Obsługa Dell Command Secure BIOS Configuration z aplikacją Dell Command Configure

Dotyczy produktów:

• Dell Command | Secure BIOS Configuration
• Dell Command | Configure

Spis treści:

• Wprowadzenie:
• Architektura Dell Command | Secure BIOS Configuration w DCC
• Wdrożenie Dell Command | Configure
  • Instalowanie i konfigurowanie Dell Command Secure BIOS Configuration z DCC
  • Konfigurowanie serwera Dell Command Secure BIOS Configuration za pomocą HTTPS
  • Tworzenie samodzielnych plików wykonywalnych dla przepływów pracy DCSBC na serwerze DCSBC przy użyciu interfejsu użytkownika DCC
• Wymagania wstępne dotyczące korzystania z metody podpisywania HSM dla przepływów pracy Dell Command Secure BIOS Configuration
• Najczęściej zadawane pytania

Wprowadzenie:

Interfejsy zarządzania opierają się na otwartych interfejsach lub poleceniach uwierzytelnianych hasłem. Uwierzytelnianie hasłem jest podatne na ataki typu brute-force lub słownikowe, dlatego jest mniej bezpieczne w porównaniu z uwierzytelnianiem opartym na kluczach. Potrzebny jest lepiej uwierzytelniony interfejs zarządzania, który zapewnia integralność i poufność danych i poleceń. Bezpieczniejszy interfejs umożliwia również tworzenie innych technologii na chronionym interfejsie, takich jak na przykład zarządzanie hasłami, dublowanie konfiguracji platformy, narzędzia fabryczne. DCSBC to metoda odejścia od uwierzytelniania poleceń DACI za pomocą haseł systemu BIOS. DCSBC zapewnia zaufaną komunikację, tworząc interfejs, który używa mechanizmów uwierzytelniania PKI i szyfrowanych kanałów do przekazywania komunikatów między platformą a klientem. Takie podejście zapewnia również zarówno integralność, jak i poufność w celu ochrony danych klienta.

Powrót do góry

Architektura Dell Command | Secure BIOS Configuration w DCC

LEGEND: 
DCC — Dell Command Configure
CLI - DCC Client (Pipeline)
DHE — Ephemeral Diffie-Hellman
OTB - On the Box
SCE - Self Contained Executable
Console — MECM, Intune, WorkspaceONE

Rozwiązaniem jest stworzenie interfejsu, który wykorzystuje mechanizmy uwierzytelniania PKI i szyfrowane kanały do przekazywania wiadomości między platformą a klientem.

Odwołania do poleceń opartych na sesjach do wymiany kluczy typu Diffie-HeIIman.

Ochrona przed powtórzeniami jest częściowo realizowana za pomocą sekwencji jednorazowych liczb losowych (nonce) dołączonych do komunikatów DCSBC.

Użycie nonce pozwala odbiorcy komunikatu zapewnić, że komunikat jest unikatowy, a więc nie jest ponownie używany, i że sekwencja operacji jest zachowana. Jest to szczególnie prawdziwe w przypadku poleceń opartych na sesjach. Każda transakcja polega na tym, że Klient generuje nową jednokrotność i udostępnia ją odbiorcy w postaci jawnej, a następnie haszuje wartość nonce w wiadomości, jako część podpisu lub kodu uwierzytelniającego wiadomość.

W związku z tym DCSBC z DCC działa zgodnie z modelem serwer-klient, w którym serwer DCSBC może być używany do tworzenia samodzielnych plików wykonywalnych dla różnych przepływów pracy. Te samodzielne pliki wykonywalne (SCE) można następnie wdrożyć w punktach końcowych zarządzanych przez dział IT przy użyciu narzędzi konfiguracyjnych, takich jak SCCM/Microsoft Intune.

Nie ma wymogu, aby użytkownik instalował aplikację DCC na klientach/punktach końcowych. Po uruchomieniu SCE na punkcie końcowym wysyła on żądania do serwera DCSBC w celu pobrania ładunków dla konfiguracji systemu BIOS i wykonuje te operacje w systemie BIOS punktu końcowego.

Korzystając z tego przepływu, osiąga się zasadę „zero trust” (na kliencie/punkcie końcowym), a zaufanie istnieje tylko między systemem BIOS a serwerem DCSBC.

Powrót do góry

Wdrożenie Dell Command | Configure

W DCC tworzony jest SCE dla DCSBC na potrzeby przepływu pracy przydzielania i konfiguracji systemu BIOS. Operacje przepływu pracy są klasyfikowane na podstawie operacji przydzielania i operacji konfiguracji systemu BIOS:

• Przepływ pracy przydzielania — umożliwia użytkownikom utworzenie certyfikatu inicjowania w celu uwierzytelniania bezpiecznej łączności z klientem w celu przydzielania. Dodawanie, usuwanie lub czyszczenie kluczy inicjowania oraz podpisywanie pakietu SCE, co jest częścią przepływu pracy.
• Przepływ pracy konfiguracji systemu BIOS — ten przepływ umożliwia użytkownikom utworzenie certyfikatu polecenia w celu skonfigurowania ustawień systemu BIOS na kliencie za pomocą procesu przydzielania. Wybranie konfiguracji systemu BIOS i podpisanie pakietu SCE konfiguracji systemu BIOS, który jest częścią przepływu pracy.

Aby wykonać powyższe przepływy pracy, w DCC zdefiniowano dwa typy kluczowych elementów sterujących:

• Klucz przydzielania — ten klucz/certyfikat może służyć do podpisywania obciążeń dla przepływu pracy przydzielania, w którym chcesz dodać (przydzielić) nowe klucze / usunąć istniejące klucze / wyczyścić wszystkie przydzielone klucze.
• Klucz polecenia — ten klucz/certyfikat może być używany do podpisywania obciążeń w procesie zmiany konfiguracji systemu BIOS.

Powrót do góry

Instalowanie i konfigurowanie Dell Command Secure BIOS Configuration z DCC

Szczegółowe informacje na temat instalowania i konfigurowania oprogramowania DCSBC z funkcją DCC można znaleźć w Podręczniku instalacji DCC 5.0 > Instalacja Dell Command | Configure 5.0 dla Dell Command Secure BIOS Configuration (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Powrót do góry

Konfigurowanie serwera Dell Command Secure BIOS Configuration za pomocą HTTPS

Konfigurowanie serwera Dell Command Secure BIOS Configuration przy użyciu protokołu HTTPS Szczegółowe informacje na temat konfigurowania serwera DCSBC za pomocą https można znaleźć w Podręczniku instalacji aplikacji DCC 5.0. > Konfigurowanie serwera Dell Command Secure BIOS Configuration przy użyciu protokołu HTTPS tutaj: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Powrót do góry

Tworzenie samodzielnych plików wykonywalnych dla przepływów pracy DCSBC na serwerze DCSBC przy użyciu interfejsu użytkownika DCC

Szczegółowe informacje na temat tworzenia SCE w celu przydzielania certyfikatów konfiguracji DCSBC można znaleźć w Podręczniku użytkownika DCC: > Wykonaj przydzielanie certyfikatów konfiguracji Dell Command Secure BIOS Configuration tutaj: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Powrót do góry

Konfiguracja ustawień systemu BIOS przy użyciu aplikacji Dell Command Secure BIOS Configuration:

Szczegółowe informacje na temat tworzenia SCE w celu skonfigurowania ustawień systemu BIOS przy użyciu DCSBC można znaleźć w podręczniku użytkownika aplikacji DCC: > Eksportowanie SCE w celu uwierzytelnienia systemu BIOS opartego na certyfikatach tutaj: (https://www.dell.com/support/home/product-support/product/command-configure/docs)

Powrót do góry

Wymagania wstępne dotyczące korzystania z metody podpisywania HSM dla przepływów pracy Dell Command Secure BIOS Configuration

Pakiet DCSBC z DCC umożliwia podpisywanie obciążeń DCSBC za pomocą dowolnego dostawcy HSM. Jednak korzystanie z tej metody podpisywania obciążeń DCC wymaga spełnienia kilku warunków wstępnych, które wymieniono poniżej:

• Firma Dell Technologies zaleca OpenSSL jako narzędzie podpisywania typu open source, którego można używać razem z dostawcą HSM skonfigurowanym w danym środowisku, aby umożliwić DCC korzystanie z podpisów wygenerowanych przy użyciu metody podpisywania HSM.
• W zależności od używanego dostawcy HSM zaktualizuj plik HSMSigning.bat znajdujący się w następującej lokalizacji C:\Program Files (x86)\DeII\Command Configure\X86 64\HSMSigning.bat

W tym pliku zaktualizuj polecenie generowania podpisu w wierszu 12, który jest zgodny z konfiguracją modułu HSM. Domyślnie używane polecenie to:

"%Openss1Path%\openss1.exe" dgst -sha256 -sign "%ObfuscatedKeyPath%\%PrivateKeyName%" -out "%outlocat%\blobsignature.txt" %1

Podane polecenie w tym miejscu powinno zapewnić, że podpis powinien zostać wygenerowany w tej samej ścieżce, co wymieniona w poleceniu domyślnym, w tym nazwa pliku, która ma zostać ustawiona jako blobsignature.txt.

Należy również uważać, aby nie modyfikować ostatniej opcji (na przykład „%1”) w tym poleceniu, ponieważ umożliwia ona poleceniu podpisu zaakceptowanie podpisania pliku obciążenia, które DCC generuje w czasie uruchomienia.

Powrót do góry

Najczęściej zadawane pytania

• Chcę użyć DCC do przeprowadzenia konfiguracji systemu BIOS przy użyciu uwierzytelniania hasła systemu BIOS. Co robić?
  • DCC może generować pakiety SCE dla konfiguracji systemu BIOS przy użyciu uwierzytelniania opartego na hasłach systemu BIOS. Interfejs użytkownika programu DCC zapewnia przepływ sterowania dla tworzenia pakietów SCE z uwierzytelnianiem opartym na hasłach systemu BIOS.
• Nie mam skonfigurowanego usługodawcy HSM na serwerze konfiguracji Dell Command Secure BIOS. Jak mogę rozwiązać ten problem?
  • Do podpisywania pakietów SCE dla DCSBC można użyć lokalnej metody podpisywania.
    Uwaga: ta metoda używa lokalnie generowanych kluczy prywatnych do podpisywania pakietów SCE. Aby zabezpieczyć klucze prywatne, aplikacja DCC oferuje możliwość zarządzania tymi kluczami przy użyciu magazynu certyfikacji firmy Microsoft, dlatego nie ma potrzeby zapisywania plików kluczy prywatnych na dysku.
• Chcę zainstalować i skonfigurować narzędzie Dell Command | Configure z użyciem serwera Dell Command Secure BIOS Configuration na maszynie wirtualnej. Co robić?
  • Do skonfigurowania DCC na serwerze DCSBC można użyć maszyny wirtualnej. Na platformie DCC z serwerem DCSBC można tworzyć samodzielne pliki wykonywalne zarówno do zadań związanych z przydzielaniem zasobów, jak i konfiguracją systemu BIOS. Ta konfiguracja umożliwia zarządzanie konfiguracjami systemu BIOS i ich zabezpieczanie nawet w środowisku wirtualnym.