Підтримка конфігурації Dell Command Secure BIOS з Dell Command Configure
Podsumowanie: У цій статті наведено детальну інформацію про конфігурацію Dell Command I Secure BIOS (DCSBC) і про те, як використовувати її з Dell Command I Configure (DCC) для досягнення автентифікації на основі сертифіката для конфігурації BIOS. ...
Instrukcje
Продукти, на які вплинули:
- Команда Dell | Безпечна конфігурація BIOS
- Команда Dell | Настроїти
Зміст:
- Введення:
- Команда Dell | Безпечна архітектура конфігурації BIOS в DCC
- Команда Dell | Налаштуйте реалізацію
- Передумови для використання методу підпису HSM для робочих процесів конфігурації захищеного BIOS команди Dell
- ПОШИРЕНІ ЗАПИТАННЯ
Введення:
Інтерфейси керування покладаються на відкриті інтерфейси або команди, автентифіковані паролем. Автентифікація за допомогою пароля вразлива до брутфорсу або атаки за словником, тому менш безпечна порівняно з автентифікацією на основі ключа. Потрібен краще аутентифікований інтерфейс керування, щоб забезпечити цілісність і захист конфіденційності даних і команд. Більш безпечний інтерфейс також дозволяє будувати інші технології на захищеному інтерфейсі, такі як управління паролями, дзеркальне відображення конфігурації платформи, заводські інструменти, наприклад. DCSBC – це підхід до відмови від аутентифікації команд DACI за допомогою паролів BIOS. DCSBC забезпечує довірчий зв'язок шляхом створення інтерфейсу, який використовує механізми аутентифікації PKI та зашифровані канали для передачі повідомлень між платформою та клієнтом. Такий підхід також забезпечує як цілісність, так і конфіденційність для захисту даних клієнтів.
Команда Dell | Безпечна архітектура конфігурації BIOS в DCC
LEGEND: DCC — Dell Command Configure CLI - DCC Client (Pipeline) DHE — Ephemeral Diffie-Hellman OTB - On the Box SCE - Self Contained Executable Console — MECM, Intune, WorkspaceONE
Рішення полягає в створенні інтерфейсу, який використовує механізми аутентифікації PKI та зашифровані канали для передачі повідомлень між платформою та клієнтом.
Посилання на команди на основі сеансу на обмін ключами типу Diffie-HeIIman.
Захист від повторного відтворення частково досягається за допомогою послідовності одноразових випадкових чисел (nonce), прикріплених до повідомлень DCSBC.
Використання нонцесів дозволяє одержувачу повідомлення гарантувати, що повідомлення є унікальним, тобто не використовується повторно, і що послідовність дій зберігається. Це особливо актуально для команд на основі сеансу. Кожна транзакція передбачає, що Клієнт генерує новий nonce і ділиться значенням nonce з одержувачем у відкритому вигляді, а також хешує значення nonce у повідомленні, або як частину підпису, або як код автентифікації повідомлення.
У рамках цього DCSBC з DCC дотримуються моделі «сервер-клієнт», де сервер DCSBC може використовуватися для створення автономних виконуваних файлів для різних робочих процесів. Ці самодостатні виконувані файли (SCE) потім можна розгорнути на кінцевих точках, керованих ІТ, за допомогою інструментів конфігурації, таких як SCCM/Microsoft Intune.
Користувачеві не потрібно встановлювати DCC на клієнтських/кінцевих точках. Після того, як SCE запускається на кінцевій точці, він надсилає запити до сервера DCSBC для отримання корисного навантаження для конфігурацій BIOS і виконує ці операції в BIOS кінцевої точки.
Використовуючи цей потік, досягається політика нульової довіри (на клієнт/кінцева точка), і довіра існує лише між BIOS і сервером DCSBC.
Команда Dell | Налаштуйте реалізацію
У DCC SCE для DCSBC створюється для робочого процесу ініціалізації та робочого процесу конфігурації BIOS. Операції робочого процесу класифікуються на основі операцій ініціалізації та операцій конфігурації BIOS:
- Робочий процес ініціалізації – дозволяє користувачам створювати сертифікат ініціалізації для автентифікації безпечного з'єднання з клієнтом для ініціалізації. Додавання, видалення або очищення ключів ініціалізації та підписання пакета SCE, який є частиною робочого процесу.
- Робочий процес конфігурації BIOS – цей потік дозволяє користувачам створювати сертифікат команди для налаштування параметрів BIOS у клієнті за допомогою ініціалізації. Вибір конфігурацій BIOS та підписання пакета SCE конфігурації BIOS, який є частиною робочого процесу.
Для досягнення наведених вище робочих процесів існує два типи ключових елементів керування, визначені в DCC:
- Ключ ініціалізації — Цей ключ/сертифікат можна використовувати для підписування корисних навантажень для робочого процесу підготовки, де ви хочете Додати (надати) нові ключі / Видалити існуючі ключі / Очистити всі виділені ключі.
- Командна клавіша — цей ключ/сертифікат можна використовувати для підписування корисних навантажень для потоку змін конфігурації BIOS.
- У будь-якому випадку на клієнтському комп'ютері може бути доданий або виділений лише один ключ ініціалізації
- Сім командних клавіш можна додавати/ініціювати на клієнтській машині в будь-якому конкретному випадку.
- Видалення робочого процесу ініціалізації застосовується лише до клавіш Command. Щоб видалити ключ ініціалізації з клієнта, виберіть параметр Очистити робочий процес ініціалізації.
Встановлення та налаштування сервера конфігурації Dell Command Secure BIOS з DCC
Для отримання детальної інформації про те, як встановити та налаштувати DCSBC за допомогою DCC, зверніться до Посібника з інсталяції DCC 5.0 Встановлення команди Dell | > Налаштування 5.0 для конфігурації Dell Command Secure BIOS (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Налаштування сервера конфігурації Dell Command Secure BIOS за допомогою HTTPS
Налаштування сервера конфігурації Dell Command Secure BIOS з HTTPS Детальну інформацію про те, як налаштувати сервер DCSBC за допомогою https, можна знайти в Посібнику з інсталяції DCC 5.0Налаштування сервера конфігурації Dell Command Secure BIOS за допомогою HTTPS тут:> (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Створення автономних виконуваних файлів для робочих процесів DCSBC на сервері DCSBC за допомогою інтерфейсу DCC UI
Детальну інформацію про те, як створювати SCE для забезпечення сертифікатів конфігурації DCSBC, можна знайти в Посібнику >користувача DCCВиконайте підготовку для сертифікатів конфігурації Dell Command Secure BIOS тут: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Налаштуйте параметри BIOS за допомогою Dell Command Secure BIOS Configuration:
Детальну інформацію про те, як створювати SCE для налаштування параметрів BIOS за допомогою DCSBC, можна знайти в Посібнику> користувача DCC Експорт SCE для автентифікації BIOS на основі сертифіката тут: (https://www.dell.com/support/home/product-support/product/command-configure/docs)
Передумови для використання методу підпису HSM для робочих процесів конфігурації захищеного BIOS команди Dell
DCSBC з DCC дає змогу використовувати будь-якого постачальника HSM для підписання корисних навантажень DCSBC. Однак для використання цього методу підпису корисних навантажень DCC потрібно виконати кілька передумов, які перелічені нижче:
- Dell Technologies рекомендує OpenSSL як інструмент підпису з відкритим вихідним кодом, який можна використовувати разом із постачальником HSM, якого ви налаштували у своєму середовищі, щоб дозволити DCC використовувати підписи, згенеровані за допомогою методу підпису HSM.
- Залежно від постачальника HSM, який ви використовуєте, оновіть файл HSMSigning.bat, який знаходиться в такому розташуванні: C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat
У цьому файлі оновіть команду генерації підпису в рядку 12, яка сумісна з вашими налаштуваннями HSM. За замовчуванням використовується команда:
"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1
Надана тут команда має гарантувати, що підпис має бути створено за тим самим шляхом, який вказано у типовій команді, включно з назвою файла, який буде встановлено як blobsignature.txt.
Крім того, переконайтеся, що ви не змінюєте останній параметр (наприклад, «%1») у цій команді, оскільки він дозволяє команді підпису приймати файл корисного навантаження для підписання, який DCC генерує під час виконання.
ПОШИРЕНІ ЗАПИТАННЯ
- Я хочу використовувати DCC для виконання конфігурації BIOS за допомогою аутентифікації за допомогою пароля BIOS. Що робити?
- DCC може генерувати пакети SCE для конфігурацій BIOS за допомогою автентифікації на основі пароля BIOS. Інтерфейс DCC підтримує потік керування створенням пакетів SCE з автентифікацією на основі пароля BIOS.
- У мене не налаштовано постачальника послуг HSM на моєму сервері конфігурації Dell Command Secure BIOS. Як вирішити цю проблему?
- Локальний метод підпису може бути використаний для підписання пакетів SCE для DCSBC.
Примітка: Цей метод використовує локально згенеровані приватні ключі для підпису пакетів SCE. Щоб захистити приватні ключі, DCC пропонує можливість керувати цими ключами за допомогою магазину Microsoft Certification, тому немає необхідності зберігати файли приватних ключів на диску.
- Локальний метод підпису може бути використаний для підписання пакетів SCE для DCSBC.
- Я хочу встановити та налаштувати свій сервер конфігурації Dell Command I Configuration за допомогою Dell Command Secure BIOS на віртуальній машині. Що робити?
- Ви можете використовувати віртуальну машину для налаштування DCC із сервером DCSBC. На платформі DCC із сервером DCSBC можна створювати автономні виконувані файли як для завдань ініціалізації, так і для завдань конфігурації BIOS. Ця настройка гарантує, що ви можете керувати конфігураціями BIOS і захищати їх навіть у віртуальному середовищі.