Dell Command Secure BIOS-konfigurasjonsstøtte med Dell Command Configure
요약: Denne artikkelen inneholder detaljer om Dell Command I Secure BIOS Configuration (DCSBC) og hvordan du bruker den med Dell Command I Configure (DCC) for å oppnå sertifikatbasert godkjenning for BIOS-konfigurasjon. ...
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
지침
Berørte produkter:
- Dell Command | Sikker BIOS-konfigurasjon
- Dell Command | Configure
Innholdsfortegnelse:
- Innledning:
- Dell Command | Sikker BIOS-konfigurasjonsarkitektur i DCC
- Dell Command | Konfigurer implementering
- Forutsetninger for å bruke HSM-signeringsmetoden for Dell Command Secure BIOS-konfigurasjonsarbeidsflyter
- Vanlige spørsmål
Innledning:
Administrasjonsgrensesnitt er avhengige av åpne grensesnitt eller passordgodkjente kommandoer. Passordautentisering er sårbar for brute-force eller ordbokangrep, og dermed mindre sikker sammenlignet med nøkkelbasert autentisering. Et bedre godkjent administrasjonsgrensesnitt er nødvendig for å gi integritet og konfidensialitetsbeskyttelse av dataene og kommandoene. Et sikrere grensesnitt gjør det også mulig for andre teknologier å bygge videre på det beskyttede grensesnittet, for eksempel passordadministrasjon, plattformkonfigurasjonsspeiling, fabrikkverktøy. DCSBC er en tilnærming for å gå bort fra å godkjenne DACI-kommandoer med BIOS-passord. DCSBC gir en klarert kommunikasjon ved å opprette et grensesnitt som bruker PKI-autentiseringsmekanismer og krypterte kanaler for å sende meldinger mellom plattformen og en klient. Denne tilnærmingen gir også både integritet og konfidensialitet for å beskytte kundedata.
Dell Command | Sikker BIOS-konfigurasjonsarkitektur i DCC
LEGEND: DCC — Dell Command Configure CLI - DCC Client (Pipeline) DHE — Ephemeral Diffie-Hellman OTB - On the Box SCE - Self Contained Executable Console — MECM, Intune, WorkspaceONE
Løsningen er å lage et grensesnitt som bruker PKI-autentiseringsmekanismer, og krypterte kanaler for å sende meldinger mellom plattformen og en klient.
Session-baserte kommandoreferanser til Diffie-HeIIman type nøkkelutveksling.
Replay-beskyttelse oppnås delvis ved å bruke en sekvens av tilfeldige tall til engangsbruk (nonce) knyttet til DCSBC-meldingene.
Bruk av nonces tillater mottakeren av meldingen å sikre at meldingen er unik, og dermed ikke gjenbrukt, og at operasjonssekvensen opprettholdes. Dette gjelder spesielt for øktbaserte kommandoer. Hver transaksjon innebærer at klienten genererer en ny nonce og deler nonce-verdien med mottakeren i det klare, og hasher nonce-verdien i meldingen, enten som en del av signaturen eller en meldingsautentiseringskode.
Som en del av dette følger DCSBC med DCC en server-klientmodell, der DCSBC-serveren kan brukes til å lage selvstendige kjørbare filer for forskjellige arbeidsflyter. Disse selvstendige kjørbare filene (SCE-ene) kan deretter distribueres til IT-administrerte endepunkter ved hjelp av konfigurasjonsverktøy som SCCM/Microsoft Intune.
Det er ikke nødvendig for brukeren å installere DCC på klientene/endepunktene. Når SCE er kjørt på endepunktet, legger den forespørsler til DCSBC-serveren om å få nyttelast for BIOS-konfigurasjoner og utfører disse operasjonene på endepunkt-BIOS.
Ved hjelp av denne flyten oppnås policyen for nulltillit (på klient/endepunkt), og klareringen eksisterer bare mellom BIOS og DCSBC-serveren.
Dell Command | Konfigurer implementering
I DCC opprettes SCE for DCSBC for klargjøringsarbeidsflyten og BIOS-konfigurasjonsarbeidsflyten. Arbeidsflytoperasjoner klassifiseres basert på klargjøringsoperasjoner og BIOS-konfigurasjonsoperasjoner:
- Arbeidsflyt for klargjøring – Brukere kan opprette klargjøringssertifikat for å godkjenne sikker tilkobling med klienten for klargjøring. Legge til, slette eller fjerne klargjøringsnøkler og signere SCE-pakken, som er en del av arbeidsflyten.
- Arbeidsflyt for BIOS-konfigurasjon – denne flyten gjør det mulig for brukerne å opprette et kommandosertifikat for å konfigurere BIOS-innstillinger i klienten ved hjelp av klargjøring. Velge BIOS-konfigurasjoner og signere BIOS-konfigurasjons-SCE-pakken, som er en del av arbeidsflyten.
For å oppnå arbeidsflytene ovenfor er det to typer nøkkelkontroller definert i DCC:
- Klargjøringsnøkkel – Denne nøkkelen/sertifikatet kan brukes til å signere nyttelast for klargjøringsarbeidsflyten der du vil Legg til(klargjør) nye nøkler/ Slett eksisterende nøkler/ Fjern alle klargjorte nøkler.
- Kommandotast – denne nøkkelen/sertifikatet kan brukes til å signere nyttelast for flyten for endring av BIOS-konfigurasjon.
Merk:
- I alle tilfeller kan bare én klargjøringsnøkkel legges til eller klargjøres på klientmaskinen
- Sju kommandonøkler kan legges til/klargjøres på en klientmaskin når som helst.
- Sletting av klargjøringsarbeidsflyt gjelder bare for kommandotastene. Hvis du vil fjerne en klargjøringsnøkkel fra klienten, velger du alternativet Fjern arbeidsflyt for klargjøring.
Installere og sette opp Dell Command Secure BIOS Configuration Server med DCC
Hvis du vil ha mer informasjon om hvordan du installerer og konfigurerer DCSBC med DCC, kan du se installasjonsveiledningen > for DCC 5.0Installere Dell Command | Konfigurer 5.0 for Dell Command Secure BIOS-konfigurasjon (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Konfigurere Dell Command Secure BIOS-konfigurasjonsserveren med HTTPS
Konfigurere Dell Command Secure BIOS-konfigurasjonsserveren med HTTPS Du finner mer informasjon om hvordan du konfigurerer DCSBC-serveren med https i installasjonsveiledningen > for DCC 5.0Konfigurere Dell Command Secure BIOS-konfigurasjonsserveren ved hjelp av HTTPS her: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Opprette selvstendige kjørbare filer for DCSBC-arbeidsflyter på DCSBC-serveren ved hjelp av DCC-grensesnittet
Hvis du vil ha mer informasjon om hvordan du oppretter SCE-er for å utføre klargjøring for DCSBC-konfigurasjonssertifikater, kan du se i brukerveiledningen> for DCC Utfør provisjonering for Dell Command Secure BIOS-konfigurasjonssertifikater her: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Konfigurering av BIOS-innstillinger med Dell Command Secure BIOS-konfigurasjon:
Hvis du vil ha mer informasjon om hvordan du oppretter SCE-er for å konfigurere BIOS-innstillinger med DCSBC, kan du se i DCC-brukerveiledningen>Eksportere SCE for sertifikatbasert BIOS-godkjenning her: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Forutsetninger for å bruke HSM-signeringsmetoden for Dell Command Secure BIOS-konfigurasjonsarbeidsflyter
DCSBC med DCC lar deg bruke en hvilken som helst HSM-leverandør til å signere DCSBC-nyttelastene. For å bruke denne metoden for å signere nyttelast krever DCC imidlertid noen forutsetninger som skal oppfylles som er oppført nedenfor:
- Dell Technologies anbefaler OpenSSL som signeringsverktøy med åpen kildekode som kan brukes sammen med HSM-leverandøren du har konfigurert i miljøet ditt, for å tillate DCC å bruke signaturer generert fra HSM-signeringsmetoden.
- Basert på HSM-leverandøren du bruker, oppdaterer du den HSMSigning.bat filen på følgende plassering: C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat
I denne filen oppdaterer du signaturgenereringskommandoen på linje 12 som er kompatibel med HSM-oppsettet. Som standard er kommandoen som brukes:
"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1
Den angitte kommandoen her skal sørge for at signaturen skal genereres til samme bane som nevnt i standardkommandoen, inkludert filnavnet som skal angis som blobsignature.txt.
Pass på at du ikke endrer det siste alternativet (for eksempel "%1") i denne kommandoen, da det gjør at signaturkommandoen godtar nyttelastfilen som skal signeres, noe DCC genererer under kjøretid.
Vanlige spørsmål
- Jeg vil bruke DCC til å utføre BIOS-konfigurasjoner ved hjelp av BIOS-passordgodkjenning. Hva bør jeg gjøre?
- DCC kan generere SCE-pakker for BIOS-konfigurasjoner ved hjelp av passordbasert BIOS-godkjenning. DCC-grensesnittet opprettholder kontrollflyten for oppretting av SCE-pakker med passordbasert BIOS-godkjenning.
- Jeg har ikke satt opp en HSM-tjenesteleverandør på serveren for Dell Command Secure BIOS-konfigurasjon. Hvordan kan jeg løse dette?
- Lokal signeringsmetode kan brukes til å signere SCE-pakker for DCSBC.
Merk: Denne metoden bruker lokalt genererte private nøkler til å signere SCE-pakker. For å sikre de private nøklene tilbyr DCC muligheten til å administrere disse nøklene ved hjelp av Microsofts sertifiseringslager, og det er derfor ikke nødvendig å lagre de private nøkkelfilene på disken.
- Lokal signeringsmetode kan brukes til å signere SCE-pakker for DCSBC.
- Jeg vil installere og konfigurere min Dell Command I Configure med Dell Command Secure BIOS Configuration Server på en virtuell maskin. Hva bør jeg gjøre?
- Du kan bruke en virtuell maskin til å konfigurere DCC med DCSBC-serveren. På DCC-plattformen med DCSBC-serveren kan du opprette selvstendige kjørbare filer for både klargjørings- og BIOS-konfigurasjonsoppgaver. Dette oppsettet sikrer at du kan administrere og sikre BIOS-konfigurasjoner, selv i et virtuelt miljø.
해당 제품
Dell Command | Configure문서 속성
문서 번호: 000227845
문서 유형: How To
마지막 수정 시간: 15 11월 2024
버전: 2
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.