Soporte de configuración segura del BIOS de Dell Command con Dell Command Configure

Productos afectados:

• Dell Command | Configuración segura del BIOS
• Dell Command | Configure

Índice:

• Introducción:
• Dell Command | Arquitectura de configuración segura del BIOS en DCC
• Implementación de Dell Command | Configure
  • Instalación y configuración del servidor de configuración segura del BIOS de Dell Command con DCC
  • Configuración del servidor de configuración segura del BIOS de Dell Command con HTTPS
  • Creación de ejecutables autocontenidos para flujos de trabajo de DCSBC en el servidor DCSBC mediante la interfaz de usuario de DCC
• Requisitos previos para utilizar el método de firma HSM para los flujos de trabajo de configuración segura del BIOS de Dell Command
• Preguntas más frecuentes

Introducción:

Las interfaces de gestionabilidad dependen de interfaces abiertas o comandos autenticados por contraseña. La autenticación por contraseña es vulnerable a ataques de fuerza bruta o de diccionario, por lo que es menos segura en comparación con la autenticación basada en claves. Se necesita una interfaz de gestionabilidad mejor autenticada para proporcionar protecciones de integridad y confidencialidad de los datos y los comandos. Una interfaz más segura también permite que otras tecnologías se basen en la interfaz protegida, como la administración de contraseñas, la creación de reflejo de la configuración de la plataforma o las herramientas de fábrica, por ejemplo. DCSBC es un enfoque para abandonar la autenticación de comandos DACI con contraseñas del BIOS. DCSBC proporciona una comunicación de confianza mediante la creación de una interfaz que utiliza mecanismos de autenticación PKI y canales cifrados para transmitir mensajes entre la plataforma y un cliente. Este enfoque también proporciona integridad y confidencialidad para proteger los datos de los clientes.

Volver al principio

Dell Command | Arquitectura de configuración segura del BIOS en DCC

LEGEND: 
DCC — Dell Command Configure
CLI - DCC Client (Pipeline)
DHE — Ephemeral Diffie-Hellman
OTB - On the Box
SCE - Self Contained Executable
Console — MECM, Intune, WorkspaceONE

La solución es crear una interfaz que utilice mecanismos de autenticación PKI y canales cifrados para transmitir mensajes entre la plataforma y un cliente.

Referencias de comandos basados en sesiones para el intercambio de claves de tipo Diffie-HeIIman.

La protección de reproducción se logra en parte mediante el uso de una secuencia de números aleatorios de un solo uso (nonce) conectados a los mensajes de DCSBC.

El uso de nonces permite al receptor del mensaje asegurarse de que el mensaje es único, por lo que no se reutiliza, y que se mantiene la secuencia de operación. Esto es especialmente cierto para los comandos basados en sesión. Cada transacción implica que el cliente genere un nuevo nonce y comparta el valor nonce con el receptor sin codificar, y utilice la función hash con el valor nonce dentro del mensaje, ya sea como parte de la firma o de un código de autenticación del mensaje.

Como parte de esto, DCSBC con DCC sigue un modelo de servidor-cliente, en el que el servidor DCSBC se puede utilizar para crear archivos ejecutables autocontenidos para diferentes flujos de trabajo. Estos archivos ejecutables autocontenidos (SCE) se pueden implementar en terminales administrados por TI mediante herramientas de configuración como SCCM/Microsoft Intune.

No es necesario que el usuario instale DCC en los clientes/terminales. Una vez que el SCE se ejecuta en el terminal, realiza solicitudes al servidor DCSBC para obtener cargas útiles para las configuraciones del BIOS y realiza esas operaciones en el BIOS del terminal.

Con este flujo, se logra la política de confianza cero (en el cliente/terminal), y la confianza solo existe entre el BIOS y el servidor DCSBC.

Volver al principio

Implementación de Dell Command | Configure

En DCC, el SCE para DCSBC se crea para el flujo de trabajo de aprovisionamiento y el flujo de trabajo de configuración del BIOS. Las operaciones de flujo de trabajo se clasifican en función de las operaciones de aprovisionamiento y las operaciones de configuración del BIOS:

• Flujo de trabajo de aprovisionamiento: permite a los usuarios crear un certificado de aprovisionamiento para autenticar la conectividad segura con el cliente para el aprovisionamiento. También permite agregar, eliminar o borrar claves de aprovisionamiento y firmar el paquete SCE, que es parte del flujo de trabajo.
• Flujo de trabajo de configuración del BIOS: este flujo permite a los usuarios crear un certificado de comando para configurar los ajustes del BIOS en el cliente mediante el aprovisionamiento. Permite seleccionar las configuraciones del BIOS y firmar el paquete SCE de configuración del BIOS, que forma parte del flujo de trabajo.

Para lograr los flujos de trabajo anteriores, hay dos tipos de controles clave definidos en DCC:

• Clave de aprovisionamiento: esta clave/certificado se puede utilizar para firmar cargas útiles para el flujo de trabajo de aprovisionamiento donde desea agregar (aprovisionar) claves nuevas, eliminar claves existentes o borrar todas las claves aprovisionadas.
• Clave de comando: esta clave/certificado se puede utilizar para firmar cargas útiles para el flujo de cambio en la configuración del BIOS.

Volver al principio

Instalación y configuración del servidor de configuración segura del BIOS de Dell Command con DCC

Para obtener detalles sobre cómo instalar y configurar DCSBC con DCC, consulte la Guía de instalación de DCC 5.0 > Instalación de Dell Command | Configure 5.0 para la configuración segura del BIOS de Dell Command (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Volver al principio

Configuración del servidor de configuración segura del BIOS de Dell Command con HTTPS

Configuración del servidor de configuración segura del BIOS de Dell Command con HTTPS Para obtener detalles sobre cómo configurar el servidor DCSBC con HTTPS, consulte la Guía de instalación de DCC 5.0 > Configuración del servidor de configuración segura del BIOS de Dell Command mediante HTTPS aquí: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Volver al principio

Creación de ejecutables autocontenidos para flujos de trabajo de DCSBC en el servidor DCSBC mediante la interfaz de usuario de DCC

Para obtener detalles sobre cómo crear SCE a fin de realizar el aprovisionamiento para certificados de configuración de DCSBC, consulte la Guía del usuario de DCC > Realizar el aprovisionamiento para certificados de configuración segura del BIOS de Dell Command aquí: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Volver al principio

Configurar los ajustes del BIOS con la configuración segura del BIOS de Dell Command:

Para obtener detalles sobre cómo crear SCE para configurar los ajustes del BIOS con DCSBC, consulte la Guía del usuario de DCC > Exportar SCE para la autenticación del BIOS basada en certificados aquí: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Volver al principio

Requisitos previos para utilizar el método de firma HSM para los flujos de trabajo de configuración segura del BIOS de Dell Command

DCSBC con DCC le permite utilizar cualquier proveedor de HSM para firmar las cargas útiles de DCSBC. Sin embargo, para utilizar este método de firma de cargas útiles, DCC requiere que se cumplan algunos requisitos previos que se enumeran a continuación:

• Dell Technologies recomienda OpenSSL como la herramienta de firma de código abierto que se puede utilizar junto con el proveedor de HSM que haya configurado en su entorno para permitir que DCC utilice las firmas generadas a partir del método de firma de HSM.
• Según el proveedor de HSM que esté utilizando, actualice el archivo HSMSigning.bat presente en la siguiente ubicación C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat

En este archivo, actualice el comando de generación de firma en la línea 12 que sea compatible con la configuración de HSM. De manera predeterminada, el comando utilizado es:

"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1

El comando proporcionado aquí debe garantizar que la firma se genere en la misma ruta que se menciona en el comando predeterminado, incluido el nombre de archivo que se establecerá como blobsignature.txt.

Además, asegúrese de no modificar la última opción (por ejemplo, "%1") en este comando, ya que permite que el comando de firma acepte el archivo de carga útil que se va a firmar y que DCC genera durante el tiempo de ejecución.

Volver al principio

Preguntas más frecuentes

• Deseo utilizar DCC para realizar configuraciones del BIOS mediante la autenticación de contraseña del BIOS. ¿Qué debería hacer?
  • DCC puede generar paquetes SCE para las configuraciones del BIOS mediante la autenticación basada en contraseña del BIOS. La interfaz de usuario de DCC mantiene el flujo de control para crear paquetes SCE con autenticación basada en contraseña del BIOS.
• No tengo un proveedor de servicios HSM configurado en mi servidor de configuración segura del BIOS de Dell Command. ¿Cómo puedo resolver esto?
  • El método de firma local se puede utilizar a fin de firmar paquetes SCE para DCSBC.
    Nota: Este método utiliza claves privadas generadas localmente para firmar paquetes SCE. Para proteger las claves privadas, DCC ofrece la funcionalidad de administrar estas claves mediante el almacén de certificación de Microsoft y, por lo tanto, no es necesario guardar los archivos de claves privadas en el disco.
• Deseo instalar y configurar Dell Command I Configure con el servidor de configuración segura del BIOS de Dell Command en una máquina virtual. ¿Qué debería hacer?
  • Puede utilizar una máquina virtual para configurar DCC con el servidor DCSBC. En la plataforma DCC con el servidor DCSBC, puede crear archivos ejecutables autocontenidos para las tareas de aprovisionamiento y configuración del BIOS. Esta configuración garantiza que pueda administrar y proteger las configuraciones del BIOS, incluso en un entorno virtual.