Dell Command Secure BIOS Configuration mit Dell Command Configure

Betroffene Produkte:

• Dell Command | Secure BIOS Configuration
• Dell Command | Configure

Inhaltsverzeichnis:

• Einführung:
• Dell Command | Secure BIOS Configuration-Architektur in DCC
• Implementierung von Dell Command | Configure
  • Installieren und Einrichten des Dell Command Secure BIOS Configuration-Servers mit DCC
  • Konfigurieren des Dell Command Secure BIOS Configuration-Servers mit HTTPS
  • Erstellen eigenständiger ausführbarer Dateien für DCSBC-Workflows auf dem DCSBC-Server über die DCC-Benutzeroberfläche
• Voraussetzungen für die Verwendung der HSM-Signaturmethode für Dell Command Secure BIOS Configuration-Workflows
• FAQs

Einführung:

Verwaltbarkeitsschnittstellen verwenden offene Schnittstellen oder kennwortauthentifizierte Befehle. Die Kennwortauthentifizierung ist jedoch anfällig für Brute-Force- oder Wörterbuchangriffe und daher im Vergleich zur schlüsselbasierten Authentifizierung weniger sicher. Deshalb ist eine besser authentifizierte Verwaltbarkeitsschnittstelle erforderlich, um die Integrität und Vertraulichkeit von Daten und Befehlen zu schützen. Eine sicherere Schnittstelle ermöglicht es auch anderen Technologien, auf der geschützten Schnittstelle aufzubauen, z. B. das Kennwortmanagement, die Plattformkonfigurationsspiegelung und Werkstools. DCSBC ist ein Ansatz, um von der Authentifizierung von DACI-Befehlen mit BIOS-Kennwörtern wegzukommen. DCSBC bietet durch das Erstellen einer Schnittstelle, die PKI-Authentifizierungsmechanismen und verschlüsselte Kanäle verwendet, eine vertrauenswürdige Kommunikationsmöglichkeit, um Nachrichten zwischen der Plattform und einem Client zu übertragen. Dieser Ansatz bietet auch Integrität und Vertraulichkeit für den Schutz von Kundendaten.

Zurück zum Anfang

Dell Command | Secure BIOS Configuration-Architektur in DCC

LEGEND: 
DCC — Dell Command Configure
CLI - DCC Client (Pipeline)
DHE — Ephemeral Diffie-Hellman
OTB - On the Box
SCE - Self Contained Executable
Console — MECM, Intune, WorkspaceONE

Die Lösung besteht darin, eine Schnittstelle zu erstellen, die PKI-Authentifizierungsmechanismen und verschlüsselte Kanäle verwendet, um Nachrichten zwischen der Plattform und einem Client zu übermitteln.

Die sitzungsbasierten Befehle verwenden einen Schlüsselaustausch vom Typ Diffie-HeIIman.

Der Replay-Schutz wird teilweise durch die Verwendung einer Sequenz aus einmaligen Zufallszahlen (Nonce) erreicht, die an die DCSBC-Nachrichten angehängt wird.

Durch die Verwendung von Noncen kann der Empfänger der Nachricht sicherstellen, dass die Nachricht einmalig ist, also nicht wiederverwendet wurde, und dass die Reihenfolge der Operationen beibehalten wird. Dies gilt insbesondere für sitzungsbasierte Befehle. Bei jeder Transaktion erzeugt der Client eine neue Nonce und teilt den Nonce-Wert im Klartext mit dem Empfänger, hasht den Nonce-Wert jedoch in der Nachricht, entweder als Teil der Signatur oder als Authentifizierungscode für die Nachricht.

In diesem Zusammenhang folgt DCSBC mit DCC einem Server-Client-Modell, bei dem der DCSBC-Server verwendet werden kann, um eigenständige ausführbare Dateien für verschiedene Workflows zu erstellen. Diese eigenständigen ausführbaren Dateien (Self-Contained Executables, SCEs) können dann mithilfe von Konfigurationstools wie SCCM/Microsoft Intune auf IT-verwalteten Endpunkten bereitgestellt werden.

NutzerInnen müssen DCC nicht auf den Clients/Endpunkten installieren. Sobald die SCE auf dem Endpunkt ausgeführt wird, stellt sie Anfragen an den DCSBC-Server, um Payloads für die BIOS-Konfigurationen zu erhalten, und führt diese Vorgänge dann auf dem Endpunkt-BIOS aus.

Mit diesem Ablauf wird eine Zero-Trust-Policy (auf Client/Endpunkt) erreicht und die Vertrauensstellung besteht ausschließlich zwischen dem BIOS und dem DCSBC-Server.

Zurück zum Anfang

Implementierung von Dell Command | Configure

In DCC wird die SCE für DCSBC für den Bereitstellungs-Workflow und den BIOS-Konfigurations-Workflow erstellt. Die Workflow-Vorgänge werden basierend auf den Bereitstellungsvorgängen und den BIOS-Konfigurationsvorgängen klassifiziert:

• Bereitstellungs-Workflow – Damit können NutzerInnen ein Bereitstellungszertifikat erstellen, um eine sichere Verbindung mit dem Client für die Bereitstellung zu authentifizieren. Mit diesem Workflow können Bereitstellungsschlüssel hinzugefügt, gelöscht oder entfernt und SCE-Pakete signiert werden.
• BIOS-Konfigurations-Workflow – Dieser Workflow ermöglicht NutzerInnen das Erstellen eines Befehlszertifikats, um BIOS-Einstellungen auf dem Client mithilfe der Bereitstellung zu konfigurieren. Mit diesem Workflow können BIOS-Konfigurationen ausgewählt und SCE-Pakete für BIOS-Konfigurationen signiert werden.

Für die oben genannten Workflows gibt es zwei Arten von Schlüsselsteuerelementen in DCC:

• Bereitstellungsschlüssel – Dieser Schlüssel/dieses Zertifikat kann verwendet werden, um Payloads für den Bereitstellungs-Workflow zu signieren, wobei Sie neue Schlüssel hinzufügen (bereitstellen)/vorhandene Schlüssel löschen/alle bereitgestellten Schlüssel entfernen können.
• Befehlsschlüssel – Dieser Schlüssel/dieses Zertifikat kann verwendet werden, um Payloads für den Workflow der BIOS-Konfigurationsänderung zu signieren.

Zurück zum Anfang

Installieren und Einrichten des Dell Command Secure BIOS Configuration-Servers mit DCC

Weitere Informationen zur Installation und Konfiguration von DCSBC mit DCC finden Sie im DCC-5.0-Installationshandbuch > Installieren von Dell Command | Configure 5.0 für Dell Command Secure BIOS Configuration (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Zurück zum Anfang

Konfigurieren des Dell Command Secure BIOS Configuration-Servers mit HTTPS

Konfigurieren des Dell Command Secure BIOS Configuration-Servers mit HTTPS Weitere Informationen zur Konfiguration des DCSBC-Servers mit HTTPS finden Sie im DCC-5.0-Installationshandbuch > Konfigurieren des Dell Command Secure BIOS Configuration-Servers mit HTTPS: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Zurück zum Anfang

Erstellen eigenständiger ausführbarer Dateien für DCSBC-Workflows auf dem DCSBC-Server über die DCC-Benutzeroberfläche

Weitere Informationen zum Erstellen von SCEs für die Bereitstellung von DCSBC-Zertifikaten finden Sie im DCC-Benutzerhandbuch > Bereitstellen von Dell Command Secure BIOS Configuration-Zertifikaten: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Zurück zum Anfang

Konfigurieren der BIOS-Einstellungen mit Dell Command Secure BIOS Configuration:

Weitere Informationen zum Erstellen von SCEs für das Konfigurieren von BIOS-Einstellungen mit DCSBC finden Sie im DCC-Benutzerhandbuch > Exportieren von SCEs für zertifikatbasierte BIOS-Authentifizierung: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Zurück zum Anfang

Voraussetzungen für die Verwendung der HSM-Signaturmethode für Dell Command Secure BIOS Configuration-Workflows

Mit DCSBC mit DCC können Sie einen beliebigen HSM-Anbieter zum Signieren der DCSBC-Payloads verwenden. Um diese Methode zum Signieren von Payloads verwenden zu können, müssen jedoch einige Voraussetzungen für DCC erfüllt sein, die im Folgenden aufgeführt sind:

• Dell Technologies empfiehlt OpenSSL als Open-Source-Signaturtool, das zusammen mit dem in Ihrer Umgebung eingerichteten HSM-Anbieter verwendet werden kann, damit DCC die über die HSM-Signaturmethode erzeugten Signaturen verwenden kann.
• Aktualisieren Sie basierend auf Ihrem verwendeten HSM-Anbieter die HSMSigning.bat-Datei an folgendem Speicherort: C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat.

Aktualisieren Sie in dieser Datei in Zeile 12 den Befehl zur Signaturerzeugung für Ihr HSM-Setup. Standardmäßig lautet der verwendete Befehl:

"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1

Der hier angegebene Befehl sollte sicherstellen, dass die Signatur unter dem gleichen Pfad erzeugt wird wie im Standardbefehl. Der Dateiname sollte mit blobsignature.txt festgelegt werden.

Stellen Sie außerdem sicher, dass die letzte Option (z. B. "%1") in diesem Befehl nicht geändert wird, da der Signaturbefehl so die zu signierende Payload-Datei akzeptieren kann, die DCC während der Laufzeit erzeugt.

Zurück zum Anfang

FAQs

• Ich möchte DCC verwenden, um BIOS-Konfigurationen mit BIOS-Kennwortauthentifizierung durchzuführen. Was soll ich tun?
  • DCC kann SCE-Pakete für BIOS-Konfigurationen mit BIOS-Kennwortauthentifizierung erzeugen. Der Steuerungsablauf für die Erstellung von SCE-Paketen mit BIOS-Kennwortauthentifizierung wird über die DCC-Benutzeroberfläche verwaltet.
• Ich habe keinen HSM-Serviceanbieter auf meinem Dell Command Secure BIOS Configuration-Server eingerichtet. Wie kann ich dieses Problem lösen?
  • Sie können die lokale Signaturmethode verwenden, um SCE-Pakete für DCSBC zu signieren.
    Hinweis: Diese Methode verwendet lokal erzeugte private Schlüssel, um SCE-Pakete zu signieren. Um die privaten Schlüssel zu sichern, bietet DCC die Möglichkeit, diese Schlüssel mithilfe des Microsoft Zertifizierungsspeichers zu verwalten, sodass private Schlüsseldateien nicht auf der Festplatte gespeichert werden müssen.
• Ich möchte Dell Command I Configure mit dem Dell Command Secure BIOS Configuration-Server auf einer virtuellen Maschine installieren und einrichten. Was soll ich tun?
  • Sie können eine virtuelle Maschine verwenden, um DCC mit dem DCSBC-Server einzurichten. Auf der DCC-Plattform mit dem DCSBC-Server können Sie eigenständige ausführbare Dateien sowohl für Bereitstellungs- als auch für BIOS-Konfigurationsaufgaben erstellen. Dieses Setup stellt sicher, dass Sie BIOS-Konfigurationen auch in einer virtuellen Umgebung verwalten und sichern können.