Dell Command Secure BIOS-konfigurasjonsstøtte med Dell Command Configure

Podsumowanie: Denne artikkelen inneholder detaljer om Dell Command I Secure BIOS Configuration (DCSBC) og hvordan du bruker den med Dell Command I Configure (DCC) for å oppnå sertifikatbasert godkjenning for BIOS-konfigurasjon. ...

Ten artykuł dotyczy Ten artykuł nie dotyczy Ten artykuł nie jest powiązany z żadnym konkretnym produktem. Nie wszystkie wersje produktu zostały zidentyfikowane w tym artykule.
Sprawdź inne zasoby

Instrukcje

Berørte produkter:

  • Dell Command | Sikker BIOS-konfigurasjon
  • Dell Command | Configure

Innholdsfortegnelse:

Innledning:

Administrasjonsgrensesnitt er avhengige av åpne grensesnitt eller passordgodkjente kommandoer. Passordautentisering er sårbar for brute-force eller ordbokangrep, og dermed mindre sikker sammenlignet med nøkkelbasert autentisering. Et bedre godkjent administrasjonsgrensesnitt er nødvendig for å gi integritet og konfidensialitetsbeskyttelse av dataene og kommandoene. Et sikrere grensesnitt gjør det også mulig for andre teknologier å bygge videre på det beskyttede grensesnittet, for eksempel passordadministrasjon, plattformkonfigurasjonsspeiling, fabrikkverktøy. DCSBC er en tilnærming for å gå bort fra å godkjenne DACI-kommandoer med BIOS-passord. DCSBC gir en klarert kommunikasjon ved å opprette et grensesnitt som bruker PKI-autentiseringsmekanismer og krypterte kanaler for å sende meldinger mellom plattformen og en klient. Denne tilnærmingen gir også både integritet og konfidensialitet for å beskytte kundedata.

Tilbake til toppen

Dell Command | Sikker BIOS-konfigurasjonsarkitektur i DCC

Dell Command | Sikker BIOS-konfigurasjonsarkitektur i DCC

LEGEND: 
DCC — Dell Command Configure
CLI - DCC Client (Pipeline)
DHE — Ephemeral Diffie-Hellman
OTB - On the Box
SCE - Self Contained Executable
Console — MECM, Intune, WorkspaceONE

Løsningen er å lage et grensesnitt som bruker PKI-autentiseringsmekanismer, og krypterte kanaler for å sende meldinger mellom plattformen og en klient.

Session-baserte kommandoreferanser til Diffie-HeIIman type nøkkelutveksling.

Replay-beskyttelse oppnås delvis ved å bruke en sekvens av tilfeldige tall til engangsbruk (nonce) knyttet til DCSBC-meldingene.

Bruk av nonces tillater mottakeren av meldingen å sikre at meldingen er unik, og dermed ikke gjenbrukt, og at operasjonssekvensen opprettholdes. Dette gjelder spesielt for øktbaserte kommandoer. Hver transaksjon innebærer at klienten genererer en ny nonce og deler nonce-verdien med mottakeren i det klare, og hasher nonce-verdien i meldingen, enten som en del av signaturen eller en meldingsautentiseringskode.

Som en del av dette følger DCSBC med DCC en server-klientmodell, der DCSBC-serveren kan brukes til å lage selvstendige kjørbare filer for forskjellige arbeidsflyter. Disse selvstendige kjørbare filene (SCE-ene) kan deretter distribueres til IT-administrerte endepunkter ved hjelp av konfigurasjonsverktøy som SCCM/Microsoft Intune.

Det er ikke nødvendig for brukeren å installere DCC på klientene/endepunktene. Når SCE er kjørt på endepunktet, legger den forespørsler til DCSBC-serveren om å få nyttelast for BIOS-konfigurasjoner og utfører disse operasjonene på endepunkt-BIOS.

Ved hjelp av denne flyten oppnås policyen for nulltillit (på klient/endepunkt), og klareringen eksisterer bare mellom BIOS og DCSBC-serveren.

Tilbake til toppen

Dell Command | Konfigurer implementering

I DCC opprettes SCE for DCSBC for klargjøringsarbeidsflyten og BIOS-konfigurasjonsarbeidsflyten. Arbeidsflytoperasjoner klassifiseres basert på klargjøringsoperasjoner og BIOS-konfigurasjonsoperasjoner:

  • Arbeidsflyt for klargjøring – Brukere kan opprette klargjøringssertifikat for å godkjenne sikker tilkobling med klienten for klargjøring. Legge til, slette eller fjerne klargjøringsnøkler og signere SCE-pakken, som er en del av arbeidsflyten.
  • Arbeidsflyt for BIOS-konfigurasjon – denne flyten gjør det mulig for brukerne å opprette et kommandosertifikat for å konfigurere BIOS-innstillinger i klienten ved hjelp av klargjøring. Velge BIOS-konfigurasjoner og signere BIOS-konfigurasjons-SCE-pakken, som er en del av arbeidsflyten.

For å oppnå arbeidsflytene ovenfor er det to typer nøkkelkontroller definert i DCC:

  • Klargjøringsnøkkel – Denne nøkkelen/sertifikatet kan brukes til å signere nyttelast for klargjøringsarbeidsflyten der du vil Legg til(klargjør) nye nøkler/ Slett eksisterende nøkler/ Fjern alle klargjorte nøkler.
  • Kommandotast – denne nøkkelen/sertifikatet kan brukes til å signere nyttelast for flyten for endring av BIOS-konfigurasjon.
Merk:
  • I alle tilfeller kan bare én klargjøringsnøkkel legges til eller klargjøres på klientmaskinen
  • Sju kommandonøkler kan legges til/klargjøres på en klientmaskin når som helst.
  • Sletting av klargjøringsarbeidsflyt gjelder bare for kommandotastene. Hvis du vil fjerne en klargjøringsnøkkel fra klienten, velger du alternativet Fjern arbeidsflyt for klargjøring.

Tilbake til toppen

Installere og sette opp Dell Command Secure BIOS Configuration Server med DCC

Hvis du vil ha mer informasjon om hvordan du installerer og konfigurerer DCSBC med DCC, kan du se installasjonsveiledningen > for DCC 5.0Installere Dell Command | Konfigurer 5.0 for Dell Command Secure BIOS-konfigurasjon (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Tilbake til toppen

Konfigurere Dell Command Secure BIOS-konfigurasjonsserveren med HTTPS

Konfigurere Dell Command Secure BIOS-konfigurasjonsserveren med HTTPS Du finner mer informasjon om hvordan du konfigurerer DCSBC-serveren med https i installasjonsveiledningen > for DCC 5.0Konfigurere Dell Command Secure BIOS-konfigurasjonsserveren ved hjelp av HTTPS her: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Tilbake til toppen

Opprette selvstendige kjørbare filer for DCSBC-arbeidsflyter på DCSBC-serveren ved hjelp av DCC-grensesnittet

Hvis du vil ha mer informasjon om hvordan du oppretter SCE-er for å utføre klargjøring for DCSBC-konfigurasjonssertifikater, kan du se i brukerveiledningen> for DCC Utfør provisjonering for Dell Command Secure BIOS-konfigurasjonssertifikater her: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Tilbake til toppen

Konfigurering av BIOS-innstillinger med Dell Command Secure BIOS-konfigurasjon:

Hvis du vil ha mer informasjon om hvordan du oppretter SCE-er for å konfigurere BIOS-innstillinger med DCSBC, kan du se i DCC-brukerveiledningen>Eksportere SCE for sertifikatbasert BIOS-godkjenning her: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Tilbake til toppen

Forutsetninger for å bruke HSM-signeringsmetoden for Dell Command Secure BIOS-konfigurasjonsarbeidsflyter

DCSBC med DCC lar deg bruke en hvilken som helst HSM-leverandør til å signere DCSBC-nyttelastene. For å bruke denne metoden for å signere nyttelast krever DCC imidlertid noen forutsetninger som skal oppfylles som er oppført nedenfor:

  • Dell Technologies anbefaler OpenSSL som signeringsverktøy med åpen kildekode som kan brukes sammen med HSM-leverandøren du har konfigurert i miljøet ditt, for å tillate DCC å bruke signaturer generert fra HSM-signeringsmetoden.
  • Basert på HSM-leverandøren du bruker, oppdaterer du den HSMSigning.bat filen på følgende plassering: C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat

I denne filen oppdaterer du signaturgenereringskommandoen på linje 12 som er kompatibel med HSM-oppsettet. Som standard er kommandoen som brukes:

"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1

Den angitte kommandoen her skal sørge for at signaturen skal genereres til samme bane som nevnt i standardkommandoen, inkludert filnavnet som skal angis som blobsignature.txt.

Pass på at du ikke endrer det siste alternativet (for eksempel "%1") i denne kommandoen, da det gjør at signaturkommandoen godtar nyttelastfilen som skal signeres, noe DCC genererer under kjøretid.

Tilbake til toppen

Vanlige spørsmål

  • Jeg vil bruke DCC til å utføre BIOS-konfigurasjoner ved hjelp av BIOS-passordgodkjenning. Hva bør jeg gjøre?
    • DCC kan generere SCE-pakker for BIOS-konfigurasjoner ved hjelp av passordbasert BIOS-godkjenning. DCC-grensesnittet opprettholder kontrollflyten for oppretting av SCE-pakker med passordbasert BIOS-godkjenning.
  • Jeg har ikke satt opp en HSM-tjenesteleverandør på serveren for Dell Command Secure BIOS-konfigurasjon. Hvordan kan jeg løse dette?
    • Lokal signeringsmetode kan brukes til å signere SCE-pakker for DCSBC.
      Merk: Denne metoden bruker lokalt genererte private nøkler til å signere SCE-pakker. For å sikre de private nøklene tilbyr DCC muligheten til å administrere disse nøklene ved hjelp av Microsofts sertifiseringslager, og det er derfor ikke nødvendig å lagre de private nøkkelfilene på disken.
  • Jeg vil installere og konfigurere min Dell Command I Configure med Dell Command Secure BIOS Configuration Server på en virtuell maskin. Hva bør jeg gjøre?
    • Du kan bruke en virtuell maskin til å konfigurere DCC med DCSBC-serveren. På DCC-plattformen med DCSBC-serveren kan du opprette selvstendige kjørbare filer for både klargjørings- og BIOS-konfigurasjonsoppgaver. Dette oppsettet sikrer at du kan administrere og sikre BIOS-konfigurasjoner, selv i et virtuelt miljø.

Produkty, których dotyczy problem

Dell Command | Configure
Właściwości artykułu
Numer artykułu: 000227845
Typ artykułu: How To
Ostatnia modyfikacja: 15 lis 2024
Wersja:  2
Znajdź odpowiedzi na swoje pytania u innych użytkowników produktów Dell
Usługi pomocy technicznej
Sprawdź, czy Twoje urządzenie jest objęte usługą pomocy technicznej.