Dell Command Secure BIOS-konfigurationssupport med Dell Command Configure
요약: Denne artikel indeholder oplysninger om Dell Command I Secure BIOS Configuration (DCSBC), og hvordan du bruger den sammen med Dell Command I Configure (DCC) til at opnå certifikatbaseret godkendelse til BIOS-konfiguration. ...
이 문서는 다음에 적용됩니다.
이 문서는 다음에 적용되지 않습니다.
이 문서는 특정 제품과 관련이 없습니다.
모든 제품 버전이 이 문서에 나와 있는 것은 아닙니다.
지침
Berørte produkter:
- Dell Command | Sikker BIOS-konfiguration
- Dell Command | Configure
Indholdsfortegnelse:
- Indledning:
- Dell Command | Sikker BIOS-konfigurationsarkitektur i DCC
- Dell Command | Konfigurer implementering
- Forudsætninger for at bruge HSM-signeringsmetoden til Dell Command Secure BIOS-konfigurationsworkflows
- OFTE STILLEDE SPØRGSMÅL
Indledning:
Administrationsgrænseflader er afhængige af åbne grænseflader eller adgangskodegodkendte kommandoer. Adgangskodegodkendelse er sårbar over for brute-force eller ordbogsangreb og derfor mindre sikker sammenlignet med nøglebaseret godkendelse. Der er behov for en bedre godkendt administrationsgrænseflade for at yde integritets- og fortrolighedsbeskyttelse af data og kommandoer. En mere sikker grænseflade gør det også muligt for andre teknologier at bygge videre på den beskyttede grænseflade, såsom adgangskodeadministration, spejling af platformkonfiguration, fabriksværktøjer, for eksempel. DCSBC er en metode til at bevæge sig væk fra godkendelse af DACI-kommandoer med BIOS-adgangskoder. DCSBC giver en pålidelig kommunikation ved at oprette en grænseflade, der bruger PKI-godkendelsesmekanismer og krypterede kanaler til at sende meddelelser mellem platformen og en klient. Denne tilgang giver også både integritet og fortrolighed for at beskytte kundedata.
Dell Command | Sikker BIOS-konfigurationsarkitektur i DCC
LEGEND: DCC — Dell Command Configure CLI - DCC Client (Pipeline) DHE — Ephemeral Diffie-Hellman OTB - On the Box SCE - Self Contained Executable Console — MECM, Intune, WorkspaceONE
Løsningen er at oprette en grænseflade, der bruger PKI-godkendelsesmekanismer og krypterede kanaler til at sende meddelelser mellem platformen og en klient.
Sessionsbaserede kommandoreferencer til nøgleudveksling af Diffie-HeIIman-typen.
Delvis afspilningsbeskyttelse opnås ved hjælp af en sekvens af tilfældige engangstal (nonce), der er knyttet til DCSBC-meddelelserne.
Brug af nonces gør det muligt for modtageren af meddelelsen at sikre, at meddelelsen er unik og dermed ikke genbruges, og at operationssekvensen opretholdes. Dette gælder især for sessionsbaserede kommandoer. Hver transaktion indebærer, at klienten genererer en ny nonce og deler nonce-værdien med modtageren i det klare og hashing nonce-værdien i meddelelsen, enten som en del af signaturen eller en meddelelsesgodkendelseskode.
Som en del af dette følger DCSBC med DCC en server-klientmodel, hvor DCSBC-serveren kan bruges til at oprette selvstændige eksekverbare filer til forskellige arbejdsgange. Disse selvstændige eksekverbare filer (SCE'er) kan derefter udrulles på it-administrerede slutpunkter ved hjælp af konfigurationsværktøjer som SCCM/Microsoft Intune.
Der er ikke noget krav om, at brugeren skal installere DCC på klienterne/slutpunkterne. Når SCE køres på slutpunktet, anmoder den DCSBC-serveren om at hente data til BIOS-konfigurationer og udfører disse handlinger på slutpunktets BIOS.
Ved hjælp af dette flow opnås nultillidspolitik (på klient/slutpunkt), og tilliden eksisterer kun mellem BIOS og DCSBC-serveren.
Dell Command | Konfigurer implementering
I DCC oprettes SCE for DCSBC for Provisioning Workflow og BIOS Configuration Workflow. Workflow-handlinger klassificeres baseret på klargøringshandlinger og BIOS-konfigurationshandlinger:
- Klargøringsworkflow – Dette giver brugerne mulighed for at oprette klargøringscertifikat for at godkende sikker forbindelse med klienten til klargøring. Tilføjelse, sletning eller rydning af klargøringsnøgler og signering af SCE-pakken, som er en del af arbejdsforløbet.
- BIOS-konfigurationsarbejdsproces – Dette flow giver brugerne mulighed for at oprette et kommandocertifikat for at konfigurere BIOS-indstillingerne i klienten ved hjælp af klargøring. Valg af BIOS-konfigurationer og signering af BIOS-konfigurationen SCE-pakke, som er en del af arbejdsforløbet.
For at opnå ovenstående arbejdsgange er der defineret to typer nøglekontroller i DCC:
- Klargøringsnøgle – Denne nøgle/certifikat kan bruges til at signere data for klargøringsarbejdsgangen, hvor du vil tilføje(klargøre) nye nøgler/slette eksisterende nøgler/rydde alle klargjorte nøgler.
- Kommandotast – Denne tast/dette certifikat kan bruges til at signere data for BIOS-konfigurationsændringsflowet.
Bemærk:
- I alle tilfælde kan der kun tilføjes eller klargøres én klargøringsnøgle på klientcomputeren
- Syv kommandotaster kan tilføjes/klargøres på en klientmaskine på et hvilket som helst tidspunkt.
- Sletning af klargøringsforløb gælder kun for kommandotasterne. Hvis du vil fjerne en klargøringsnøgle fra klienten, skal du vælge indstillingen Ryd klargøringsarbejdsgang.
Installation og opsætning af Dell Command Secure BIOS-konfigurationsserver med DCC
Du kan finde flere oplysninger om, hvordan du installerer og konfigurerer DCSBC med DCC, i DCC 5.0-installationsvejledningen>Installation af Dell Command | Konfigurer 5.0 til Dell Command Secure BIOS-konfiguration (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Konfiguration af Dell Command Secure BIOS-konfigurationsserver med HTTPS
Konfiguration af Dell Command Secure BIOS-konfigurationsserver med HTTPS Du kan finde flere oplysninger om, hvordan du konfigurerer DCSBC-serveren med https, i installationsvejledningen > til DCC 5.0Konfiguration af Dell Command Secure BIOS-konfigurationsserveren ved hjælp af HTTPS her: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Oprettelse af selvstændige eksekverbare filer til DCSBC-arbejdsgange på DCSBC-serveren ved hjælp af DCC-brugergrænsefladen
Du kan finde flere oplysninger om, hvordan du opretter SCE'er til at udføre klargøring af DCSBC-konfigurationscertifikater, i DCC-brugervejledningen>Udfør klargøring for Dell Command Secure BIOS-konfigurationscertifikater her: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Konfigurer BIOS-indstillinger med Dell Command Secure BIOS-konfiguration:
Du kan finde flere oplysninger om, hvordan du opretter SCE'er > for at konfigurere BIOS-indstillinger med DCSBC, i brugervejledningen til DCC Export SCE for certifikatbaseret BIOS-godkendelse her: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Forudsætninger for at bruge HSM-signeringsmetoden til Dell Command Secure BIOS-konfigurationsworkflows
DCSBC med DCC giver dig mulighed for at bruge enhver HSM-leverandør til at signere DCSBC-data. For at bruge denne metode til signering af nyttelast kræver DCC dog, at et par forudsætninger er opfyldt, som er angivet nedenfor:
- Dell Technologies anbefaler OpenSSL som open source-signeringsværktøj, der kan bruges sammen med den HSM-udbyder, du har konfigureret i dit miljø, så DCC kan bruge signaturer, der er genereret fra HSM-signeringsmetoden.
- Baseret på den HSM-provider, du bruger, skal du opdatere den HSMSigning.bat fil, der findes på følgende placering C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat
I denne fil skal du opdatere kommandoen til generering af signatur på linje 12, som er kompatibel med din HSM-opsætning. Som standard er den anvendte kommando:
"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1
Den angivne kommando her skal sikre, at signaturen genereres til den samme sti som nævnt i standardkommandoen, herunder filnavnet, der skal indstilles som blobsignature.txt.
Sørg også for ikke at ændre den sidste indstilling (f.eks. "%1") i denne kommando, da den gør det muligt for signaturkommandoen at acceptere den datafil, der skal signeres, og som DCC genererer under kørsel.
OFTE STILLEDE SPØRGSMÅL
- Jeg vil bruge DCC til at udføre BIOS-konfigurationer ved hjælp af BIOS-adgangskodegodkendelse. Hvad skal jeg gøre?
- DCC kan generere SCE-pakker til BIOS-konfigurationer ved hjælp af BIOS-adgangskodebaseret godkendelse. DCC-brugergrænsefladen vedligeholder kontrolflowet til oprettelse af SCE-pakker med BIOS-adgangskodebaseret godkendelse.
- Jeg har ikke en HSM-tjenesteudbyder på min Dell Command Secure BIOS-konfigurationsserver. Hvordan kan jeg løse dette?
- Lokal signeringsmetode kan bruges til at signere SCE-pakker til DCSBC.
Bemærk: Denne metode bruger lokalt genererede private nøgler til at signere SCE-pakker. For at sikre de private nøgler tilbyder DCC muligheden for at administrere disse nøgler ved hjælp af Microsoft Certification-butikken, og det er derfor ikke nødvendigt at gemme de private nøglefiler på disken.
- Lokal signeringsmetode kan bruges til at signere SCE-pakker til DCSBC.
- Jeg vil installere og konfigurere min Dell Command I Configure med Dell Command Secure BIOS-konfigurationsserveren på en virtuel maskine. Hvad skal jeg gøre?
- Du kan bruge en virtuel maskine til at konfigurere DCC med DCSBC-serveren. På DCC-platformen med DCSBC-serveren kan du oprette selvstændige eksekverbare filer til både klargørings- og BIOS-konfigurationsopgaver. Denne opsætning sikrer, at du kan administrere og sikre BIOS-konfigurationer, selv i et virtuelt miljø.
해당 제품
Dell Command | Configure문서 속성
문서 번호: 000227845
문서 유형: How To
마지막 수정 시간: 15 11월 2024
버전: 2
다른 Dell 사용자에게 질문에 대한 답변 찾기
지원 서비스
디바이스에 지원 서비스가 적용되는지 확인하십시오.