Dell Command ConfigureによるDell Command Secure BIOS設定のサポート

対象製品：

• Dell Command | Secure BIOS Configuration
• Dell Command | Configure

目次:

• 概要：
• Dell Command | DCCでのSecure BIOS Configurationアーキテクチャ
• Dell Command | Configureの実装
  • DCCを使用したDell Command Secure BIOS Configuration Serverのインストールとセットアップ
  • HTTPSを使用したDell Command Secure BIOS Configuration Serverの設定
  • DCC UIを使用した、DCSBCサーバー上のDCSBCワークフローの自己完結型実行可能ファイルの作成
• Dell Command Secure BIOS ConfigurationワークフローでHSM署名方法を使用するための前提条件
• FAQ

概要：

管理機能インターフェイスは、オープン インターフェイスまたはパスワード認証コマンドに依存します。パスワード認証はブルートフォース攻撃や辞書攻撃に対して脆弱であるため、キー ベースの認証に比べて安全性が低くなります。データとコマンドの整合性と機密性を保護するには、より優れた認証された管理機能インターフェイスが必要です。より安全なインターフェイスにより、パスワード管理、プラットフォーム構成ミラーリング、ファクトリー ツールなど、他のテクノロジーを保護されたインターフェイス上に構築することもできます。DCSBCは、BIOSパスワードによるDACIコマンドの認証から脱却するためのアプローチです。DCSBCは、PKI認証メカニズムと暗号化されたチャネルを使用してプラットフォームとクライアント間でメッセージを渡すインターフェイスを作成することで、信頼できる通信を提供します。このアプローチでは、整合性と機密性の両方を実現して、お客様のデータを保護します。

トップに戻る

Dell Command | DCCでのSecure BIOS Configurationアーキテクチャ

LEGEND: 
DCC — Dell Command Configure
CLI - DCC Client (Pipeline)
DHE — Ephemeral Diffie-Hellman
OTB - On the Box
SCE - Self Contained Executable
Console — MECM, Intune, WorkspaceONE

解決策は、PKI認証メカニズムと暗号化されたチャネルを使用してプラットフォームとクライアント間でメッセージを渡すインターフェイスを作成することです。

セッションベースのコマンドは、Diffie-HeIIman型キー交換を参照します。

リプレイ保護の一部は、DCSBCメッセージに付加された1回限りの乱数(nonce)のシーケンスを使用することによって達成されます。

nonceを使用すると、メッセージの受信側は、メッセージが一意であり、再利用されず、操作の順序が維持されることを確認できます。これは特に、セッションベースのコマンドに当てはまります。各トランザクションには、クライアントが新しいnonceを生成し、そのnonce値をクリアな状態で受信者と共有し、署名またはメッセージ認証コードの一部として、メッセージ内のnonce値をハッシュすることが含まれます。

その一環として、DCCでのDCSBCはサーバー/クライアント モデルに従っており、DCSBCサーバーを使用して、さまざまなワークフローの自己完結型実行可能ファイルを作成できます。これらの自己完結型実行可能ファイル(SCE)は、SCCM/Microsoft Intuneなどの構成ツールを使用して、IT部門が管理するエンドポイントに導入できます。

ユーザーがクライアント/エンドポイントにDCCをインストールする必要はありません。SCEがエンドポイントで実行されると、SCEはDCSBCサーバーにBIOS設定のペイロードを取得するリクエストを送信し、これらの操作をエンドポイントBIOSで実行します。

このフローを使用すると、（クライアント/エンドポイントの）ゼロ トラスト ポリシーが達成され、信頼はBIOSとDCSBCサーバーの間にのみ存在します。

トップに戻る

Dell Command | Configureの実装

DCCでは、プロビジョニング ワークフローとBIOS設定ワークフロー用にDCSBCのSCEが作成されます。ワークフロー操作は、プロビジョニング操作とBIOS設定操作に基づいて分類されます。

• プロビジョニング ワークフロー - これにより、ユーザーはプロビジョニング証明書を作成して、プロビジョニングのためにクライアントとの安全な接続を認証できます。プロビジョニング キーの追加、削除、クリア、およびワークフローの一部であるSCEパッケージへの署名。
• BIOS設定ワークフロー - このフローでは、ユーザーがコマンド証明書を作成し、プロビジョニングを使用してクライアントでBIOS設定を構成できます。ワークフローの一部である、BIOS設定の選択と、BIOS設定SCEパッケージへの署名。

前述のワークフローを実現するために、DCCには2種類のキー コントロールが定義されています。

• プロビジョニング キー — このキー/証明書は、新しいキーの追加（プロビジョニング）/既存のキーの削除/プロビジョニングされたすべてのキーのクリアを行うプロビジョニング ワークフローのペイロードへの署名に使用できます。
• コマンド キー — このキー/証明書は、BIOS構成変更フローのペイロードへの署名に使用できます。

トップに戻る

DCCを使用したDell Command Secure BIOS Configuration Serverのインストールとセットアップ

DCCを使用してDCSBCをインストールしてセットアップする方法の詳細については、『DCC 5.0インストール ガイド』の「Dell Command | Dell Command Secure BIOS設定用のDell Command | Configure 5.0のインストール」(https://www.dell.com/support/home/product-support/product/command-configure/docs)を参照してください。

トップに戻る

HTTPSを使用したDell Command Secure BIOS Configuration Serverの設定

HTTPSを使用したDell Command Secure BIOS Configuration Serverの設定。DCSBCサーバーをhttpsで設定する方法の詳細については、『DCC 5.0インストール ガイド』の「HTTPSを使用したDell Command Secure BIOS Configuration Serverの設定」を参照してください。(https://www.dell.com/support/home/product-support/product/command-configure/docs)

トップに戻る

DCC UIを使用した、DCSBCサーバー上のDCSBCワークフローの自己完結型実行可能ファイルの作成

DCSBC構成証明書のプロビジョニングを実行するためのSCEを作成する方法の詳細については、『DCCユーザーズ ガイド』の「Dell Command Secure BIOS構成証明書のプロビジョニングを実行する」を参照してください。(https://www.dell.com/support/home/product-support/product/command-configure/docs)

トップに戻る

Dell Command Secure BIOS設定を使用してBIOS設定を構成する

SCEを作成してDCSBCでBIOS設定を構成する方法の詳細については、『DCCユーザーズ ガイド』の「証明書ベースのBIOS認証用にSCEをエクスポートする」を参照してください。(https://www.dell.com/support/home/product-support/product/command-configure/docs)

トップに戻る

Dell Command Secure BIOS ConfigurationワークフローでHSM署名方法を使用するための前提条件

DCC付きDCSBCでは、任意のHSMベンダーを使用してDCSBCペイロードに署名できます。ただし、このペイロードの署名方法を使用するには、DCCで以下に示すいくつかの動作条件を満たす必要があります。

• デル・テクノロジーズでは、DCCがHSM署名方式で生成された署名を使用できるように、ご使用の環境でセットアップしたHSMプロバイダーとともに使用できるオープン ソースの署名ツールとしてOpenSSLを推奨しています。
• 使用しているHSMプロバイダーに基づいて、次の場所にあるHSMSigning.batファイルを更新します。C:\Program Files (x86)\Dell\Command Configure\X86 64\HSMSigning.bat

このファイルで、12行目のHSMセットアップと互換性のある署名生成コマンドを更新します。デフォルトの使用コマンドは次のとおりです。

"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1

ここで指定するコマンドでは、blobsignature.txtとして設定するファイル名を含めて、デフォルトのコマンドで指定されているものと同じパスに署名を生成する必要があります。

また、このコマンドの最後のオプション（「%1」など）を変更しないでください。このオプションを使用すると、署名コマンドで、DCCが実行時に生成する署名対象のペイロード ファイルを受け入れることができます。

トップに戻る

FAQ

• DCCを使用して、BIOSパスワード認証でBIOS設定を実行するにはどうすればよいでしょうか。
  • DCCは、BIOSパスワードベースの認証を使用して、BIOS設定用のSCEパッケージを生成できます。DCC UIは、BIOSパスワードベース認証を使用してSCEパッケージを作成するための制御フローを維持します。
• Dell Command Secure BIOS Configuration ServerにHSMサービス プロバイダーがセットアップされていません。どうすればこれを解決できますか？
  • ローカル署名方法を使用して、DCSBCのSCEパッケージに署名できます。
    注：この方式では、ローカルで生成されたプライベート キーを使用してSCEパッケージに署名します。プライベート キーをセキュリティで保護するために、DCCにはMicrosoft認定ストアを使用してこれらのキーを管理する機能があります。そのため、プライベート キー ファイルをディスクに保存する必要はありません。
• Dell Command | ConfigureとDell Command Secure BIOS Configuration Serverを仮想マシンにインストールしてセットアップする場合、どうすればよいでしょうか。
  • 仮想マシンを使用して、DCSBCサーバーでDCCを設定できます。DCSBCサーバーを搭載したDCCプラットフォームでは、プロビジョニング タスクとBIOS構成タスクの両方について自己完結型の実行可能ファイルを作成できます。このセットアップにより、仮想環境でもBIOS設定を管理して保護することができます。