Dell Command Secure BIOS Configuration Support met Dell Command Configure

Betreffende producten:

• Dell Command | Beveiligde BIOS-configuratie
• Dell Command | Configure

Inhoudsopgave:

• Inleiding:
• Dell Command | Veilige BIOS-configuratiearchitectuur in DCC
• Dell Command | Implementatie configureren
  • Dell Command Secure BIOS Configuration Server met DCC installeren en instellen
  • De Dell Command Secure BIOS Configuration Server configureren met HTTPS
  • Op zichzelf staande uitvoerbare bestanden maken voor DCSBC-workflows op de DCSBC-server met behulp van de DCC-gebruikersinterface
• Vereisten voor het gebruik van de HSM-ondertekeningsmethode voor Dell Command Secure BIOS-configuratieworkflows
• Veelgestelde vragen

Inleiding:

Beheerbaarheidsinterfaces zijn afhankelijk van open interfaces of opdrachten met wachtwoordverificatie. Wachtwoordverificatie is kwetsbaar voor brute-force- of woordenboekaanvallen en is daarom minder veilig in vergelijking met verificatie op basis van sleutels. Er is een beter geverifieerde beheerbaarheidsinterface nodig om de integriteit en vertrouwelijkheid van de data en opdrachten te beschermen. Een veiligere interface stelt ook andere technologieën in staat om voort te bouwen op de beschermde interface, zoals wachtwoordbeheer, platformconfiguratiemirroring, Factory Tools, bijvoorbeeld. DCSBC is een manier om af te stappen van het verifiëren van DACI-opdrachten met BIOS-wachtwoorden. DCSBC biedt betrouwbare communicatie door een interface te creëren die gebruikmaakt van PKI-verificatiemechanismen en versleutelde kanalen om berichten tussen het platform en een client door te geven. Deze aanpak biedt ook integriteit en vertrouwelijkheid om klantgegevens te beschermen.

Terug naar boven

Dell Command | Veilige BIOS-configuratiearchitectuur in DCC

LEGEND: 
DCC — Dell Command Configure
CLI - DCC Client (Pipeline)
DHE — Ephemeral Diffie-Hellman
OTB - On the Box
SCE - Self Contained Executable
Console — MECM, Intune, WorkspaceONE

De oplossing is om een interface te creëren die PKI-authenticatiemechanismen en versleutelde kanalen gebruikt om berichten tussen het platform en een client door te geven.

Sessiegebaseerde opdrachtverwijzingen naar sleuteluitwisseling van het type Diffie-HeIIman.

Herhalingsbeveiliging wordt gedeeltelijk bereikt door gebruik te maken van een reeks willekeurige getallen voor eenmalig gebruik (nonce) die aan de DCSBC-berichten zijn gekoppeld.

Het gebruik van nonces stelt de ontvanger van het bericht in staat ervoor te zorgen dat het bericht uniek is, dus niet wordt hergebruikt, en dat de volgorde van de bewerking wordt gehandhaafd. Dit geldt met name voor sessiegebaseerde opdrachten. Elke transactie houdt in dat de klant een nieuwe nonce genereert en de nonce-waarde in het algemeen deelt met de ontvanger, en de nonce-waarde in het bericht hasht, hetzij als onderdeel van de handtekening, hetzij als een berichtauthenticatiecode.

Als onderdeel hiervan volgt DCSBC met DCC een server-clientmodel, waarbij de DCSBC-server kan worden gebruikt om zelfstandige uitvoerbare bestanden te maken voor verschillende workflows. Deze Self-Contained Executables (SCE's) kunnen vervolgens worden geïmplementeerd op door IT beheerde eindpunten met behulp van configuratietools zoals SCCM/Microsoft Intune.

De gebruiker hoeft DCC niet te installeren op de clients/eindpunten. Zodra de SCE op het eindpunt is uitgevoerd, worden aanvragen ingediend bij de DCSBC-server voor payloads voor BIOS-configuraties en worden deze bewerkingen uitgevoerd op het eindpunt-BIOS.

Met behulp van deze stroom wordt zero trust-beleid (op client/eindpunt) bereikt en bestaat het vertrouwen alleen tussen het BIOS en de DCSBC-server.

Terug naar boven

Dell Command | Implementatie configureren

In DCC wordt de SCE voor DCSBC gemaakt voor de Provisioning Workflow en de BIOS Configuration Workflow. Workflowbewerkingen worden geclassificeerd op basis van de inrichtingsbewerkingen en BIOS-configuratiebewerkingen:

• Provisioning-workflow - Hiermee kunnen de gebruikers een provisioningcertificaat maken om de beveiligde connectiviteit met de client voor provisioning te verifiëren. Het toevoegen, verwijderen of wissen van provisioningsleutels en het ondertekenen van het SCE-pakket, dat deel uitmaakt van de workflow.
• BIOS-configuratieworkflow - Met deze flow kunnen gebruikers een opdrachtcertificaat maken om BIOS-instellingen in de client te configureren met behulp van provisioning. Het selecteren van BIOS-configuraties en het ondertekenen van het BIOS-configuratie-SCE-pakket, dat deel uitmaakt van de workflow.

Om de bovenstaande workflows te bereiken, zijn er twee typen belangrijke besturingselementen gedefinieerd in DCC:

• Provisioningsleutel : deze sleutel/dit certificaat kan worden gebruikt om payloads te ondertekenen voor de Provisioning-workflow waar u nieuwe sleutels wilt toevoegen/inrichten/bestaande sleutels wilt verwijderen/alle ingerichte sleutels wilt wissen.
• Opdrachttoets : deze sleutel/dit certificaat kan worden gebruikt om payloads te ondertekenen voor de wijzigingsflow voor de BIOS-configuratie.

Terug naar boven

Dell Command Secure BIOS Configuration Server met DCC installeren en instellen

Voor meer informatie over het installeren en instellen van DCSBC met DCC, raadpleegt u de DCC 5.0-installatiehandleiding>: Dell Command | 5.0 configureren voor Dell Command Secure BIOS Configuration (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Terug naar boven

De Dell Command Secure BIOS Configuration Server configureren met HTTPS

De Dell Command Secure BIOS-configuratieserver met HTTPS configureren Raadpleeg voor meer informatie over het configureren van de DCSBC-server met https de DCC 5.0 installatiehandleiding>De Dell Command Secure BIOS Configuration Server configureren met HTTPS hier: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Terug naar boven

Op zichzelf staande uitvoerbare bestanden maken voor DCSBC-workflows op de DCSBC-server met behulp van de DCC-gebruikersinterface

Voor meer informatie over het maken van SCE's voor het uitvoeren van provisioning voor DCSBC-configuratiecertificaten, raadpleegt u de DCC-gebruikershandleiding>Voer hier de provisioning uit voor Dell Command Secure BIOS Configuration-certificaten : (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Terug naar boven

BIOS-instellingen configureren met Dell Command Secure BIOS Configuration:

Voor meer informatie over het maken van SCE's om BIOS-instellingen met DCSBC te configureren, raadpleegt u de DCC-gebruikershandleiding> om SCE te exporteren voor BIOS-authenticatie op basis van certificaten hier: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Terug naar boven

Vereisten voor het gebruik van de HSM-ondertekeningsmethode voor Dell Command Secure BIOS-configuratieworkflows

Met DCSBC met DCC kunt u elke HSM-leverancier gebruiken om de DCSBC-payloads te ondertekenen. Om deze methode voor het ondertekenen van payloads te gebruiken, moet DCC echter aan een aantal vereisten voldoen, die hieronder worden vermeld:

• Dell Technologies raadt OpenSSL aan als de open source ondertekeningstool die kan worden gebruikt in combinatie met de HSM-provider die u in uw omgeving hebt ingesteld, zodat DCC handtekeningen kan gebruiken die zijn gegenereerd met de HSM-ondertekeningsmethode.
• Op basis van de HSM-provider die u gebruikt, moet u het HSMSigning.bat bestand bijwerken dat aanwezig is op de volgende locatie: C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat

Werk in dit bestand de opdracht voor het genereren van handtekeningen bij op regel 12 die compatibel is voor uw HSM-instellingen. Standaard wordt de volgende opdracht gebruikt:

"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1

De opgegeven opdracht hier moet ervoor zorgen dat de handtekening wordt gegenereerd op hetzelfde pad als vermeld in de standaardopdracht, inclusief de bestandsnaam die moet worden ingesteld als blobsignature.txt.

Zorg er ook voor dat u de laatste optie (bijvoorbeeld '%1') in deze opdracht niet wijzigt, omdat de handtekeningopdracht hiermee het te ondertekenen payload-bestand accepteert dat DCC tijdens runtime genereert.

Terug naar boven

Veelgestelde vragen

• Ik wil DCC gebruiken om BIOS-configuraties uit te voeren met behulp van BIOS-wachtwoordverificatie. Wat moet ik doen?
  • DCC kan SCE-pakketten genereren voor BIOS-configuraties met behulp van verificatie op basis van een BIOS-wachtwoord. De DCC-gebruikersinterface onderhoudt de controlestroom voor het maken van SCE-pakketten met op BIOS-wachtwoorden gebaseerde verificatie.
• Ik heb geen HSM-serviceprovider ingesteld op mijn Dell Command Secure BIOS Configuration server. Hoe kan ik dit oplossen?
  • De lokale ondertekeningsmethode kan worden gebruikt om SCE-pakketten voor DCSBC te ondertekenen.
    Opmerking: Deze methode maakt gebruik van lokaal gegenereerde persoonlijke sleutels om SCE-pakketten te ondertekenen. Om de persoonlijke sleutels te beveiligen, biedt DCC de mogelijkheid om deze sleutels te beheren met behulp van de Microsoft Certification Store en daarom is het niet nodig om de bestanden met de persoonlijke sleutel op schijf op te slaan.
• Ik wil mijn Dell Command I Configure met Dell Command Secure BIOS Configuration Server op een virtuele machine installeren en instellen. Wat moet ik doen?
  • U kunt een virtuele machine gebruiken om de DCC in te stellen met de DCSBC-server. Op het DCC-platform met de DCSBC-server kunt u zelfstandige uitvoerbare bestanden maken voor zowel provisioning- als BIOS-configuratietaken. Met deze installatie kunt u BIOS-configuraties beheren en beveiligen, zelfs in een virtuele omgeving.