarjoaa mahdollisuuden hallita näitä avaimia Microsoftin sertifiointisäilön avulla, joten yksityisiä avaintiedostoja ei tarvitse tallentaa levylle.
- Paikallista allekirjoitusmenetelmää voidaan käyttää SCE-pakettien allekirjoittamiseen DCSBC:lle.
- Haluan asentaa ja määrittää Dell Command I Configure with Dell Command Secure BIOS Configuration Server -virtuaalikoneen asetukset. Mitä teen?
- Voit määrittää DCC:n DCSBC-palvelimen kanssa virtuaalikoneen avulla. DCSBC-palvelimen DCC-ympäristössä voit luoda itsenäisiä suoritettavia tiedostoja sekä provisiointia että BIOS-määritystehtäviä varten. Tämä asetus varmistaa, että voit hallita ja suojata BIOS-määrityksiä jopa virtuaaliympäristössä.
해당 제품
Dell Command | Configure문서 속성
문서 번호: 000227845
문서 유형: How To
마지막 수정 시간: 15 11월 2024
버전: 2
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.